不正な従業員がいなくても、情報漏洩を被る可能性があります。
必要なのは、誰かがキャンセルし忘れた無料トライアルだけです。AIによって動作するメモ取りアプリがあなたのGoogle Driveと静かに同期すること。ビジネスに不可欠なツールに紐づけられた個人のGmailアカウント。それがシャドーITです。そして今日、それは許可されていないアプリだけでなく、休眠アカウント、管理されていないアイデンティティ、過剰に許可されたSaaSツール、孤立したアクセスも含まれます。ほとんどが、最も成熟したセキュリティソリューションをもすり抜けます。
あなたのCASBやIdPがこれをカバーしていると思いますか?そうではありません。
それらはSaaS内部で何が起こっているかを捉えるために作られていませんでした:OAuthの拡散、シャドー管理者、GenAIアクセス、またはGoogle WorkspaceやSlackのようなプラットフォームで直接作成されたアプリ。シャドーITはもはや可視性の問題ではなく、完全な攻撃面です。
Wing Securityは、セキュリティチームがこれらのリスクをインシデントになる前に発見するのを助けます。
ここに、あなたのデータを静かに流出させる可能性のあるシャドーITの5つの実例があります。
1. 攻撃者が好んで悪用する、見えない休眠アクセス#
- リスク: 従業員がSSOや集中管理の可視性なしに、ユーザー名とパスワードだけでツールにサインアップします。時間が経つと、彼らはアプリを使用しなくなりますが、アクセスは残り、さらに悪いことに管理されていません。
- 影響: これらのゾンビアカウントは、あなたの環境への見えない入口となります。MFAを強制したり、使用状況を監視したり、オフボーディング時にアクセスを取り消すことができません。
- 例: CISAと世界のサイバー機関は、2024年にロシアの国家支援グループAPT29(SVRの一部)が企業や政府システムへのアクセスを得るために休眠アカウントを積極的に標的にしているという共同勧告を発表しました。これらのアカウントは、しばしば見過ごされ、MFAがなく、使用されなくなった後もアクセス可能な理想的な足場として機能します。
2. ジェネレーティブAIがあなたのメール、ファイル、戦略を静かに読み取る#
- リスク: ジェネレーティブAIによって動作するSaaSアプリは通常、受信トレイ、ファイル、カレンダー、チャットを読むための広範なOAuth権限を要求します。
- 影響: これらのSaaSアプリはしばしば必要以上のアクセスを許可し、不明確なデータ保持およびモデルトレーニングポリシーを持つ第三者に機密データを流出させます。一度アクセスが許可されると、データがどのように保存されているか、内部で誰がアクセスできるか、ベンダーが侵害されたりアクセスを誤設定した場合に何が起こるかを監視する方法はありません。
- 例: 2024年、DeepSeekは誤設定されたストレージバケットのために機密データを含む内部LLMトレーニングファイルを誤って公開しました。これは、データセキュリティに関する監視なしに第三者のGenAIツールに広範なアクセスを許可するリスクを強調しています。
3. 退職後も数ヶ月間管理者アクセスを保持する元従業員#
- リスク: 従業員が新しいSaaSツールを導入する際(特にIdPの外で)、彼らはしばしば唯一の管理者です。彼らが会社を去った後でも、アクセスは残ります。
- 影響: これらのアカウントは、会社のツール、ファイル、または環境への持続的で特権的なアクセスを持ち、長期的な内部リスクをもたらします。
- 実例: ある契約者がタイムトラッキングアプリを設定し、それを会社のHRシステムにリンクしました。契約が終了した数ヶ月後でも、彼らは従業員のログに管理者アクセスを持っていました。
4. 管理できない個人アカウントに紐づけられたビジネスに不可欠なアプリ#
- リスク: 従業員は時々、個人のGmail、Apple ID、または他の管理されていないアカウントを使用して、Figma、Notion、さらにはGoogle Driveのようなビジネスアプリにサインアップします。
- 影響: これらのアカウントは完全にITの可視性の外に存在します。もしそれらが侵害された場合、アクセスを取り消したり、セキュリティポリシーを強制することはできません。
- 例: 2023年のOktaカスタマーサポート侵害では、ハッカーがOktaのサポートシステムにアクセスできるMFAのないサービスアカウントを悪用しました。このアカウントはアクティブで、監視されておらず、特定の人物に紐づけられていませんでした。成熟したアイデンティティシステムを持つ企業でも、これらの盲点を見逃すことがあります。
5. あなたの重要な資産にアプリ間接続を持つシャドーSaaS#
- リスク: 従業員が許可されていないSaaSアプリをGoogle Workspace、Salesforce、Slackのような信頼されたプラットフォームに直接接続します—ITの関与やレビューなしに。これらのアプリ間接続はしばしば広範なAPIアクセスを要求し、使用後も長期間アクティブのままです。
- 影響: これらの統合は、重要なシステムへの隠れた経路を作り出します。侵害された場合、攻撃者はアプリ間を横移動し、データを流出させたり、従来のアラートをトリガーせずに持続性を維持することができます。
- 例: プロダクトマネージャーがロードマップツールをJiraとGoogle Driveに接続しました。この統合は広範なアクセスを要求しましたが、プロジェクトが終了した後に忘れ去られました。後にベンダーが侵害された際、攻撃者は残っていた接続を利用してDriveからファイルを引き出し、Jiraに進入し、内部の資格情報やエスカレーションパスにアクセスしました。この種の横移動は、2024年のMicrosoft侵害でMidnight Blizzardによって見られ、攻撃者はメールボックスアクセスを持つレガシーOAuthアプリを利用して検出を回避し、内部システムへの持続的なアクセスを維持しました。
あなたはそれに対して何をしていますか?#
シャドーITは単なるガバナンスの問題ではなく、実際のセキュリティギャップです。そして、それが見過ごされるほど、リスクは大きくなり、あなたのSaaS環境はより露出します。
Wing Securityは、エージェントやプロキシなしでSaaSアプリ、ユーザー、統合を自動的に発見し、人間と非人間のアイデンティティ、権限、MFAステータスをマッピングします。未知が既知になると、Wingは1つのプラットフォームで多層的なSaaSセキュリティを提供し、誤設定、アイデンティティの脅威、SaaSリスクを1つの真実の源に統合します。アプリやアイデンティティ間のイベントを相関させることで、Wingはノイズを切り抜け、重要なものを優先し、積極的で継続的なセキュリティを可能にします。
👉 デモを取得し、ハッカーが行う前にあなたのSaaS環境を制御してください。
翻訳元: https://thehackernews.com/2025/06/think-your-idp-or-casb-covers-shadow-it.html