セキュリティ 2026年3月7日

「シャドーIT」の可視化と制御 ― 社員が勝手に使っているSaaSを把握し、リスクを管理する方法

マーケティング部門がIT部門に相談せずにCanvaを契約した。営業チームが個人のDropboxに顧客資料を保存している。開発チームがGitHubの無料プランで社内コードを公開リポジトリに置いている——これらはすべてシャドーITです。

シャドーITとは、IT部門が認識・承認していないSaaS、クラウドサービス、アプリを社員が業務で利用している状態を指します。

なぜシャドーITが危険なのか

情報漏えいリスク： IT部門が管理していないサービスにはセキュリティポリシーが適用されていません。退職者のアカウントが残り続ける、データが暗号化されていない、外部共有が制限されていないなど、管理の死角が生じます。

コンプライアンス違反： 個人情報保護法やISMS、取引先のセキュリティ要件で「利用サービスの管理」が求められている場合、把握していないサービスの存在自体がコンプライアンス違反です。

コストの非効率： 同じ用途の異なるSaaSが部門ごとにバラバラに契約されている状態は、ライセンスコストの重複と管理工数の増大を招きます。

Microsoft 365 E5に含まれるMicrosoft Defender for Cloud Appsは、CASB（Cloud Access Security Broker）として、シャドーITの可視化と制御を提供します。

社内ネットワークのファイアウォールやプロキシのログ、またはMicrosoft Defender for Endpointのネットワークログを分析し、社員がアクセスしているクラウドサービスを自動検出します。

検出されたサービスは、Microsoftが保持する35,000以上のクラウドアプリのカタログと照合され、各サービスのリスクスコア（セキュリティ、コンプライアンス、法的要件などの観点で0〜10のスコア）が表示されます。

検出されたアプリを「承認済み（Sanctioned）」「非承認（Unsanctioned）」「モニタリング対象」に分類できます。非承認に設定したアプリは、Defender for Endpointとの連携で社員のアクセスをブロックすることも可能です。

承認済みのSaaSに対しても、条件付きアクセスと連携した「セッション制御」で、「ダウンロード禁止」「印刷禁止」「透かしの追加」「リアルタイム監視」などの制御を適用できます。

Defender for Cloud Appsは E5の機能ですが、E5未満のライセンスでも以下の対策は可能です。

Entra IDのサインインログ確認： Entra管理センターの「サインインログ」→「アプリケーション」列で、社員がSAML/OIDCでサインインしているサードパーティアプリを確認できます。

IT資産棚卸しの定期実施： 別記事「IT資産管理テンプレート」のSaaSアカウント一覧シートを使い、四半期ごとに各部門にSaaSの利用状況をヒアリングする運用で、ツールなしでもシャドーITの把握が可能です。

SaaS導入申請フローの整備： 「新しいSaaSを使いたい場合はIT担当に申請する」というルールを設け、申請なしのSaaS利用を禁止します。申請フォーム（Microsoft FormsやPower Automate）を用意し、IT担当がセキュリティ評価を行った上で承認する仕組みです。

Phase 1（ルールで対策）： SaaS導入申請フローの整備＋IT資産台帳の四半期棚卸し。追加コストゼロ。

Phase 2（Entra IDで可視化）： サインインログの定期確認でSSO連携済みアプリを把握。

Phase 3（Defender for Cloud Appsで本格対応）： E5導入後、ネットワークログベースの全アプリ検出＋リスク評価＋非承認アプリのブロック。

シャドーITの対策は「可視化→評価→制御」の3ステップです。E5がなくても、SaaS導入申請フローとIT資産台帳の棚卸しで基本的な可視化は実現できます。組織が成長しSaaS利用が増えてきたら、Defender for Cloud Appsの導入を検討してください。

情シス365では、シャドーITの棚卸し、SaaS管理体制の構築、Defender for Cloud Appsの導入を支援しています。お気軽にご相談ください。