こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。

近年、IT機器やWebサービスは多様化し、さまざまな機能や特徴を有するものがリリースされるようになりました。それに伴い、発生する可能性があるのが、「シャドーIT」
自身にとっての利便性を求めた従業員が、会社の把握していないシャドーITを利用しているケースは珍しくありません。

しかし、シャドーITにはセキュリティの面でリスクがあり、会社はそれを避けるために対策を行う必要があります。

今回はこのシャドーITについて、概要やリスク、対策について詳しく解説します。

シャドーITとは

企業の管理下にないにも関わらず、従業員が独自の判断で業務に利用しているIT機器やWebサービス、アプリケーションなどのことを、「シャドーIT」と呼びます。

現代のビジネスでは、IT機器やWebサービスを用いるのが一般的です。ただし、この時に利用する機器やサービスは、企業が把握し適切な管理を行なっているものでなければなりません。
しかし、近年では機器やサービスは多様化し、企業が把握・管理していないもの(シャドーIT)を従業員や部署が独自に導入し、利用するケースも多くみられます。

原則として、業務に使う機器やサービスは企業で適切に管理されたもの(サンクションIT)でなければなりません。なぜなら、シャドーITが蔓延した状態は、情報セキュリティを低下させ、多くのリスクを生むためです。

BYODとの違い

BYODとはBring Your Own Deviceの略で、従業員が業務に自身のデバイスを活用することを指す言葉です。
一見するとシャドーITと似ているように思われる言葉ですが、これらには次のような違いがあります。

シャドーIT】
企業が把握・承認していないデバイス(またはサービスなど)を従業員が独断で業務に用いる
【BYOD】
企業が把握・承認した従業員自身のデバイスを業務に用いる

「企業による承認の有無」という点で、シャドーITとBYODは異なります。
企業の承認を得ていない前者は問題ですが、承認を得た後者に問題はなく、かえって使い慣れたデバイスによる業務効率アップも期待できます。

シャドーITが発生する要因

シャドーITが発生する要因としては、次のようなことが考えられます。

・企業に承認されている機器やサービスが使いにくい
・業務に必要な環境が整っていない

企業に指定された機器やサービスが使いにくいと、それを日常的に使う従業員はストレスを感じ、業務効率も低下してしまいます。これを改善するため、部署や従業員自身が独自に判断し、使いやすい機器やサービスを勝手に用意して、業務に利用してしまうケースが考えられます。

また、企業による業務に必要な環境整備が十分でなく、これを整えるため、従業員が自ら機器やサービスを導入することも考えられます。
特に近年のテレワークにおいては、その環境が十分に整備されていないことも多く、従業員自身がコミュニケーションツールやクラウドストレージを独自に整備したり、外部のネットワークを利用したりすることが増えました。

このように、企業が管理している機器・サービスや環境に問題があることが、シャドーITの発生に繋がっています

シャドーITによるセキュリティリスク

シャドーITには、次のようなセキュリティリスクがあります。

・ウイルス感染
・不正アクセス
・アカウントの乗っ取り
・情報漏洩
・Webページの改竄

企業が管理していない個人のデバイスは、強固なセキュリティ対策が行われていないものが多いです。セキュリティソフトを導入していないデバイスも多く、またプライベート用としてWebページにアクセスしたりデータをダウンロードしたりすることも多いことから、ウイルス感染のリスクは高いと考えられます。
また、不正アクセスによりサービスのアカウントが乗っ取られ、情報漏洩やWebページの改竄の被害が出る可能性もあるでしょう。

このような脅威により、業務で扱う機密情報が漏洩・悪用されてしまえば、企業が被る被害は莫大なものになります。
このようなリスクを避けるためにも、シャドーITの発生は防がなければなりません。

シャドーITの発生事例

ここからは、具体的な機器やサービスを挙げながら、シャドーITの発生事例とそのリスクについて確認していきましょう。

事例1.チャットツール

リモートワークでも頻繁に活用されるチャットツールは、迅速な情報共有を実現できる点が魅力。スマートフォンなどの手元の端末から、手軽に送受信を行えます。

しかし、その手軽さゆえ、チャットツールには送り先のミスや第三者の覗き見による情報漏洩が発生する恐れがあります。対策が不十分で、もしアカウントが乗っ取られてしまえば、他の人に被害を広めてしまうこともあり得ます。

事例2.フリーメール

フリーメールも、ビジネスによく用いられるサービスです。
フリーメールは、IDとパスワードでアカウントにログインして利用しますが、セキュリティが不十分な場合、これらの情報を盗まれて、アカウントを乗っ取られてしまうことがあります。自分になりすました悪意のある第三者が、周りの人にメールを送れば、被害が大きくなることも予想されます。

事例3.クラウドストレージ

インターネットを介してデータを保管・共有できるクラウドストレージは、特にリモートワークにとって欠かせないサービス。しかし、サービスによってセキュリティの強度には差があります。
セキュリティの弱いクラウドに機密データを保管してしまうと、漏洩や悪用のリスクは高まります。

特に無料のサービスはセキュリティに弱いことが多いため、注意が必要です。企業側が検討し、承認した安全性の高いサービスを利用するべきでしょう。

事例4.私用端末

私用端末はセキュリティ対策が不十分であることが多く、もし端末がウイルス感染すれば、残っていた業務データに被害が及ぶ可能性もあります。
また、端末そのものが紛失したり盗まれたりすることもあるため、個人のパソコンやUSBなど、私用端末に業務に関する情報を移すことは、避けた方が良いでしょう。

事例5.フリーWi-Fi

街の中には、パスワード不要のフリーWiFiを整備している施設が多く存在します。このサービスは便利ですが、セキュリティの点では問題があり、ビジネスでの利用には向きません。
なぜなら、通信が暗号化されておらず盗聴のリスクが高いサービスが多いためです。

中には悪意のあるアクセスポイントも存在するため、ビジネスにおけるフリーWiFiの利用は避け、プライベートで利用する際も細心の注意を払う必要があります。

シャドーITを防ぐための対策

シャドーITの発生を防ぐためには、次の6つの対策が効果的です。

①従業員へのセキュリティ教育
②自社のシャドーITの実態調査
③IT環境の整備
④ガイドラインの策定
⑤クラウドサービスのアクセス管理
⑥MDMの導入

詳しく見ていきましょう。

①従業員へのセキュリティ教育

ユーザーの情報セキュリティに対するリテラシー低下は、リスクに直結します。
そのため、企業がITツールを活用しながら情報を守るには、従業員に定期的なセキュリティ教育を行い、リテラシーを向上させる必要があります。

シャドーITを利用している従業員の中には、その危険性を理解していない人も多いでしょう。シャドーITという状態を理解していない人もいるはずです。
指導や研修を通してこのリスクについて理解を促し、従業員のセキュリティ意識を高めることは、企業の重要な義務です。

②自社のシャドーITの実態調査

自社のシャドーITの実態を調査することも、対策を講じる上で有効です。

シャドーITを利用している人はどれくらいいるのか、また具体的にどんな機器やサービスを利用しているのかヒアリングを通して調査し、その結果をもとに自社のIT利用における課題を把握します。そこから従業員が求めている機器やサービス、環境の整備を企業として行うことで、シャドーITの発生を抑制することができます。

③IT環境の整備

シャドーITが発生する原因は、企業によるIT環境の整備が不十分なことにあります。この整備が十分であれば、従業員がわざわざシャドーITを利用する必要はありません。

そのため、企業はIT環境の整備に力を入れる必要があります。従業員の意見を取り入れながら、より利便性の高い機器やサービスの導入を検討するようにしてください。

④ガイドラインの策定

シャドーITを防ぐには、機器やサービス利用におけるガイドラインの策定も効果的です。「独断でのサービス利用は避ける」「私用端末は使用しない」「個人のUSBに業務データを入れない」など、シャドーITやその他のリスクを防ぐためのルールづくりを行い、ガイドラインに明記して、社内で共有するようにしましょう。

⑤クラウドサービスのアクセス管理

近年、クラウドサービスのビジネスでの利用は増加しています。このクラウドサービスの利用を監視し、必要に応じて制御を行うことも、シャドーIT利用の抑制に繋がります。

例えば、業務用のクラウドサービスに対する企業の管理外機器(IPアドレス)のアクセスを検知できるようにしておけば、シャドーITの存在を割り出しやすくなります。また、アクセス制御によって社外ネットワークからのアクセスを制限するのも有効でしょう。

インターネットを介するクラウドサービスには、一定のリスクがあります。シャドーITの利用によりそのリスクは高まる可能性があるため、監視や制御による企業側の管理は必須です。

⑥MDMの導入

MDMとは、パソコンやタブレット、スマートフォンなどといった端末を管理する仕組みのこと。これを導入すれば、端末利用にあたってのポリシーを端末に適用したり、違反を検知したりすることが可能です。

MDMで端末を企業側が管理することで、シャドーITによるセキュリティリスクは抑えられます。

まとめ

シャドーITは、企業の持つ重要なデータを危険に晒します。最悪の場合、シャドーITを利用していた人だけでなく、周りの人や取引先にまで被害を広めてしまう恐れもあります。

これを避けるには、まず従業員にそのリスクを理解してもらうこと、そしてシャドーITを使わなくても良い環境を整えることが重要です。
またそのためには、定期的に調査を行って、IT機器やシステムに対する現状やニーズを企業が常に把握しておく必要もあるでしょう。