シャドーITとは?クラウド時代のセキュリティー対策について

「シャドーIT」という言葉、情報システム部門の方やセキュリティーを担当している方なら聞いたことのある言葉かもしれません。ですが、シャドーITの危険性や脅威については、全従業員が知っておくべき情報です。

シャドーITとは、従業員が会社の許可を得ていない自分のPCやクラウドサービスを使い、業務することを指します。
このコラムでは、シャドーITの概要とセキュリティー上のリスク、企業としての対策などについてご紹介します。場所にとらわれずに仕事をする「柔軟な働き方」が可能になってきました。そんな今だからこそ、シャドーITについて理解し、自社のセキュリティーレベルをアップしましょう。

このコラムを読んで分かること

  • シャドーITの危険性や脅威
  • シャドーITとBYODとの違い
  • シャドーITに対する企業としての3つの対策

【目次】

  • シャドーITとは?
  • シャドーITのセキュリティーリスク
  • シャドーITへの3つの対策
  • まとめ

シャドーITとは?

「シャドーIT」とは、会社の情報システム部門が管理・許可していないパソコンやスマートフォンなどの個人端末や、クラウドサービスを使い、会社に「無断で」業務を行う行為のことです。例えば、これらのような行為をさします。

  • 私物のパソコンに業務データを入れて仕事をする
  • 業務データを会社が許可していないファイル共有アプリやメッセンジャーアプリなどを使って共有する
  • 会社が許可していないフリーメールを使い、取引先と連絡する

便利なスマートITが増え、また、無料で利用できるアプリやサービスが多く普及している今の社会。「効率よく仕事をこなしたい」という思いや、「会社で残業できないのなら自宅で・・・」という現場が抱える問題から、会社に無断で利用してしまう人が増えています。
また、様々なクラウドサービスが誕生し、企業が業務利用するようになりました。インターネット環境があれば、どんな端末からもクラウドサービスにアクセスでき業務ができるクラウドサービス。便利である反面、このような背景もシャドーIT増加の要因と考えられています。

シャドーIT とBYODの違い

シャドーITと似たような意味合いで使われる言葉に「BYOD」があります。
BYODは「Bring Your Own Device」の略で、スマホやパソコンなどの個人端末を会社が許可した上で業務に使用することを指します。会社に無断なのか、承認・認識されているか、という点がシャドーITとBYODの決定的な違いです。

BYODも決してノーリスクではありませんが、一定のセキュリティールールや端末を管理するアプリケーションを導入するなど対策ができます。
しかし、シャドーITの場合はトラブルが発生してから「実は従業員が無断でデータ共有サービスや自分のスマートフォンを業務に使っていた」と判明するケースが多く、迅速な対応が難しくなるのです。

シャドーITのセキュリティーリスク

会社の情報システム部門に無断で個人のIT機器や許可されていないクラウドサービスを業務用に使ってしまう「シャドーIT」には、さまざまなセキュリティーリスクが伴います。ここからは、そんなリスクの一部を利用シーン別にご紹介します。

私物のスマートフォンやPCの利用によるリスク

個人所有のスマートフォンやパソコンを業務用に使ってしまった場合、機密情報や顧客データなどの個人情報が端末に保存され、残ってしまうケースがあります。スマートフォンやパソコンを万が一紛失したり、盗難に遭ってしまったりしたら、端末に残された企業機密が流出してしまう危険が考えられます。
また、知らぬ間に自分の端末がマルウエアやランサムウエアに感染していて、それに気づかず社内ネットワークに接続することで会社内にウイルスが広がってしまう、というリスクもあるでしょう。

Webサービス利用によるリスク

クラウドサービスやファイル共有サービスの中には、無料で利用できる便利なものも多く存在します。しかし、中にはセキュリティー対策が十分ではない可能性のサービスもあります。また、サービス自体の信頼性が低いものも少なくありません。
そのため、第三者に情報を閲覧されてしまうというリスクや、サービスの停止によりファイルが消えてしまうことも考えられます。サービスの設定が急に変更されてしまい、保存したファイルの公開範囲が変更され、第三者と共有できる状態になっていたというリスクもあります。

無料Wi-Fi利用によるリスク

公共の無料Wi-Fiは誰でも利用できる反面、セキュリティーが万全ではありません。悪意ある第三者による盗聴や情報の抜き取りといった危険もあるので、会社が使用を許可している端末であっても、無料Wi-Fiを利用する際には社内の情報システム部門に確認を取ることをおすすめします。
また、外出先などで個人のスマートフォンをテザリングして、会社から許可を得ているノートパソコンを接続することも、シャドーITに該当します。
利用するインターネット環境は、企業と同等レベルのセキュリティーを担保できていない可能性があることを認識しておきましょう。

チャットサービス利用によるリスク

SNSやメッセンジャーなど、多くの人が利用しているチャットサービス。プライベート利用の範囲を超え、取引先とのやり取りをチャットサービスで行うことや、従業員どうしで業務連絡をすることも危険です。
例えば第三者が社員になりすまし、業務用グループに参加した結果、社外秘が漏えいしてしまうといった事態も起こりえます。
また、業務上のやり取りを誤って友達に送信してしまった結果、情報漏えいしてしまったというリスクも、決してないとは言い切れません。
もちろん、セキュリティーの高いビジネス向けのチャットサービスも登場しているため、一概にチャットサービスが悪いということはありません。企業が認めていないサービスを安易に業務利用することによるリスクを、しっかり把握すべきでしょう。

シャドーITへの3つの対策

シャドーITには、個人の小さな油断やミスから企業全体のセキュリティートラブルを起こす危険性があります。では、シャドーITによる様々なリスクを避けるためには、企業としてどのような対策をしたら良いでしょうか。

残念ながら、この1つを行えば全て解決できるような対策はありません。また、あれもダメこれもダメと、外部のファイル共有サービスなどを禁止しても、隠れて利用する可能性もあり、根本的な対策とは言えません。
ここでは、必要と考えられている対策をいくつかご紹介します。業務内容や社内のインフラ環境などを踏まえ、組み合わせて行うことを検討しましょう。

(1)ニーズを把握し、必要なサービス等は企業利用を検討する

シャドーITが起こってしまう根本的な原因の1つは、私物端末や許可されていないクラウドサービスを利用しないと業務に支障が出てしまうことが考えられます。また、自社インフラ環境が、今の業務スタイルに対応していない可能性もあります。
そこで、どんなサービスが業務上必要であるのか、ノートパソコンやスマートフォンなど社外利用できる端末がないと不都合が生じるのかなど、従業員が求めているニーズをヒアリングしましょう。その上で、必要なITツールを導入することをおすすめします。

【ニーズにあった対策例】

  • 取引先と大容量ファイルのやり取りができないと困る場合は、セキュリティーの高い法人向けのオンラインストレージサービスを利用する
  • チャットサービスのほうが業務連絡をスムーズに行えるのであれば、ビジネス向けのチャットサービスを利用する
  • 外出が多く、出先でも業務できないと非効率であるならば、会社からノートパソコンやスマートフォンを支給し、VPN(仮想専用回線)を利用して社内ネットワークにアクセスできるようにする
  • 私有端末を業務利用したいという声が多ければ、BYODを許可し、セキュリティー対策を講じた上、私有端末利用のガイドラインを設ける

会社に報告せず、自宅で自身のパソコンを使い残業していた場合は、従業員自身がタスクオーバーになっていることが原因とも考えられます。そのような現状が浮き彫りになったのであれば、人員配置の見直しを図ったりRPAを導入したりするなど、業務を効率化するための対策も進めると良いでしょう。

(2)私物のPCを持ち込ませない、怪しいサイトにはアクセスできない仕組みを作る

使用を禁止しても私物パソコンを使い、社内ネットワークにアクセスしてしまう可能性はゼロではありません。
そこで、社内ネットワークへの接続状況を監視し、許可していないデバイスが接続された際には検知・遮断できるツールを導入、利用できない環境を作ると良いでしょう。また、マルウエアの感染が疑われるようなサイトや、許可していないクラウドサービスにはアクセス禁止とするなども有効です。
他にも、EDR(Endpoint Detection and Response)を導入し、万が一許可していないPCからマルウエアが侵入した場合には、素早く検知し対策できる仕組みつくりも良いでしょう。
「安全ではない」ことを前提としたゼロトラストの考え方に基づき監視や操作ログ収集などを行うことで、内部牽制が働くだけでなく、万が一情報漏洩した場合の原因究明にもつながります。

(3)従業員への意識付けを行い、万が一の場合のルールなどを設ける

システム上の対策も必要ですが、あわせて従業員への教育を行い、シャドーIT利用によるリスクなどの理解を深めましょう。「個人端末では業務を行わない」、「無料のWebサービスを会社の許可なく使用しない」といった意識を従業員一人ひとりが持つことが大切です。
シャドーITが生まれる原因の多くは、業務効率化を求めてであったり業務を遂行する以上やむを得ずであったりと、悪意はないケースでしょう。しかし、悪意がなくとも、実は結果的に企業や取引先にも危険を及ぼす可能性があるのだと知れば、意識は変わってくるはずです。継続的な啓蒙活動を通して、セキュリティー意識の向上を図っていきましょう。

また、万が一問題が起きてしまった場合に備え、報告ルールや手順を明確にし、従業員に周知徹底させることも大切です。
良く言われることですが、報告や発覚が遅れれば遅れるほど大事になりやすいため、一次対応がとても重要です。「情報漏えいをしたら速やかに上長へ報告する」「怪しいサイトへアクセスしてしまった場合にはインターネットを遮断する(無線LANを切る)」など、具体的なルールを設けておくことをおすすめします。

まとめ

今回はシャドーITについて、データの紛失や情報漏えいといった問題を引き起こす危険がある、という内容をお伝えしました。

<このコラムのPOINT>

  • 「シャドーIT」とは、企業の情報システム部門が管理・許可していない個人端末や、クラウドサービスを使い、会社に「無断で」業務を行う行為のこと
  • シャドーITには企業機密や個人情報の漏洩、マルウエア感染などのリスクがある
  • 社内のニーズを把握し、必要なサービスの企業利用や会社から機器を支給するなどの対策とともに、従業員への教育・意識付けが重要

テレワークの導入やクラウドサービスの利用が進み、場所にとらわれない働き方ができるようになった今。従業員がシャドーITについてどのくらい危険であると感じているのか、またシャドーITによる驚異を防ぐために自社ではどのような対策ができるのか、この機会に確認してはいかがでしょうか。

おすすめソリューションのご紹介

今回ご紹介したシャドーITだけでなく、迷惑メールやマルウエアなどによるサイバー攻撃など、企業として対応しなければならないセキュリティー対策は多岐にのぼります。
しかし、「社内に情報システムに精通した人員がいないため、対策することが難しい」とお悩みの企業様もいらっしゃるかと思います。

当社の「ITインフラソリューション」は、企業様それぞれが抱える問題や課題に対し、業務や業態に即した形で最適なソリューションを組み合わせ、ご提案しております。また、サーバー統合やBCP対策、ネットワーク構築といったお客様のITに関わるサービスを、まるごとご相談いただくことも可能です。
身近なIT業務の相談役として、お客様をバックアップいたします。お気軽にご相談ください。

「ITトレンド」の最新記事

このカテゴリの記事一覧を見る

メールマガジン登録

上記コラムのようなお役立ち情報を定期的に
メルマガで配信しています。
コラム(メルマガ)の
定期購読をご希望の方はこちら

メールマガジン登録 お客様の課題解決に導く情報をいち早くお届けします! メールマガジン登録 お客様の課題解決に導く情報をいち早くお届けします!