シャドーITとは？クラウド時代のセキュリティー対策について

• 私物のパソコンに業務データを入れて仕事をする

• 業務データを会社が許可していないファイル共有アプリやメッセンジャーアプリなどを使って共有する

• 会社が許可していないフリーメールを使い、取引先と連絡する

便利なスマートITが増え、また、無料で利用できるアプリやサービスが多く普及している今の社会。「効率よく仕事をこなしたい」という思いや、「会社で残業できないのなら自宅で･･･」という現場が抱える問題から、会社に無断で利用してしまう人が増えています。
また、様々なクラウドサービスが誕生し、企業が業務利用するようになりました。インターネット環境があれば、どんな端末からもクラウドサービスにアクセスでき業務ができるクラウドサービス。便利である反面、このような背景もシャドーIT増加の要因と考えられています。

シャドーITと似たような意味合いで使われる言葉に「BYOD」があります。
BYODは「Bring Your Own Device」の略で、スマホやパソコンなどの個人端末を会社が許可した上で業務に使用することを指します。会社に無断なのか、承認・認識されているか、という点がシャドーITとBYODの決定的な違いです。

BYODも決してノーリスクではありませんが、一定のセキュリティールールや端末を管理するアプリケーションを導入するなど対策ができます。
しかし、シャドーITの場合はトラブルが発生してから「実は従業員が無断でデータ共有サービスや自分のスマートフォンを業務に使っていた」と判明するケースが多く、迅速な対応が難しくなるのです。

会社の情報システム部門に無断で個人のIT機器や許可されていないクラウドサービスを業務用に使ってしまう「シャドーIT」には、さまざまなセキュリティーリスクが伴います。ここからは、そんなリスクの一部を利用シーン別にご紹介します。

個人所有のスマートフォンやパソコンを業務用に使ってしまった場合、機密情報や顧客データなどの個人情報が端末に保存され、残ってしまうケースがあります。スマートフォンやパソコンを万が一紛失したり、盗難に遭ってしまったりしたら、端末に残された企業機密が流出してしまう危険が考えられます。
また、知らぬ間に自分の端末がマルウエアやランサムウエアに感染していて、それに気づかず社内ネットワークに接続することで会社内にウイルスが広がってしまう、というリスクもあるでしょう。

クラウドサービスやファイル共有サービスの中には、無料で利用できる便利なものも多く存在します。しかし、中にはセキュリティー対策が十分ではない可能性のサービスもあります。また、サービス自体の信頼性が低いものも少なくありません。
そのため、第三者に情報を閲覧されてしまうというリスクや、サービスの停止によりファイルが消えてしまうことも考えられます。サービスの設定が急に変更されてしまい、保存したファイルの公開範囲が変更され、第三者と共有できる状態になっていたというリスクもあります。

公共の無料Wi-Fiは誰でも利用できる反面、セキュリティーが万全ではありません。悪意ある第三者による盗聴や情報の抜き取りといった危険もあるので、会社が使用を許可している端末であっても、無料Wi-Fiを利用する際には社内の情報システム部門に確認を取ることをおすすめします。
また、外出先などで個人のスマートフォンをテザリングして、会社から許可を得ているノートパソコンを接続することも、シャドーITに該当します。
利用するインターネット環境は、企業と同等レベルのセキュリティーを担保できていない可能性があることを認識しておきましょう。

SNSやメッセンジャーなど、多くの人が利用しているチャットサービス。プライベート利用の範囲を超え、取引先とのやり取りをチャットサービスで行うことや、従業員どうしで業務連絡をすることも危険です。
例えば第三者が社員になりすまし、業務用グループに参加した結果、社外秘が漏えいしてしまうといった事態も起こりえます。
また、業務上のやり取りを誤って友達に送信してしまった結果、情報漏えいしてしまったというリスクも、決してないとは言い切れません。
もちろん、セキュリティーの高いビジネス向けのチャットサービスも登場しているため、一概にチャットサービスが悪いということはありません。企業が認めていないサービスを安易に業務利用することによるリスクを、しっかり把握すべきでしょう。

シャドーITには、個人の小さな油断やミスから企業全体のセキュリティートラブルを起こす危険性があります。では、シャドーITによる様々なリスクを避けるためには、企業としてどのような対策をしたら良いでしょうか。

残念ながら、この1つを行えば全て解決できるような対策はありません。また、あれもダメこれもダメと、外部のファイル共有サービスなどを禁止しても、隠れて利用する可能性もあり、根本的な対策とは言えません。
ここでは、必要と考えられている対策をいくつかご紹介します。業務内容や社内のインフラ環境などを踏まえ、組み合わせて行うことを検討しましょう。

シャドーITが起こってしまう根本的な原因の１つは、私物端末や許可されていないクラウドサービスを利用しないと業務に支障が出てしまうことが考えられます。また、自社インフラ環境が、今の業務スタイルに対応していない可能性もあります。
そこで、どんなサービスが業務上必要であるのか、ノートパソコンやスマートフォンなど社外利用できる端末がないと不都合が生じるのかなど、従業員が求めているニーズをヒアリングしましょう。その上で、必要なITツールを導入することをおすすめします。

【ニーズにあった対策例】 取引先と大容量ファイルのやり取りができないと困る場合は、セキュリティーの高い法人向けのオンラインストレージサービスを利用する チャットサービスのほうが業務連絡をスムーズに行えるのであれば、ビジネス向けのチャットサービスを利用する 外出が多く、出先でも業務できないと非効率であるならば、会社からノートパソコンやスマートフォンを支給し、VPN（仮想専用回線）を利用して社内ネットワークにアクセスできるようにする 私有端末を業務利用したいという声が多ければ、BYODを許可し、セキュリティー対策を講じた上、私有端末利用のガイドラインを設ける

会社に報告せず、自宅で自身のパソコンを使い残業していた場合は、従業員自身がタスクオーバーになっていることが原因とも考えられます。そのような現状が浮き彫りになったのであれば、人員配置の見直しを図ったりRPAを導入したりするなど、業務を効率化するための対策も進めると良いでしょう。

使用を禁止しても私物パソコンを使い、社内ネットワークにアクセスしてしまう可能性はゼロではありません。
そこで、社内ネットワークへの接続状況を監視し、許可していないデバイスが接続された際には検知・遮断できるツールを導入、利用できない環境を作ると良いでしょう。また、マルウエアの感染が疑われるようなサイトや、許可していないクラウドサービスにはアクセス禁止とするなども有効です。
他にも、EDR（Endpoint Detection and Response）を導入し、万が一許可していないPCからマルウエアが侵入した場合には、素早く検知し対策できる仕組みつくりも良いでしょう。
「安全ではない」ことを前提としたゼロトラストの考え方に基づき監視や操作ログ収集などを行うことで、内部牽制が働くだけでなく、万が一情報漏洩した場合の原因究明にもつながります。

システム上の対策も必要ですが、あわせて従業員への教育を行い、シャドーIT利用によるリスクなどの理解を深めましょう。「個人端末では業務を行わない」、「無料のWebサービスを会社の許可なく使用しない」といった意識を従業員一人ひとりが持つことが大切です。
シャドーITが生まれる原因の多くは、業務効率化を求めてであったり業務を遂行する以上やむを得ずであったりと、悪意はないケースでしょう。しかし、悪意がなくとも、実は結果的に企業や取引先にも危険を及ぼす可能性があるのだと知れば、意識は変わってくるはずです。継続的な啓蒙活動を通して、セキュリティー意識の向上を図っていきましょう。

また、万が一問題が起きてしまった場合に備え、報告ルールや手順を明確にし、従業員に周知徹底させることも大切です。
良く言われることですが、報告や発覚が遅れれば遅れるほど大事になりやすいため、一次対応がとても重要です。「情報漏えいをしたら速やかに上長へ報告する」「怪しいサイトへアクセスしてしまった場合にはインターネットを遮断する（無線LANを切る）」など、具体的なルールを設けておくことをおすすめします。

今回はシャドーITについて、データの紛失や情報漏えいといった問題を引き起こす危険がある、という内容をお伝えしました。

テレワークの導入やクラウドサービスの利用が進み、場所にとらわれない働き方ができるようになった今。従業員がシャドーITについてどのくらい危険であると感じているのか、またシャドーITによる驚異を防ぐために自社ではどのような対策ができるのか、この機会に確認してはいかがでしょうか。

今回ご紹介したシャドーITだけでなく、迷惑メールやマルウエアなどによるサイバー攻撃など、企業として対応しなければならないセキュリティー対策は多岐にのぼります。
しかし、「社内に情報システムに精通した人員がいないため、対策することが難しい」とお悩みの企業様もいらっしゃるかと思います。

当社の「ITインフラソリューション」は、企業様それぞれが抱える問題や課題に対し、業務や業態に即した形で最適なソリューションを組み合わせ、ご提案しております。また、サーバー統合やBCP対策、ネットワーク構築といったお客様のITに関わるサービスを、まるごとご相談いただくことも可能です。
身近なIT業務の相談役として、お客様をバックアップいたします。お気軽にご相談ください。