Talknote

シャドーITとは?
そのセキュリティリスクや対策を解説

現代において、ほとんどの人は個人でパソコンやタブレット、スマホなどのITツールを所有しています。それらを仕事に活用している場合、そのITツールをシャドーITと言い、企業はセキュリティ面でのリスクを背負わなければなりません。

この記事では、シャドーITが増えている背景やセキュリティリスク、対策まで解説しています。大きなトラブルが起きる前に、シャドーITに適切に対処しましょう。

シャドーITとは?

シャドーITとは、企業の管理が行き届いていないデバイスやサービスのことです。具体的には、使用許可していない、または企業が使用を把握できていないパソコン・タブレットや外部サービスをシャドーITと言います。

例えば、自宅のパソコンから業務データにアクセスしたり、外部のオンラインストレージサービスにデータを保存したり、個人用チャットアプリを業務連絡に使ったりするのは、すべてシャドーITです。特に、クラウドサービスは主流になりつつあり、いつでもどこでもさまざまデバイスで利用できます。必ずしも悪意があるものだけではなく、業務上便利なためにシャドーITが起きていることにも注意が必要です。

会社で使用するデバイスやツールは会社の管理下にあるのを基本とし、社外で使用する際には許可を必要としたり、指定のデバイスを貸し出したりするなど、管理を徹底する必要があります。

シャドーITとBYODの違い

シャドーITと合わせて言及されることが多いのが、BYOD(Bring Your Own Device)です。従業員が使用している個人のデバイス・サービスという意味ではシャドーITと同じですが、BYODは企業側が利用を承認しています。

そのため、シャドーITとは違い、セキュリティ対策やガイドラインの作成など、トラブル防止に向けた対処をすることが可能です。

便利なデバイス・サービスが身近にある現代では、シャドーITが起きないように、BYODをしっかり実現する必要があるのではないでしょうか。

シャドーITが増加している背景

シャドーITが増加しているのは、以下のような背景が関係しています。

  • 便利な機器やサービスが身近にある
  • シャドーITで仕事がはかどっている現状がある
  • 管理・統制が難しい

デバイス・サービスを利用するのが当たり前であり、自身にも思い当たる部分があるかもしれません。背景を理解し、シャドーITをより詳しく知っていきましょう。

便利な機器やサービスが身近にある

以前は、仕事に使うデバイス・サービスは会社だけで使われることも多かったですが、現在は個人にも広く普及しています。パソコンやタブレット、スマートフォンは持っていて当たり前になりつつあり、社外でデバイスを使っていることがほとんどです。

生活や仕事を効率化するサービスも続々登場しています。無料で使えるもの、月数百円で使えるものなど、誰にでも使えるサービスの普及もシャドーIT増加の要因です。

新型コロナウイルス感染症の影響で、テレワークが普及したこともあり、デバイス・サービスの広がりはさらに進んでいます。

シャドーITで仕事がはかどっている現状がある

シャドーITにセキュリティリスクがあるとはいっても、現状シャドーITで仕事がはかどっている状況もあります。十分なデバイスやサービスを企業側で用意できていない場合、それらを扱うスキルや知識を持った従業員自らが利用する動きが現れます。

会社では使っていない外部サービスを用いて業務をスムーズに進めたり、仕事がはかどる環境を整えたりするのは、当然とも言えるかもしれません。

管理・統制が難しい

シャドーITは、企業が把握できていないデバイスやサービスであるため、管理・統制するのは簡単ではありません。個人情報保護の観点からすべてのデバイスをチェックしたり、自宅を確認するのは難しく、従業員の自己申告に任せる形になるでしょう。

業務上必要なシャドーITであれば、使用していることを隠すこともあるかもしれません。「私用のデバイス・サービスを使わないように」と伝えても、完璧に守ってくれるとも限らず、使用を黙認してしまうこともあるのではないでしょうか。

シャドーITが及ぼすセキュリティリスク

シャドーITは仕事のために使われているとはいえ、管理の行き届いていないツールの使用にはセキュリティリスクがあります。起こる可能性がある3つのセキュリティ上のリスクをしっかり理解していきましょう。

  • 機密情報の漏洩
  • アカウントの乗っ取り
  • 無線LANからのウイルス侵入

機密情報の漏洩

外部サービスで連絡を取り合ったり、データを保存したりすると、機密情報が外部に漏れるリスクが高くなります。

万が一利用しているサービスがサイバー攻撃を仕掛けられたときに、やり取りの内容や連絡先、顧客の個人情報、社内の運営情報など、重要な情報が漏洩するかもしれません。情報が漏れたことで、社会や顧客の信頼を失ってしまうことも考えられます。

特にクラウド型のストレージサービスは危険性が高いです。デバイスの容量を割くことなく、外部にデータを保存できるのは便利ですが、トラブルがあったときに一挙に情報が漏れてしまいます。

アカウントの乗っ取り

外部サービスを利用するためには、ほとんどの場合アカウントを作成する必要があります。悪質なユーザーから乗っ取りに遭うことはゼロではなく、大きなトラブルに発展する可能性が高いです。

使用しているサービスに第三者がアクセスし、連絡先やデータファイルを盗めば、クライアントや顧客、自社の情報が漏れ、信用の失墜につながります。

無線LANからのウイルス侵入

テレワークが普及したことで、カフェやコワーキングスペースなどで作業する機会もあるでしょう。無料Wi-Fiや無線LANなどは便利なサービスですが、セキュリティが弱い場合があります。

Wi-Fiや無線LANからウイルスが侵入する可能性があり、大切なデータが盗まれたり、破壊されたりするので注意が必要です。

また、外部でウイルスに感染したデバイスを社内で利用したときに、社内のネットワークにウイルスの感染が広がる可能性もあります。被害が甚大になってしまうので、徹底して対策を講じなければいけません。

シャドーITへの対策

シャドーITのセキュリティリスクから逃れるためには、社内での対策が必要です。「シャドーITは禁止する」というメッセージだけでは、あまり効果は期待できません。

以下の対策を参考にして、シャドーITを着実に減らしていきましょう。

  • 社内の設備や環境を整える
  • 利用状況やニーズを把握する
  • ITに関するガイドラインをつくる
  • ITやセキュリティについて教育を実施する

社内の設備や環境を整える

シャドーITが発生する原因の多くは、社内で同じことができないからという理由です。業務に必要なデバイスやサービスを使えなければ、従業員それぞれで用意することになります。

そのため、シャドーITを使わなくてもいいように、社内の設備・環境を整えることが大切です。連絡を取り合うためのチャットツールを企業で契約したり、クラウドストレージを整備したりするなど、不便なく働ける環境をつくりましょう。

利用状況やニーズを把握する

社内の設備を整えるためには、従業員にとって何が足りないかを把握する必要があります。従業員へのヒアリングを実施し、不便なところや使いたいサービスなどをリサーチしましょう。

必要なものを社内で整えるだけでも、シャドーITの必要性が減ります。新しいものを取り入れるだけではなく、シャドーITをBYODにする対応も必要です。やみくもに禁止にするのではなく、会社で承認するべきデバイスやサービスがあれば、管理できる状態で使用を許可するのも方法の一つになります。

ITに関するガイドラインをつくる

ITツールの使用に関して、ガイドラインをつくるのもシャドーITの対策に効果的です。ガイドライン内で、禁止する行為やそれに伴う対応などを明記することで、シャドーITの抑止力になります。

ガイドラインがあるものの、水面下で利用している場合もあります。しっかり抑止になるように、私用デバイスからのアクセス監視など、状況を確認した上で適切に対応することも重要です。

ITやセキュリティについて教育を実施する

シャドーITはトラブルが起きたときのリスクは非常に大きいものの、仕事のために良かれと思って使われていることも多くあります。

そのため、シャドーITにどのようなリスクがあるかをしっかり従業員に伝える必要があります。どのように情報が漏れるのか、漏洩したときにどのようなことが起きるかなどを説明し、自身や会社への影響を理解してもらいましょう。そうすることで、リスクを負ってシャドーITを利用することが減る可能性があります。

まとめ

シャドーITは、身近にデバイスやサービスがある現代では、起こりやすい問題です。黙認していると、情報漏洩など大きなトラブルになる可能性があるので、しっかり対処しなければいけません。

従業員に必要な設備をヒアリングした上で、シャドーITに頼らなくてもよい環境をつくることが大切です。ガイドラインの作成、教育の実施も効果があります。シャドーITについて正しく理解し、自社で適切な対策を講じましょう。

 共通の価値観が浸透したいい会社をつくる Talknote サービス資料ダウンロード