企業が注意すべきシャドーITとは?
発生の原因・リスク・対策方法を解説
民間のビジネス系ツールやチャットツールの進化・普及が進んだことで、かつては業務用にしかなかった優れたツールが、個人でも簡単に手に入るようになりました。
しかし同時に、便利なツールを社員が企業に無断で使用する「シャドーIT」に対して注意が一層必要となっています。放置しておけば、重大なコンプライアンス違反に発展するかもしれません。
当記事ではシャドーITの概要や広まった理由・背景、シャドーITの発生原因とリスク、対策方法などを解説します。
シャドーITとは?広まった理由・背景を解説
シャドーIT(勝手BYOD)とは、企業で使われている情報システムやアプリケーションのうち、企業側(経営者や情報部門担当者など)が使用を無許可かつ把握していないITツールのことです。
原則としては、「民間のITツールやシステムを、現場の社員または職場が勝手に使うこと」を意味します。
シャドーITの大きな問題点はセキュリティ面です。シャドーITはセキュリティが不十分なケースが多く、社員が重要情報を外部に漏らす危険性があります。重大なコンプライアンス違反に発展すると、企業の信頼失墜や売上減少となるかもしれません。
シャドーITとは?広まった理由・背景を解説
シャドーITの例は次の通りです。
- 私用のパソコンやスマホを使った業務の実施や社内システムへの接続
- 民間のクラウドサービスへ業務用のデータをアップロード
- 企業側の許可を取っていないチャットツールやSNSで取引先とやり取り
- その他企業側が認知していないWebアプリや端末を利用した業務の遂行
以下では、ソフトウェアのアップデートの必要性を解説します。
シャドーITが広まった理由・背景
シャドーITが広まった理由や背景には、民間のITツールの高機能化や無料化といった、「民間企業が提供するITツールの進化」が大きく関係しています。
現在は、Googleのサービスや大手クラウド系企業などが提供するツールは機能性・利便性ともに優れています。
加えてスマホの普及により、個人でも気軽にツールをインストールできるようになりました。個人向けのファイル共有アプリやチャットツール、会計ソフト、タスク管理ツールなどが登場しています。
実際の動きとして、ITコンシューマライゼーションも発生しています。
ITコンシューマライゼーションとは、消費者向けITツールの進化に対してメーカーの開発が追いつかず、「業務用ITツールを消費者向けに落とし込む」のとは逆に、「消費者向けのツールを法人用として取り込む」という動きのことです。
さらに、テレワークの普及もシャドーITにつながる理由の1つに挙げられます。オフィス外での業務の効率を上げるために、社員が独断で新しいITツールを導入し利用するためです。
テレワークを行う際のセキュリティ対策まとめ
シャドーIT発生の原因とリスク|事例とともに解説
シャドーITが発生する根本的な原因は、「社員がIT環境に不満を持っていること」が挙げられます。
- ファイルやデータの共有がスムーズにできない
- 企業がチャットツールの使用を許可しておらず、コミュニケーションが取りづらい
- 出社して社内システムにログインしないと、文書を閲覧したり作業を進めたりできない
不満が積もると、社員はより利便性が高い民間のITツールを独断で使い始め、シャドーITが発生します。ここで「業務効率が上がるなら問題ないのでは?」と考えるのは危険です。
以下ではシャドーITに潜むリスクについて、事例とともに解説します。
システム構築時に情報漏えいが発生する
部門および社員個人でIaaS・PaaS・SaaSといったクラウドサービスを利用していた場合、社内でのシステム構築時に情報漏えいになるリスクがあります。
- IaaS(イアース):インターネットを経由してITインフラを提供するサービス
- PaaS(パース):インターネットを経由してアプリが稼動できる仮想プラットフォームを提供するサービス
- SaaS(サース):クラウド上のソフトウェアやその機能を提供するサービス
例えば、企業データの検証・試験の場として上記サービスを利用した場合、アクセス権限の設定ミスや開発元メーカーの不具合が発生すると、そこから企業データが外部へ漏洩する可能性があります。
フリーメールを使用して誤送信する
取引先とのやり取りについて、社員が独断でフリーメール(GmailやYahoo!メールなど)を使用していると、以下のトラブルに発展する可能性があります。
- 個人と法人アカウントを間違えてメールを誤送信する
- 重要なメールがスパム判定で迷惑メールに振り分けられる
- 取引先とのやり取りがプライベートメールの中に埋もれてチェックできなくなる
- サービスによっては、一定期間ログインしていないと保存メールが消失する
フリーメールのアドレスは簡単に作れるうえに、対応アプリを簡単にスマホへインストールできます。シャドーITとなる可能性が高いです。
私用の端末を社内システムに接続してトラブルとなる
業務で私用のパソコンやスマホを使っている社員が、その私用デバイスを社内システムに接続することで、トラブルとなる可能性があります。
例えば、接続したパソコンがマルウェアに感染していた場合、社内システムにマルウェアが広がるリスクが考えられます。
また、悪意ある社員がいた場合、企業データを私用端末に移し、機密情報や個人情報を持ち出すかもしれません。こうした内部不正となる危険性もあります。
フリーWi-Fi使用時に不正アクセスされる
テレワークする社員のなかには、自宅やカフェなどのフリーWi-Fiなどを使って、社内システムにアクセスするケースが見られます。
原則として、フリーWi-Fiは暗号化がされておらず、第三者からでも覗き見が容易です。そのため、覗き見た情報が外部に漏れたり、覗き見た情報をもとに社内システムへ不正アクセスされたりなどのリスクが発生します。
セキュリティの弱いオンラインストレージを使用している
社員が社内のストレージとは別のオンラインストレージを使用していた場合、操作ミスによって情報が外部に漏れるリスクがあります。例えば次のトラブルが考えられます。
- プライベート用のファイルに企業情報をアップする
- 企業情報をアップロード後、誤って公開情報として誰でも閲覧できるようにする
- 個人用オンラインストレージのセキュリティ機能が弱さを突かれ、サイバー攻撃などで情報を窃取される
LINEなどのチャットツールを使用して不正利用される
近年は、LINEやSkype、チャットワークといったオンラインチャットやメッセンジャーアプリが普及しています。社員が独断でこうしたチャットをオフィス外で使っている場合、第三者からメッセージを覗き見られる可能性があります。
また、社員が退職した後もチャットツールを利用していると、業務上のやり取りが当該ルールにメッセージとして残るため、情報漏えいにつながるかもしれません。
シャドーITへの対策
シャドーITへの対策は、根本の原因である「社員が持つIT環境への不満を取り除くこと」が前提になります。以下ではシャドーITへの対策として有効な方法を解説します。
シャドーITを認める「BYOD」を実施する
「BYOD(Bring Your Own Device)」とは、シャドーITとは反対に、社員が民間のITツールを使用して業務を進めることを認めるものです。
先述の通り、民間のITツールは機能面・利便性ともに優れた性能を持っています。逆に言えば、企業側が適切に管理・監視などができれば、業務の効率化に寄与するツールとして使用が可能です。
セキュリティ性能や社員側の希望を確認しつつ、BYODの実行を検討してみてください。
効率のよい代案を提供する
シャドーITは、闇雲に禁止するだけでは何度でも発生します。シャドーITを禁止する代わりに効率のよい代案を提供し、社員の作業環境を改善することが大切です。社員がシャドーITを使わなくても問題なく仕事ができる環境を整えましょう。
例えば、次の代案などが考えられます。
- 社員全員に業務用のパソコンやスマホを配布する
- 既存のITツールのバージョンアップやITツールの新規開発を実施する
- 法人向けのビジネスツールの導入を検討する
適切な代案を提供するには、「社員は何に不満を持っているのか」を事前に知っておくことが大切です。
社員へのヒアリングでニーズを洗い出したり、現状の作業工程を見直して問題点の抽出などを行ってください。
社内でガイドラインの制定や教育を行う
シャドーITを禁止するだけでは効果が薄いものの、「なぜ禁止されているのか」「何がシャドーITに該当するのか」などの判断基準となるガイドラインを制定するのは効果的です。
また、社員のセキュリティ・ITに関するリテラシーの向上を目的とした、社員教育も必要です。
社員のシャドーITを検知する仕組みを作る
優れた代案やガイドラインなどが存在しても、シャドーITを100%防ぐのは不可能に近いです。そこで、社員によるシャドーITをシステム的に検知する仕組みを作っておくことで、シャドーITによる被害拡大を防止できます。
シャドーIT対策として注目されているのは、「CASB(Cloud Access Security Broker)」です。
CASBとは、社員のクラウドサービスの利用について監視・制御するソリューションです。クラウドサービスの利用状況の可視化やアクセス権限の設定・制御などを実施し、セキュリティ性能を適切に保ちます。
また、社内システムへのアクセスや利用状況を可視化するツールとして、「IT資産管理ツール」の導入も有効です。IT資産管理ツールとは、企業が保有するIT資産全般を一元的に管理できるITツールです。
例えば、弊社住友電工情報システムが提供する「MCore」であれば、シャドーIT対策となる以下の機能を備えています。
- 私用のパソコンやスマホ、USBメモリなどの外部デバイスの情報登録や接続制限
- PC操作ログ管理機能による、社員の操作履歴(ブラウザの操作ログやメール送信履歴など)の情報収集・管理
- 外部デバイスに記録されているファイルの把握 など
ログ管理とは?ログ管理でPCの操作を監視して内部不正を防止する
シャドーIT対策を実施しコンプライアンス違反を防ごう
企業が認知できないシャドーITを放置していると、社員のミスや悪意ある行動によって、重大なコンプライアンス違反に発展する可能性があります。民間のITツールが身近になったことで、シャドーITへの対策がより必要になりました。
シャドーITを防ぐには、「企業のIT環境に対する不満を解消すること」です。適切なBYODを実施したり効率のよい代案を提供したりなどを行い、社員のニーズに沿ったIT環境を整えましょう。
弊社のIT資産管理ツール「MCore」であれば、外部デバイスの制御やPC操作ログ管理などの機能で、トラブルが起こる前にシャドーITを検知できます。その他にも優れたセキュリティ機能や管理機能によって、IT資産を効率よく管理できます。
IT資産管理/セキュリティ管理統合システム「MCore」より詳細な機能については、以下の記事をぜひご覧ください。
