シャドーITとは
シャドーITとは、部署や個人の独断で業務利用されているIT機器やシステムやアプリ、クラウドサービスなどを指します。IT部門が把握できていないため適切に管理されず、「脆弱性のあるシステムを導入してしまう」「最新のバージョンにアップデートされていない」など、高いセキュリティリスクを抱えています。
特に、簡単な会員登録で利用できるサービスや、無料でインストールできるソフトなどは導入のハードルが低く、従業員は悪気がなく利用しているケースも多くあるでしょう。
シャドーITとBYODの違い
シャドーITと混同されやすい単語として、BYODが挙げられます。BYODとは、Bring Your Own Deviceの略語で、個人の私物端末を業務に使用する方法を指します。
シャドーITとBYODは、IT部門が利用許可をしているか、私物の端末利用を把握しているかどうかという点で異なります。BYODは従業員の私用端末を業務利用することを認めたうえで、必要なセキュリティ対策を行います。例えば、モバイル端末の管理システム「MDM」を使って私用端末へセキュリティソフトを一括インストールしたり、私用端末を私用する業務範囲を限定したりするケースが見られます。
一方、シャドーITはそもそもIT部門が存在を把握できていないため、BYODのような管理やセキュリティ対策は講じられていません。そのため、「私用端末を業務利用する」という点は共通ですが、セキュリティリスクはシャドーITのほうが高くなります。
【無料お役立ち資料】クラウドPBXまるわかりガイド
シャドーITの解消にも効果的な「クラウドPBX」の特徴やメリットをわかりやすく解説した資料を提供しています。
シャドーITがもたらすリスク
先述の通り、シャドーITによってセキュリティリスクが大きく高まります。具体的なリスクとしては、以下のようなものがあります。
- 情報漏洩
- マルウェア感染
- アカウントの乗っ取り
- ネットワークへの侵入
それぞれどのようなリスクがあるのか、以下で詳しく見ていきましょう。
情報漏洩
シャドーITの代表的なリスクが、情報漏洩です。セキュリティ対策が不十分な端末やサービスを業務利用すると、以下のような事故が起きる可能性があります。
- 顧客情報を保存していたクラウドサービスがサイバー攻撃を受けて情報が流出した
- クラウドサービスのID・パスワードが流出して不正アクセスが起きた
- 機密情報を保存した私用スマートフォンを紛失した など
セキュリティ対策が充実したクラウドサービスなら、サイバー攻撃や不正アクセスのリスクを抑えられます。しかしシャドーITはサービス選定にIT部門が介入しないため、セキュリティ対策があまり重視されていない可能性があります。
また、会社支給の端末に必要なセキュリティ対策を講じていれば、紛失時に遠隔でデータを消去をできる場合があります。一方、セキュリティ対策を講じていない私用端末であれば、紛失や破損時のリスクが高まります。万が一、紛失した端末が悪意のある第三者に拾われると、機密情報や個人情報が漏洩するおそれがあるでしょう。
マルウェア感染
IT部門が管理していない端末はセキュリティソフトの導入や最新バージョンへのOSアップデートなどを徹底できず、マルウェア感染のリスクが上がります。また、Web上にはマルウェアが仕込まれた悪意のあるソフトやアプリが存在し、従業員個人の判断でこのような危険なソフトをインストールしてしまう場合もあるでしょう。
マルウェアに感染すると、端末に保存しているデータが抜き取られたり、データを暗号化されて解除のための身代金を請求されたりする可能性があり、企業にとって大きな脅威となります。
アカウントの乗っ取り
シャドーITでセキュリティ対策が不十分なサービスを利用すると、アカウントが乗っ取られる可能性があります。何らかの原因でIDとパスワードが流出してアカウントが乗っ取られると、サービスに保存しているデータをすべて閲覧されてしまいます。機密情報や顧客の個人情報などを保存していた場合、その被害は甚大です。
しっかりとセキュリティ対策が講じられたサービスなら、ID・パスワードが流出しても二段階認証や端末制限によって不正ログインを防げます。しかし、セキュリティリスクに疎い部署や従業員が導入するシャドーITは、このような対策が施されていないケースも珍しくありません。
ネットワークへの侵入
IT部門が管理・把握していない端末を社内ネットワークに接続すると、ネットワークへの侵入リスクが上がります。先述の通りシャドーITにはマルウェア感染のリスクがあり、マルウェアに感染していることに気づかないまま業務で使用していると、社内ネットワークに侵入されるおそれがあります。
ネットワークへの侵入が起こると、業務システムのデータ改ざんや、他の端末へのマルウェアの感染拡大など、より大きな被害に発展するかもしれません。
シャドーITが発生しやすいケース
シャドーITが発生する具体例として、以下が挙げられます。
- 私用のスマートフォン・PC
- オンラインストレージサービス
- フリーメールサービス
- チャットツール
それぞれどのような使われ方をされているのか、以下で解説します。
私用のスマートフォン・PC
利用のスマートフォンやPCの業務利用は、シャドーITの代表例です。例えば外出や出張の多い従業員にノートパソコンやスマートフォンを支給していないと、外で資料やメールを確認できません。その結果、不便を感じて勝手に私用端末にデータを保存してしまう従業員が出てきます。現代ではほとんどの人がスマートフォンを持っているので、特に発生しやすい事例のひとつです。
オンラインストレージサービス
オンラインストレージサービスは、データ共有のために無断で活用されるケースが多く見られます。特に、「コロナ禍で急遽テレワークを導入したため、データ共有ツールをすぐに用意できなかった」といった企業は注意が必要です。それぞれの部署がデータ共有の方法を模索した結果、勝手にオンラインストレージの活用を始めている可能性があります。
フリーメールサービス
無料で簡単にアカウントを取得できるフリーメールも、シャドーITのよくある例です。具体的な使い方としては、「社用アドレスに届いたメールをフリーメールに転送していつでも見られるようにしている」「フリーメールに資料を送信して自宅で業務を続けている」などがあります。このような使い方をしていると、メールの内容や添付ファイルが流出する原因になります。
チャットツール
LINEをはじめとするチャットツールを日常的に活用している人は多く、プライベート利用の延長線上で業務に関する連絡をしているケースもシャドーITに該当します。チャットツールが使われるのは、「メールを送るよりチャットで一言連絡したほうが早い」といった手軽さが要因のひとつです。連絡ツールとして電話・メールしか提供していない企業では、チャットツールのシャドーITにも注意しなければなりません。
シャドーITが生まれる原因
シャドーITの発生を防ぐには、まずシャドーITが生まれる原因を理解しておく必要があります。シャドーITが発生しやすい企業には、以下のような特徴があります。
- 利用している端末やサービス・ソフトが不便
- 新たなツールの導入に手間がかかる
- リテラシー不足
以下で、シャドーITが生まれる原因を詳しく見ていきましょう。
利用している端末やサービス・ソフトが不便
シャドーITが発生している企業によく見られるのが、業務用に提供している端末やサービス・ソフトが不便というケースです。株式会社メタップスのアンケート調査では、シャドーITを行った理由として41.7%が「生産性向上が見込めるから」、25.0%が「会社で利用しているサービスが非効率だから」と回答しました。
この結果から、企業側が提供する端末やサービスだけでは不十分だと感じている人が多いことが伺えます。企業が提供する端末やサービスに従業員が満足していれば、わざわざ別のサービスを新たに導入する必要はありません。シャドーITが発生している企業では、既存の端末やサービスに従業員が不満を感じている可能性があります。
新たなツールの導入に手間がかかる
各部署からの要望で新たなツールを導入する際、従業員申請と上長許可のフローを設けている企業も多いでしょう。申請に手間がかかるのも、シャドーITが生まれる原因のひとつです。
「申請書の項目が細かすぎて記載が大変」「承認までに時間がかかる」といった状況では、「無許可で導入してしまったほうが早い」と考える従業員が出てきます。特に、従業員が既存の端末やサービスに不便を感じている場合は、現状を早く改善するために申請手続きを行わずに、勝手にサービスを導入してしまう可能性が高まります。
リテラシー不足
従業員のリテラシー不足で、「未許可の端末やサービスを業務利用しても問題ないと思っていた」というケースもあります。株式会社メタップスのアンケート調査では、シャドーITを行った理由で2番目に多かったのが、「特に問題はないと思ったから」(31.7%)でした。
シャドーITによってどのようなセキュリティリスクがあるのか理解できていないと、悪気なく無料ツールやクラウドサービスを使ってしまう人もいるでしょう。リテラシーの低い従業員が多いほど、シャドーITが発生する可能性が高まります。
シャドーITを防ぐための対策
先述の「シャドーITが生まれる原因」を踏まえると、シャドーITを防ぐには以下のような対策が効果的です。
- ITポリシーの明確化・社内教育の充実
- ニーズへの迅速な対応・承認プロセスの簡略化
- BYODの実行
- アクセス管理ツールの導入
それぞれの対策内容について、以下で解説します。
ITポリシーの明確化・社内教育の充実
情報セキュリティに関するリテラシーを底上げするために、自社のITポリシーを明確にして従業員に周知・教育しましょう。「私用端末に業務データを保存しない」「新たにITツールに導入したい場合はIT部門に申請する」など、ルールや禁止事項をまとめたガイドラインを策定してください。明確なガイドラインがあると、社内教育を進めやすくなります。
社内教育ではガイドラインの周知のほか、実際にシャドーITによってセキュリティ事故に発展した事例などを紹介するのも効果的です。「シャドーITの何が問題なのか」「具体的にどのようなリスクがあるのか」の理解を促すことがシャドーITの抑止につながります。
ニーズへの迅速な対応・承認プロセスの簡略化
企業側が各部署のニーズに迅速に対応すれば、部署や個人が個別にITツールを導入する必要はなく、シャドーITが発生するリスクを下げられます。各部署からのヒアリングを元に、法人向けの高度なセキュリティ機能が提供されているツールを導入することで、社内のニーズに応えつつセキュリティレベルを維持できるでしょう。
クラウドサービスやアプリは次々と新しいものが登場するため、各部署の業務内容に応じて新たなツールの導入を求められることもあります。しかし、申請・承認に手間がかかりすぎるとシャドーITのリスクが高まるため、従業員のニーズに早急かつ柔軟に応えられる承認プロセスを整えることも大切です。
BYODの実行
私用端末の業務利用のニーズがある場合は、一律禁止とするのではなくBYODを取り入れるという方法もあります。利用者と端末の申請を必須とするなど運用ルールを決め、MDMなどのセキュリティツールを導入すれば、セキュリティリスクを抑えながら私用端末の業務利用が可能になります。
私用端末の業務利用に対する従業員のニーズが高い場合は、セキュリティ対策を講じた上でBYODの導入を検討してみましょう。
BYODとは?|導入に向いている企業とメリット・デメリットを解説
BYODについては「BYODとは?|導入に向いている企業とメリット・デメリットを解説」の記事で詳しく解説しています。
アクセス管理ツールの導入
シャドーITの防止につながる環境や制度を整えることも大切ですが、対策を講じてもシャドーITが発生する可能性はあります。そのため、技術的にシャドーITの制限と発見ができるアクセス管理ツールの導入も検討してみてください。
アクセス管理ツールにはさまざまなものがありますが、例えばクラウドサービスの利用状況を可視化する「CASB」を使うと、無許可で利用されているサービスを検出できます。また、特定のWebサイトやサービスへのアクセスを制限して、物理的に利用できない環境を構築するのも対策のひとつです。
まとめ
シャドーITが生まれるのは既存の端末やサービスに対する不満や、新たなツールを導入する際のハードルの高さが原因です。また、「そもそも未許可のツールの業務利用が禁止だと知らなかった」という従業員もいるかもしれません。
シャドーITの発生を防ぐには、従業員からのニーズへの対応とセキュリティ教育の実施が効果的です。シャドーITは重大なセキュリティ事故につながるおそれがあるため、早急に対策を講じましょう。
【無料お役立ち資料】クラウドPBXまるわかりガイド
シャドーITの解消にも効果的な「クラウドPBX」の特徴やメリットをわかりやすく解説した資料を提供しています。
