シャドーITに注意!企業が負うリスクと5つの対策方法をわかりやすく解説
シャドーITとは、IT部門が許可していないデバイスやクラウドサービスのことです。セキュリティ対策が不十分なことが多く、シャドーITを無断で業務利用したことで情報漏洩が起こった事例があります。本記事ではシャドーITによって企業が負う具体的なリスクを紹介し、トラブルを防ぐ5つの対策方法を解説します。
目次
シャドーITとは 英語:Shadow IT
シャドーITの概要と、使ってしまう理由、BOYDとの違いについて解説します。
シャドーITは許可されていないデバイスやサービス
シャドーIT(Shadow IT)とは、IT部門が許可していないデバイス(パソコンやスマートフォン、タブレットなど)やクラウドサービスのことです。
ガートナー社によると、以下のように定義されています。
Shadow IT refers to IT devices, software and services outside the ownership or control of IT organizations.(シャドーITとは、IT組織の所有または管理外にあるITデバイス、ソフトウェア、およびサービスを指します。)
引用:Shadow It丨Gartner
シャドーITを判断するポイントは、IT部門が許可しているデバイスやクラウドサービスかどうかです。IT部門が無い企業の場合は、IT担当者と読み替えてください。
IT部門の許可なく利用されやすいシャドーITは、以下の3つが挙げられます。
- 個人契約のスマートフォン
- LINEなどのチャットツール
- Gmailなどのフリーメール
多くの方がプライベートで利用しているデバイスやツールが、業務でも利用されています。
「社長が許可しているから問題ない」「自分の上司が許可しているから問題ない」そういった声をよく聞きますが、IT部門が許可していないデバイスなどはシャドーITです。
また、会社が契約している有料のクラウドサービスはシャドーITではないと勘違いされやすいですが、有料かどうかは関係ありません。会社で契約していたとしても、IT部門が許可していないクラウドサービスであればシャドーITです。
シャドーITを使う理由は利便性が良いから
シャドーITを利用している約4割が、生産性の向上が見込めると感じています。
以下は、株式会社メタップスが大企業の社員600人にシャドーITの利用があるか調査した結果です。
- 約2割がシャドーITの利用経験あり
- 利用した経験のある方の約4割が、生産性の向上が見込めると回答
(参照:大企業社員600名に調査、シャドーITが生まれる理由の4割が「生産性の向上が目的」丨PR TIMES/出典元:株式会社メタップス)
社員600人の内、約50人は業務の生産性を上げるためにシャドーITを利用していることがわかりました。
また、「許可されたデバイスやクラウドサービス一覧」のようなものが無いと、何がシャドーITにあたるか判断できません。私のこれまでの経験上、許可されたデバイスなどの一覧表がない中小企業は多くありました。
実際に「どうしてシャドーITを使うんですか?」と聞いても、「シャドーITってなんですか?」「このクラウドサービスは使ってはいけないんですか?」と回答する人も珍しくありません。
シャドーITとBYODの違い
BYODとは、Bring Your Own Deviceの略で、IT部門の許可を得たうえで、個人で所有しているデバイスを業務利用することです。
すなわちシャドーITとBYODの違いは、IT部門が認めているデバイスかどうかです。また、IT部門の許可を得て外部のクラウドサービスを利用することをBYOA(Bring Your Own Application)といいます。
BYODとしてよく利用されるのが、個人所有のスマートフォンです。パソコンは会社から貸与するが、スマートフォンは個人所有のものを使わせるケースではスマートフォンがBYODになります。
BYODは企業側でデバイスを購入する必要がないため、費用負担を抑えられるメリットがあります。社員は使い慣れている自身のデバイスで業務できるのがメリットです。
一方で個人所有のデバイスは、会社貸与のデバイスに比べてセキュリティレベルが低くなるのに注意しなければいけません。もし、個人所有のデバイスの業務利用を許可するのであれば、業務上利用するスマートフォンなどを一元管理するMDM(Mobile Device Management)やセキュリティソフトを導入するなどの対策を取りましょう。
MDMやセキュリティソフトの導入が難しい場合は、個人所有のデバイスには業務データをダウンロードしないなどのルールが必要です。
他方で、シャドーITに対する言葉として、サンクションITがあります。サンクションITとは企業が利用を承認しているデバイスやクラウドサービスを指します。
シャドーIT、BYOD・BYOA、サンクションITの関係性をまとめると、次のようになります。
| 許可されていない | 許可されている | |
|---|---|---|
| 個人所有デバイス | シャドーIT | サンクションIT / BYOD |
| 個人契約クラウドサービス | シャドーIT | サンクションIT / BYOA |
| 会社所有デバイス | シャドーIT | サンクションIT |
| 会社契約クラウドサービス | シャドーIT | サンクションIT |
シャドーITによるリスクと具体例3選
シャドーIT、つまり会社が許可していないデバイスやクラウドサービスを利用していけない理由は、セキュリティリスクがあるからです。
「うちの会社に限ってセキュリティのトラブルは起こらない」
「スマートフォンを貸与するには費用がかかる」
「セキュリティ事故なんて滅多に起こるものではない」
たしかに、セキュリティトラブルが起きる可能性は高くないのかもしれません。しかし、セキュリティトラブルは会社の信用に大きく関わります。
シャドーITが原因で実際に起きたトラブルのなかから、ここでは実例を3つ紹介します。
①個人契約のクラウドサーバから個人情報漏洩
②個人情報を送付したフリーメールへ不正アクセス
③個人情報を保存したUSBメモリを紛失
個人契約のクラウドサーバから個人情報漏洩
某大学病院に勤務する医師が個人で使用していたクラウドサーバから、個人情報が漏洩しました。大学規定に反して、クラウドサーバに個人情報を保存していたところ、クラウドサーバのIDとパスワードがフィッシング詐欺によって盗まれたのです。
これがIT部門が管理しているクラウドサーバであれば、IDとパスワードだけではログインできない多要素認証の仕組みを導入しており、アカウントの乗っ取りを防げた可能性があります。
たとえアカウントが乗っ取られたとしても、IT部門がアカウントを停止することによって被害を小さくできたかもしれません。個人契約のクラウドサービスは手軽に利用できる一方、セキュリティレベルが低くなりがちであるため、情報漏洩は個人に対して責任が問われる可能性があります。
個人情報を送付したフリーメールへ不正アクセス
某市の複数の職員が、フリーメールを使って業務用の別のパソコンに個人情報を長年送付していたところ、個人情報を含んだフリーメールに対して海外を含む複数の不正アクセスがありました。
こちらの事例では個人情報が漏えいした可能性があると判断し、対象の職員は戒告の処分を受けています。
個人情報を保存したUSBメモリを紛失
個人情報を保存したUBSメモリを紛失するトラブルが、度々ニュースになっています。IT部門が許可しているUSBメモリであればパスワードを設定している可能性が高く、個人情報の流出リスクを最低限に抑えられるでしょう。
しかし、個人所有のUSBではパスワードが設定されていないことが多く、誰でも自由に情報を閲覧できる可能性があります。手軽にデータを持ち運べるUSBだからこそ、データの持ち出しには気をつけて、必ずIT部門の許可のあるUSBを利用しましょう。
シャドーIT対策の課題とトラブルを防ぐ5つの対策
シャドーIT対策の課題である「技術・運用・費用」と、トラブルを防ぐ5つの対策を順に解説します。
シャドーIT対策の課題
シャドーIT対策には、「技術・運用・費用」の3つの課題があります。
中小企業の場合、「IT部門が無い」「IT担当者はデバイス調達をしているだけ」など、専門の社員がいないかもしれません。そこでIT技術のあるエンジニアの採用、もしくは外部にセキュリティ対策の委託が考えられます。
しかし、どちらもセキュリティ対策は整いますが大きな費用がかかるため、技術・運用・費用のバランスを見ながら、まずはこれから紹介する5つの対策に取り組むことをおすすめします。
これから紹介する5つの対策は、予算の都合で実施できないものもあるかもしれません。その場合は、できる部分だけでも実施するのがおすすめです。対策数が多いほど、セキュリティリスクを下げられます。
対策①許可されたITを一覧にする
まず、何が許可されたITなのかを一覧にしましょう。許可されたITを一覧にすることで、許可されていないITをわかりやすくするためです。注意が必要なのは利用を許可するだけでなく、許可したITに対してセキュリティ対策をすることです。
たとえば個人所有のパソコンを業務に使う場合、退職時の対策をしなければそのままデータを持ち去ることになります。もしかすると、持ち去ったデータから重要な情報が漏洩するかもしれません。
LINEやフリーメールを業務に使う場合も、退職時にデータを削除するなど対策をしなければ、退職後も業務データを閲覧できる可能性があります。もし、アカウントを乗っ取られた場合は、IT部門が対処できず影響が大きくなるでしょう。
個人所有のデバイスなどの業務利用を許可する場合は、スマートフォンなどを一元管理するMDMやセキュリティソフトなどのインストールを必須としましょう。
対策②業務に必要なITは導入する
社員は便利だからシャドーITを利用しています。そのため、シャドーITをなくすためには、シャドーITに頼らずに快適に業務ができるようなIT環境を整えるのが理想です。
しかし、必要なITをすべて導入するのは費用面で大きな負担となります。
社員は業務をするうえで何が本当に必要なのか、必要な場合はどのデバイスやクラウドサービスが良いのか、それぞれの機能やコストを比較して導入を検討しましょう。
対策③セキュリティー対策の教育をする
シャドーITを増やさないためには、従業員ひとりひとりの心構えが大切です。そのためには、定期的な教育が有効です。
許可されたデバイスやクラウドサービスで円滑に業務を進められていたとしても、取引先から無料のオンラインストレージでファイル共有しようと提案される可能性があります。
IT部門の許可を得ていないサービスは利用してはいけないという認識があれば、取引先からの依頼であっても正しく断ることができるはずです。
シャドーITとは何か、利用したらどのようなリスクがあるのかを、従業員に理解してもらうことでトラブルを防ぐことが可能です。
対策④シャドーITの利用を制御する
シャドーITのトラブルを防ぐために、許可されていないデバイスなどを制御する方法があります。
IT部門がさまざまなセキュリティ対策を行っても、悪意を持って情報を持ち出す事件が起こる可能性があります。
IPA(情報処理推進機構)が公開している「情報セキュリティ10大脅威 2023」によると、「内部不正による情報漏えい」が第4位にランクインしています(参照:情報セキュリティ10大脅威 2023丨IPA)。
内部不正による情報漏えいを防ぐには、システム的に制御するのが有効です。たとえばUSBメモリを利用した情報の持ち出しを防ぐのであれば、パソコンのUSBポートを制御するソフトウェアを導入しましょう。
ほかには、オンラインストレージなどのクラウドサービス経由で情報を持ち出すのを防ぐのであれば、CASB(Cloud Access Security Broker)と呼ばれるサービスの導入が効果的です。CASBは従業員が利用しているクラウドサービスを可視化でき、利用を制御できます。
対策⑤ログをモニタリングする
シャドーITが使われていないか継続的にモニタリングすることでセキュリティリスクを下げられます。
シャドーITを利用しているか確認するためのモニタリング対象は、以下の3つが挙げられます。
- パソコンのログ
- ネットワーク機器の通信ログ
- 社内システムのアクセスログ
ログをモニタリングすることで、社員がどのデバイスやサービスを利用しているか確認できます。ログで許可していないITの利用が確認できたら、利用しないように注意しましょう。
シャドーITのトラブルが発生したら
シャドーITがあるとリスクが生じるのは前述したとおりですが、実際に発生してしまった場合、どうしたらいいのでしょうか。
結論から言うと、完全な解決は難しいでしょう。
例えば、IT部門で管理しているパソコンを紛失した場合、リモートでパソコンのデータを消去できる可能性があります。また、パソコンにインストールしている管理ソフトを利用すればどのような個人情報が保存されているか確認できるかもしれません。
しかし、許可されていない個人所有のパソコンに個人情報を保存し業務で利用しており、そのパソコンを紛失してしまったら、リモートでのデータ消去や保存データの確認が難しいのが実状です。
他方、Dropboxなどのオンラインストレージサービスのアカウントが乗っ取られて個人情報が漏洩した場合、IT部門で管理しているオンラインストレージサービスであれば、IT管理者が乗っ取られたアカウントの停止や、データを削除するなどの対応ができます。ログを確認して個人情報が何件漏洩したのか確認することもできるかもしれません。
しかし、個人で契約しているサービスのアカウントが乗っ取られたら、乗っ取った犯人がパスワードを変更するためログインできないケースが多いです。犯人に乗っ取られるとこちらでは操作ができないため、なにも対応ができません。
そのため、シャドーITに関しては、そもそも利用しないように、さきほど解説した5つの対策などを実践することが重要となります。また、日頃からシャドーITが利用されていないかチェックを行い、もし利用されているのであれば、それはなぜなのかヒアリングを丁寧にすることも大切です。
シャドーITはセキュリティ対策と一人ひとりの心構えが重要
シャドーITは正しいセキュリティ対策と、社員一人ひとりの心構えが重要です。
「どうせ会社にバレない」「自分に限って情報漏洩はしない」そう思っていても、実際にシャドーITが原因で情報漏洩は起こっています。そして、慣れていることを理由に、セキュリティ対策されていない個人所有のデバイスを業務で利用し続ければ、個人情報などの情報漏洩が起きる可能性は高まります。情報漏洩が起きると会社の信用は下がり、下がった会社の信用を取り戻すには長い期間を要します。
シャドーITの利用を禁止し、トラブルを未然に防ぐためには、前提としてIT部門が許可したデバイスやクラウドサービスはセキュリティ対策が整っていなければいけません。シャドーITはセキュリティ対策が不十分でありリスクが伴うこと、IT部門が許可したデバイスなどはセキュリティ対策が行われていることを理解することも重要です。
また、セキュリティトラブルが起きた場合には、すぐにIT部門へ連絡するなど対応の早さが求められます。初動の早さによって、セキュリティトラブルの影響をできるだけ小さくできる可能性があります。
さらに社員ひとりひとりがシャドーITを認識し、利用するリスクが高いと知ってもらうために、セキュリティに関する研修などを行うことも大切です。
同僚が、許可されていないにも関わらずLINEで顧客情報を送ってきたら、「それはシャドーITだからダメ。今すぐメッセージを削除して」と言える従業員がひとりでも増えると、セキュリティリスクは下がっていきます。
これらを聞くと、「セキュリティ対策ってお金もかかるし大変だな。いっそITはなるべく使わず、紙で業務したほうが良いな」と思われるかもしれません。ただ、ITは正しく使えば大変便利なもので、業務効率を上げるためには必須です。どうか、ITを駆使しない方向には進まないで欲しいと願っています。
スマートフォンやクラウドサービスの利用が当たり前になってきている今こそ、ひとりひとりがその扱いに気をつけて業務を行うことが大切だと、私は考えています。
