企業の情報セキュリティを脅かす深刻な問題として、近年「シャドー IT」が注目されています。シャドー IT は、企業の情報資産を危険にさらすリスクを高めます。
本記事では、シャドー IT と BYOD との違い、利用されやすいツール、実態と対策について解説していきます。
シャドー IT とは?BYOD と何が違う?
シャドー IT とは、従業員が業務で許可されていない IT ツールやサービスを勝手に利用することです。会社から支給された PC にツールを無断でインストールしたり、クラウドサービスを無断で契約したりすることがシャドー IT に該当します。
この無秩序な行為は、企業にとって深刻なリスク要因です。
個人所有のデバイスを業務で使う「BYOD(Bring Your Own Device)」と似ていますが、BYOD は企業が事前に承認し、利用ルールやセキュリティ対策を整備している点がシャドー IT と異なります。
シャドー IT として利用されやすいツールとは?
シャドー IT として利用されやすいツールを紹介します。従業員が利便性を求めて、業務に無断で利用するケースがほとんどです。
私用のデバイス
企業支給ではない個人所有のパソコンやスマートフォン、タブレットなどを、無申告のまま業務で使っている従業員は少なくありません。
「支給された端末が操作しづらい」「自宅で使い慣れたデバイスのほうが効率的だから」といった理由で、これらのシャドー IT が発生します。セキュリティ設定が不十分な場合、情報漏えいなどのリスクをともないます。
フリーの個人メール
Gmail や Yahoo!メールなどのフリーメールで業務連絡を行うケースが散見されます。手軽に新規のメールアカウントを作成可能な上に、あらゆる端末で送受信でき、使い勝手が良いため、シャドー IT になりやすいのです。
しかし、業務用メールアドレスと混同して機密情報を誤送信してしまうなど、重大インシデントが発生するリスクがあります。
チャットやSNS
LINE や Facebook メッセンジャー、X(旧 Twitter)の個人アカウントも、シャドー IT の代表例です。
メッセージのやり取りがスピーディで、会話の内容も時系列で表示されるため、利便性が高い一方で、アカウントの乗っ取りや誤送信による情報漏えいといったセキュリティ面での問題があります。
私用のストレージサービス
Google ドライブや OneDrive、iCloud、Dropbox など、従業員個人のオンラインストレージを業務ファイルの共有・保存に使う場合もシャドー IT とみなされます。
普段使いで操作に慣れていたり、無料でも大容量を確保できたりして便利ですが、一般的に個人利用のプランでは企業が求めるセキュリティレベルを満たせないため、私用ストレージの業務活用は推奨されません。
シャドー IT が発生する原因
シャドー IT が企業内にはびこる背景には何があるのでしょうか。従業員の立場に立って考えると、シャドー IT に走った原因がうかがえます。
業務効率化への欲求と IT リソースの不足
「このツールを使えば業務がもっと効率的にできそうだ」「会社が用意する IT ツールでは業務がしづらい」そう感じた従業員が、勝手にツールを使い始めがちです。
業務効率を求める意識や、社内 IT リソースの不足が、シャドー IT 発生の大きな原因となっています。従業員のニーズを満たせないと、自力で便利なツールを利用してしまい、結果としてシャドー IT につながるのです。
「自分だけの利用なら大丈夫だろう」そんな安易な認識を持つことで、従業員はシャドー IT を利用し、企業をセキュリティリスクに晒してしまいます。
従業員がシャドー IT のリスクを正しく認識していないと、簡単に起こってしまう問題なのです。
リモート勤務の増加
近年はリモートワークやテレワークの普及により、従業員が自宅や外出先で業務を行うことも珍しくありません。しかし、リモート環境下では、誰がどのツールを使っているかを企業の管理者側で把握することが難しくなります。
そのため、一部の従業員が、私用のデバイスやストレージサービス、SNS の個人アカウントを業務活用するケースが発生することがあるのです。
結果として、業務におけるセキュリティレベルを統制できない状態となり、サイバー攻撃の標的になるリスクが高まります。
シャドー IT 対策が難しい理由
企業がシャドー IT を把握・制御しようとしても、従業員が無許可で使用するクラウドサービスやアプリの数が多ければ、ネットワーク通信や端末ログから特定するのは困難です。
そもそも、一般的な Web サービスは HTTPS による暗号化がなされている場合が多いため、どんなデータがやり取りされているかを確認できません。仮に何を使用しているかがわかったとしても、実態を詳しく把握するには一定期間の監視と分析が必要になるでしょう。
このような背景から、シャドー IT は企業内で見過ごされがちです。結果的に、さまざまなセキュリティリスクが連鎖的に発生する可能性があります。
シャドー IT がもたらすリスク
企業にとってシャドー IT は無視できない課題であり、複数の深刻なリスクを引き起こします。
ここでは、シャドー IT が企業にどのようなリスクをもたらすのか、詳しく紹介します。
人的ミスによる情報漏えい
従業員が私的に利用するツールではセキュリティ意識が欠如しやすく、ファイルやメッセージの誤送信、USB メモリでのデータ持ち出しといったヒューマンエラーが発生します。
こういった経緯で機密データが外部に漏えいしてしまうと、企業の信用失墜が避けられません。
従業員個人の不注意が責められるよりも、日常的にシャドー IT ツールの利用を許していた企業の管理体制が厳しく追及されるでしょう。
アカウント乗っ取りや不正アクセス
フリーメールや SNS、チャットアプリなど、セキュリティ対策が十分でない個人用サービスを業務で使うことにも大きなリスクがあります。個人アカウントの ID やパスワードは流出しやすく、さらに乗っ取られたアカウントを踏み台にして、悪意の第三者が機密情報を閲覧したり、不正に悪用したりすることができてしまいます。
従業員になりすまされると、不正アクセスの検知や対応が遅れてしまい、被害はますます拡大するでしょう。
サイバー攻撃
シャドー IT となる私用デバイスや個人利用のクラウドサービスは、企業の管理下にないため、アップデートやセキュリティ対策が徹底されているわけではありません。
もし、マルウェアに感染していれば、その端末やサービスから社内ネットワークにも感染が広がります。企業全体のシステムへ攻撃が波及し、重要な情報資産を危険な状況に晒すことになるでしょう。
その結果、データの改ざんや盗難、情報漏えいなどを引き起こすリスクがあります。
IT コストの増加
シャドー IT が無秩序に増えると、電力やストレージ使用量が増大し、システムの冗長化やトラブル対応などの運用コストが膨らみます。
把握されていないツールを調査・監視する負荷も、企業にとっては本来なら不要な出費ですが、放置するわけにもいかず悩ましいところです。
ガバナンスの崩壊
従業員がそれぞれ自由にツールを選んで業務を進めると、各ツールで細かい仕様などが異なるため、データの一元管理が難しくなります。部署単位で統制できない状態が企業全体まで広がると、監査対応やコンプライアンスにも悪影響を及ぼしかねません。
組織としてのガバナンスが崩れてしまえば、信頼性の低下や法的リスクにもつながります。
シャドー IT にはどう対策する?
シャドー IT が企業に与えるリスクは甚大ですが、適切な対策を講じることでリスクを低減できます。シャドー IT 対策に取り組む際、最初に重要となるステップを押さえた上で、各施策を着実に実行していくことが肝心です。
シャドー IT の対策には、おもに以下の5つがあります。
- シャドー IT を可視化する
- セキュリティポリシーを整備する
- 従業員に対するシャドー IT 教育を実施する
- 業務で利用可能な代替ソリューションを活用する
- 柔軟なツール検討ができる環境を整える
1. シャドー IT を可視化する
シャドー IT を適切に管理するには、まずその実態を正確に把握する必要があります。組織内で起きているシャドー IT の全容を可視化し、現状を掴むことが対策の出発点となります。IT 部門が主導し、従業員に利用実態のヒアリングを行ったり、ネットワークの通信を監視したりと、徹底的な実態の収集に努める必要があります。
2. セキュリティポリシーを整備する
シャドー IT の実態を把握したら、すぐにセキュリティポリシーの整備に着手する必要があります。業務でどの IT ツールの使用が許可されるのか、ポリシーを明確にし、従業員に対して周知徹底することが重要です。周知の際は研修を開くなどして、ポリシーの内容を従業員一人ひとりに浸透させることが求められます。
3. 従業員に対するシャドー IT 教育を実施する
セキュリティポリシーの周知とあわせて、シャドー IT が企業にもたらす危険性について、従業員一人ひとりの意識を高める取り組みも欠かせません。シャドー IT による情報漏えいリスクやコスト増の恐れなどを、インパクトを持って啓発し、シャドー IT 利用の抑制を図る必要があります。
4. 業務で利用可能な代替ソリューションを活用する
無秩序にシャドー IT が利用されるのを防ぐため、会社として業務で利用可能なセキュアなソリューションをあらかじめ用意し、従業員に提供することも有効な施策です。シャドー IT は業務の効率化ニーズから発生するケースが多いため、利便性とセキュリティを両立したソリューションを用意し、従業員がシャドー IT に手を染める必要がないよう配慮することが重要です。
5. 柔軟なツール検討ができる環境を整える
従業員が使いやすいと感じるツールをリクエストできる制度を用意することも重要です。定期的なアンケートや相談窓口を設けて、現場の声を拾いながら業務効率化につながる IT ツールの導入可否を検討するといった環境を整えるとよいでしょう。
シャドー IT として非公認で使われているツールについては、セキュリティ要件を満たす形で制限をかけて業務活用できないか考えてみることも有効です。柔軟な運用が実現すれば、シャドー IT の野放し状況も改善されます。
企業の柔軟さがシャドー IT のリスクを低減する
シャドー IT は企業の存続を脅かす深刻な問題です。情報セキュリティ上の脅威に加え、コスト増加、ガバナンス崩壊など、多岐にわたる深刻な影響が生じる可能性があります。このようなリスクに手を打つには、まずシャドー IT の実態を正確に把握することが不可欠です。組織内のシャドー IT 利用状況を可視化し、客観的な情報収集から対策を始める必要があります。
一方で、業務の効率性やユーザビリティを損なうことなく、セキュリティを確保することも重要な課題となります。シャドー IT によるリスクを低減させつつ、利用者の利便性も維持できる方策が求められています。シャドー IT は従業員の些細な行動から生じるものの、一度発生すれば企業に重大な被害をもたらしかねません。シャドー IT への適切な対策は喫緊の課題であり、その実態把握と予防策の確立が企業の存続に関わってくるといっても過言ではありません。
