シャドーITとは? 発生する原因と企業の取るべき対策を解説

テレワークやクラウドサービスの流行に伴い、シャドーITという問題が顕著になってきました。今回は、シャドーITとは何なのかということについてわかりやすく解説します。

シャドーITとは

最近はテレワーク等が浸透するに伴い、企業では新たなセキュリティ対策に取り組むようになりました。テレワークで、モバイルデバイスを利用する場合、事前に社内に申請し、承認された機器の利用に限定する、などです。しかし、社員が様々な環境で働くため、社員各々の使用環境を細かくコントロールすることは事実上不可能です。そのため、セキュリティ上の問題が散見されます。 具体的には、企業が承認していないPCやスマートフォン、タブレット等を業務に利用していたり、会社が許可をしていないクラウドサービスを業務で使用していたりします。このように、会社が利用実態を把握していないデバイスやサービスのことをシャドーITと言います。殆どの場合は、個人が無許可で利用しているものなので、企業は対応を迫られています。

シャドー IT と BYOD との違い

BYODとは、Bring Your Own Deviceの略で、業務への個人端末の持ち込みのことを指します。個人のPCやスマートフォンなどを業務に使用するという点ではシャドーITと同様です。しかしながら、BYODは会社が承認しているものに対して、シャドーITは、会社の承認がされていません。BYODの場合は、会社が利用を承認するにあたって、一定の基準に則って安全面の把握を管理しています。一方でシャドーITは、無秩序となります。 シャドーITを制限する方法としては、会社からパソコンやスマートフォンを支給する方法や、BYODとして個人の端末を使用し、それに対し対価を支給するという方法があります。 また、クラウドサービスでは、無料版を使用せずに会社で法人向けを契約して従業員に使用させるという手段があります。法人向けでは、無料版ではできないルールを設けることもあります。

シャドー IT が発生する場面とその問題点

シャドーITが発生する具体的な場面やその問題点として次のようなものがあります。 ①SaaS(*1)の利用 基本的には従来、IT部門がシステムを選定/導入してきましたが、部門での導入や個人での利用により、適切なセキュリティ運用が担保されないまま、利用がされている可能性があります。この場合、それらのサービスを通して、社内のデータが漏洩するリスクがあります。また、この漏洩したデータにより、不正アクセスをされるなど二次的な危険性もあります。 *1 SaaS:Software as a Service ②無線LAN 無線LANにはパスワードがあればアクセス可能となります。パスワードは強度の弱い暗号方式を利用している場合があります。また、現在接続されているパソコンの設定を見ればパスワードを見ることができます。そのため、無線LANを使用していると、承認していない端末を接続することが可能となります。 また、無線LANには、敷地外からの不正アクセスを受ける可能性も残っており、ルーターの設置場所などを十分検討する必要があります。 ③個人端末をパソコンへ接続 スマートフォンなどの個人端末を会社のパソコンにつなげば、外部ストレージとして利用することができます。そのため、会社の重要なデータも持ち出すことが可能となります。 また、スマートフォンがウイルスに感染していた場合、接続がきっかけとなり、社内のパソコンがウイルスに感染する恐れもあります。 ④クラウド型のストレージサービス

DropboxやGoogleDrive等を業務で使用している場合もあります。業務のみならず個人でも大容量が保存が可能なため、個人での利用するケースも多くなっています。社員が業務用のストレージから個人用のストレージにデータを移行すると、データ漏洩に繋がります。 ⑤チャットサービス 法人契約しているチャットサービスであれば内容を管理できますが、個人契約したものは会社が内容を把握することができません。そこで重要なデータのやりとりを行えば、重大なセキュリティ事案に繋がりかねません。

シャドー IT が起きやすい理由

主な理由としては、2点あります。 ①利便性が高いサービスが増えた インターネットを介したサービス(クラウドサービス)が増えたことにより非常に便利になりました。オンプレミスのサービスと比較して、簡単に利用することができるようになったため、特に利用影響やセキュリティを考慮することなく、個人で無許可でクラウドサービスを使用するケースが増えました。 ②仕事の効率化 オンプレミスのサービスでは、社内からのアクセスに限定されていました。そのため、例えば資料を閲覧するためには、会社のオフィスに移動してサービスにアクセスする必要がありました。クラウドサービスを利用すれば、移動時間も無駄にせずに効率的に仕事を行うことができます。こうして様々な場所で業務を行うことができるようになった結果、自宅のPCやネットカフェの端末を使ってアクセスする=シャドーIT化するという状況をもたらしました。これらは悪意を持って行っているわけではありませんので、防止することは容易ではありません。

シャドー IT を防止するための対策

シャドーITを完全になくすことは事実上不可能です。しかしながら、次のような対策を行うことで、シャドーITを防ぐことができる可能性があります。 ①必要なサービス・ツールを法人契約する。 規制するだけではシャドーITを防げません。社員の利用実態を把握することが重要です。社員がシャドーITを使用する原因としては、会社に必要なサービスやツールが不足していることが考えられます。 したがって、社員の利用状況を把握し、、利用サービスを法人契約することにより、確実に管理することができます。 ②利用状況を把握する。 会社の情報の流れがどうなっているのか把握することが重要です。例えば、会社のパソコンから個人のクラウドサービスにアクセスしていないか、パソコンに個人端末を接続していないか等を把握することで、情報漏洩するリスクを軽減することが可能です。 ③社員教育 一番重要なのは社員がルールを遵守することです。そのためには、なぜシャドーITを使用してはいけないのか十分理解させることが重要です。外部講師などを招聘して社員にセキュリティ教育を行うことも重要です。

まとめ

シャドーITは、会社が必要十分なシステムを提供し、社員がルールを守らないと発生します。システムも何でも導入すれば良いのではなく、セキュリティ面やコストなど多々検討するポイントがあります。 会社として何が最適なのかを検討し、シャドーITが発生しないようにしましょう。

執筆:橋爪兼続

ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。