シャドーITとは社員が独自で導入し企業が認知できていない機器やサービスのことを指します。
近年、便利なクラウドサービスの普及や、モバイルデバイスの利用、リモートワークの導入など、環境や働き方が大きく変化しました。
その反面、個人端末や外部サービスを無断で業務利用する「シャドーIT」という新たな問題が浮上しています。
しかし、「シャドーITという言葉は聞いたことはあるが、何が問題なのかよくわかっていない」「シャドーITにどんな対策をしたらいいか、よくわからない」という方も多いのではないでしょうか。
今回は、シャドーITとは何か、危険性やトラブルを解説し、必要な対策まで解説します。
情報漏洩対策を見直したい、クラウド時代にあわせたセキュリティ対策を考えていきたい、という方はぜひ参考にしてみてください。
シャドーITとは企業が認知していない機器やサービスのこと
シャドーITとは、社員が独自で導入し企業が認知できていない機器やサービスのことを指します。
シャドーITの例は以下の通りです。
- 従業員が社内に持ち込んだ私用のスマートフォン・タブレット・USBメモリなどデジタル機器
- 私用の端末で操作できるソフトウェア・サービス
- 情報システム部門の許可なく、各部署の判断で導入された機器・システム
このように知らないうちに導入されたり、持ち込まれた機器やサービスをシャドーITと言います。
シャドーITの影響によるリスク
企業が認知できていない外部機器やサービスを利用・導入されるシャドーITは、以下のリスクが挙げられます。
- 情報漏洩
- アカウントの流出・乗っ取り
- LAN侵入によるウイルス感染
企業の管理が及ばないシャドーITはセキュリティが万全ではなく、情報漏洩や企業が利用しているSNSやクラウドサービスのアカウント流出してしまう可能性があります。
私物のデジタル機器がマルウェアなどのウイルスに感染したまま企業の無線LANを利用した場合、ネットワークにつながっている社内機器全てにウイルスが感染する可能性もあります。
このようなトラブルが発生した場合、システム復旧や対応に追われるだけでなく、企業のセキュリティ面での信頼性も失われてしまいます。
そうならないためにも、企業でシャドーITが発生していないかの確認と、発生させないための対策が必要になります。
シャドーITとBYODの違い
シャドーITと混同されがちな用語として、個人端末の利用を会社側が把握している「BYOD(Bring Your Own Device)」がありますが、2つのちがいは「個人端末の利用許可の有無」です。
そもそもBYODとは、個人が私物として所有しているデジタル機器を業務に利用する形態を指しています。
現在の働き方でいうとリモートワークで個人のパソコンを使用するケースなどが当てはまります。
BYODは個人端末の利用を許可しているため、シャドーITには当てはまりません。
ただし、BYODはセキュリティの管理が難しく、企業が把握している用途以外の使い方でウイルス感染や情報漏洩が発生した場合はシャドーITに当てはまります。
シャドーITに当てはまる5つのケース
ここからはシャドーITに当てはまる5つのケースについて解説します。
シャドーITに当てはまるケースは以下の通りです。
- 無料のファイル共有サービスの利用
- チャットツールの利用
- 個人端末の利用
- 公共の無料Wi-Fi(無線LAN)利用
- 持ち帰り残業の発生
もし1つでも当てはまる場合は、被害を受けないようにすぐに対応する必要があります。
それぞれ詳しく解説します。
ケース1:無料のファイル共有の利用
無料のファイル共有サービスは、大容量サイズのファイルでも共有できることから便利なサービスですが、第三者が閲覧できてしまったり、パスワードを突破されてしまったりといった情報漏洩のリスクがあります。
サービス自体がサイバー攻撃を受け、機密情報などのファイルが流出してしまう可能性があります。
過去にアメリカの無料で利用できるオンラインストレージサービスがサイバー攻撃を受け、パスワードを利用せずにファイルが格納されているアカウントにアクセスできるというセキュリティ障害が発生しました。
参考:オンラインストレージのセキュリティリスクと過去の事故事例
無料サービスは手軽に利用できるため、使い勝手が良いサービスではありますが、企業の機密情報やクライアントに関わる情報の共有には向いていません。
特にファイルの移動や共有では従業員が意識せずに無料サービスを利用する可能性があるため、注意が必要です。
参考:セキュリティソフト11選を徹底比較!選ぶ際のポイントも解説
ケース2.チャットツールの利用
クライアント先や社内で利用するチャットツールは気軽にコミュニケーションを取ったり、ファイルを共有できるサービスですが、うっかりしたミスで機密情報を外部に漏らすなどの情報漏洩リスクがあります。
例えばLINEを社内用のチャットツールとして利用している場合、従業員同士で連絡を取り合うだけでなく、プライベートの連絡も混在します。
機密情報を手軽に送受信できるだけでなく、企業・個人での利用が混在しているため、誤送信による機密情報の漏洩は十分にあり得ます。
企業で利用するチャットツールにはセキュリティ性の高い法人用のツールやプライベートでの利用ができないツールを選ぶなどチャットツールの選定が必要になります。
チャットツールについては以下の記事で詳しく解説しています。
参考:【2022年最新版】ビジネスチャット16選!シェア・料金・機能などを厳選比較
ケース3.個人端末・機器の利用
個人端末・機器をビジネスに利用する場合、紛失・盗難が起こった際に企業秘密や顧客データが流出してしまう危険性があります。
2022年の6月に尼崎市で発生した「尼崎市民46万人の個人情報の入ったUSBメモリーが紛失した事件」では、業務委託先の従業員がが無断で私用のUSBメモリを使用していたことが事の発端となりました。
参考:全市民46万人の個人情報が流出の危機、 バックアップ用のUSBも同時に紛失 | 日経クロステック(xTECH)
そもそも社内のデータは個人で管理するものではないため、個人端末・機器を利用するのは不適切です。
また、ウイルス・マルウェアに感染した個人端末を社内のネットワークに繋ぎ、知らぬ間に社内全体にウイルス・マルウェアが広まってしまうリスクもあります。
そのため、個人端末・機器の利用を制限する、もしくは利用できない環境を構築することが大切です。
ケース4:公共の無料Wi-Fi(無線LAN)利用
公共の無料Wi-Fi(無線LAN)利用様々な場所でネットワークに繋げられる利便性を持つ一方、セキュリティは万全ではありません。
公共の無料アクセスポイントは誰でも簡単に接続できる分、セキュリティ性が低いため、マルウェアの感染やパソコンの情報を抜き取られる可能性があります。
また、フリーWi-Fiを装った「なりすましWi-Fi」という方法でWi-Fiに接続したユーザーを偽サイトに誘導し、個人情報の抜き取りやマルウェア感染の被害に遭う可能性もあります。
公共の回線を利用することで、悪意のある第三者から盗聴や情報の抜き取りといった被害に遭うリスクがあるため、業務時には社内が許可したWi-Fiのみの使用に制限したり、ポケットWi-Fiを提供するなどのセキュリティ対策が必要になります。
ケース5:持ち帰り残業の発生
持ち帰り残業の発生により、業務に使うデータを私用のUSBメモリーに移行したり、社内パソコンを持ち帰って残業を行っている場合は情報漏洩の危険性があります。
働き方改革により業務の効率化や残業時間の削減が行われる中、業務内容や業務量は変わらずに時間内に業務が終わらないため社員も多いです。
その結果、持ち帰り業務が発生してしまい、社内の機密ファイルを私用のUSBメモリーに移したり、メールやファイル共有アプリによるデータの持ち出しが発生してしまうのです。
22年5月には教職員が学生89名の個人情報が記録されたUSBメモリを紛失し、個人情報が流出したトラブルがありました。
企業は社員の持ち帰り業務による情報漏洩を発生させないために、業務の分担や無駄な業務の排除を行うなどの対応が必要になります。
参考:USBメモリ紛失は他人事ではない! 事例から学ぶ、今だからこそ見直したいUSBメモリ管理とその対策! | wiz LANSCOPE
シャドーITへの対応策
シャドーITの具体的な対応策は以下の通りです。
- セキュリティ対策が万全な法人向けクラウドサービスを導入する
- クラウドセキュリティの導入
- MDMツールの導入
- 社員に対するセキュリティ教育
- ガイドラインの設定
シャドーITの抑制に最も効果があるのは、企業のセキュリティを向上させることです。ただし、導入コストがかかってしまうことがネックです。
導入コストをかけない方法としては、社員に対するセキュリティ教育やガイドラインを設定するなどの方法がありますが、効果がでるまで時間がかかってしまいます。
最善の方法はこれから紹介する全ての対策を講じることですが、企業によってかけられるコストが異なりますので、自社に対策方法を選んでください。
対策1:セキュリティ対策が万全な法人向けクラウドサービスを導入する
シャドーITを未然に防ぐ手段として、使い勝手が良くセキュリティ対策が徹底された法人向けクラウドサービスを導入するという方法が挙げられます。
ファイル共有やチャットなどの必要な機能を社内インフラとして整備してしまえば、セキュリティが確保されていない外部サービスを利用するよりもはるかに安全に、情報共有や連絡ができるようになります。
法人向けのクラウドサービスは2段階認証や本人確認などのセキュリティ対策が万全なため、ファイルの共有や社内でのコミュニケーションをより安全に行えます。
法人向けのクラウドサービスを導入する際には月額・年額のコストがかかります。
例えば、法人向けのオンラインストレージを導入する場合は月額30,000円前後、利用ユーザーが10人以上の場合はファイルの共有も多くなるため、月に数十万円のコストがかかります。
対策2:クラウドセキュリティの導入
クラウドやモバイルデバイスの利用を可視化・把握できる「CASB(キャスビー)」を導入し、セキュリティを向上させるという方法もあります。
CASBとは、「ユーザーのクラウドサービスの利用状況を把握するソリューション」のことです。
「誰が」「どのデバイスで」「どのクラウドサービスに」「どのデータを操作したか」を明確にし、一括で把握できます。
これによって、従業員のクラウドサービスの利用状況を監視し、把握されていないクラウドサービス利用を洗い出してセキュリティポリシー違反を取り締まることができます。
シャドーITを検知できるようになります。
CASBは社員一人一人にユーザー権限を付与する必要があり、年額で一人当たり20,000円前後かかります。社員が10人だとすると20万円以上かかりますので、導入コストは高くなります。
対策3:MDM(モバイル端末管理)ツールの導入
社員に社内携帯やタブレットを提供している企業は端末の紛失・盗難から機密情報を守るMDMツールの導入もおすすめです。
MDMツールはモバイル端末(スマホ・タブレット)を一括管理し、各端末のセキュリティを強化するツールです。
主な機能としては、「盗難・紛失時の遠隔操作」、「データ送信の暗号化などによる情報漏洩防止機能」などがあります。
契約時にスマホやタブレットを利用する企業はMDMツールの導入がおすすめです。
MDMツールは管理する端末一台につき月額費用がかかる仕組みです。一台あたり500円前後で導入できるので、他のセキュリティ対策に比べると比較的安価で利用できます。
参考:「禁止」より「管理」が重要!シャドーITを防ぐ4つの対策 | Work × IT
対策4:社員に対するセキュリティ教育
社員一人一人が情報管理に対する危機意識をしっかりと持つことが重要です。
会社全体でシャドーITがもたらすリスクについて共有し、全員が実践できることを目指しましょう。
外部から情報セキュリティの専門家を講師に招く、もしくはeラーニング用サイトを利用するなどして社員へのセキュリティ教育を推進しましょう。
対策5:ガイドラインの設定
シャドーITの抑制には私物端末の利用禁止や社内データの持ち出し禁止など、ガイドラインを設定するのも有効です。
シャドーIT対策の管理者を設け、社員が私物端末を利用しなければならない場合のみ、管理者の許可を得る仕組みを作ることで、シャドーITに対しての意識がより一層高まります。
ガイドラインを設定する際は以下を参考にしてください。
- 機密情報、個人情報は個人PC・モバイルに格納しない
- USBメモリーは原則利用しない
- 管理者を置き、社内データの持ち出し・共有は許可制にする
- 会社で許可していない個人端末・サービスで機密情報の送受信はしない
- 推測されにくいパスワードを設定する
- バックアップをこまめに行い、バックアップデータは適切な場所に保管する
- 情報漏えいが発生した場合は速やかに報告する
- 会社の指定したウイルス対策ソフトをインストールし、常に最新のものに更新しておく
- 不審なホームページはできる限り閲覧しない
シャドーITに関するよくあるご質問
シャドーITに役立つQ&Aをまとめています。
Q. シャドーITが企業に与えるリスクにはどのようなものがありますか?
A.シャドーITによるリスクには、情報漏洩やセキュリティの脆弱性、業務の効率低下、ライセンス違反の可能性などが含まれることが多いです。これにより、企業の信用が失われるリスクもあります。
Q. シャドーITによる情報漏洩を防ぐ方法はありますか?
A.シャドーITによる情報漏洩を防ぐためには、社内で使用するITツールやサービスの一元管理、定期的なセキュリティ教育、未承認ソフトウェアの利用検知などが有効です。ITツールやサービスの一元化、管理には「IT資産管理ツール」などが役立ちます。詳しくは以下の記事を参考にしてください。
参考:【2024年最新版】IT資産管理ツールおすすめ52選を比較!選び方も紹介
Q. シャドーITの発生を防ぐために企業が取るべき初期対策は何ですか?
A.初期対策として、ITポリシーの策定と従業員への周知、使用するソフトウェアのリスト作成と承認プロセスの明確化、社内で使用するツールの一元管理が挙げられます。
Q. シャドーITが発生しやすいシチュエーションはどのようなものですか?
A.シャドーITは、個人端末の利用や公共のWi-Fi利用時に発生しやすいです。また、持ち帰り残業やチャットツールの誤用もリスクを高めます。
Q. シャドーITを完全に防ぐことは可能ですか?
A.完全に防ぐことは難しいですが、定期的な監視と従業員教育、適切なツールの導入によりリスクを最小限に抑えることが可能です。
Q. シャドーITが原因で発生するコストにはどのようなものがありますか?
A.シャドーITが原因で発生するコストには、情報漏洩に伴う罰金や損害賠償、セキュリティ対策の強化費用、ITシステムの再構築費用などが含まれることがあります。
Q. シャドーITを検知するための具体的な手法は何ですか?
A.シャドーITを検知するためには、ネットワーク監視ツールやログ管理システムの導入が有効です。これにより、社内で使用されている未承認ソフトウェアやデバイスを特定することができます。
詳しくは以下の記事も参考にしてください。
参考:【2024年最新版】ネットワーク監視ツールおすすめ22選を比較!選び方も紹介
【2024年版】ログ管理システムおすすめ25選を比較!選び方も紹介
Q. シャドーITによるセキュリティ事故が発生した場合、企業はどのような対応を取るべきですか?
A.事故発生後は、速やかに被害の範囲を特定し、影響を受けたデータの保護と復旧を行う必要があります。また、再発防止策として、従業員教育の徹底やセキュリティポリシーの見直しも重要です。
まとめ
企業が認知できていない外部機器やサービスを利用・導入されるシャドーITの対策ができていないと、以下のトラブルが発生する可能性があります。
- 情報漏洩
- アカウントの流出・乗っ取り
- LAN侵入によるウイルス感染
特に会社の機密情報や個人情報が流出してしまうと積み上げてきた会社の信頼や顧客を失う可能性があるため、対策が必要になります。
シャドーITの具体的な対策は以下の通りです。
- セキュリティ対策が万全な法人向けクラウドサービスを導入する
- クラウドセキュリティの導入
- MDMツールの導入
- 社員に対するセキュリティ教育
- ガイドラインの設定
シャドーITの抑制に最も有効な対策は社内で使うサービスや利用端末のセキュリティを強化することです。
ただ、セキュリティ向上は導入コストがかかるため、コストを抑えてシャドーITの抑制を目指す場合は社員に対するセキュリティ教育やガイドラインの設定が有効です。
参考にしたサイト
「禁止」より「管理」が重要!シャドーITを防ぐ4つの対策|Work × IT
「シャドーIT」によって起こり得るセキュリティトラブルと、その対策とは?|情報畑でつかまえて
CASBとは?シャドーITも把握するクラウド時代のセキュリティ対策|McAfee Blog