シャドーITとは?企業に与えるリスクと行うべき5つの対策法

シャドーITとは社員が独自で導入し企業が認知できていない機器やサービスのことを指します。

近年、便利なクラウドサービスの普及や、モバイルデバイスの利用、リモートワークの導入など、環境や働き方が大きく変化しました。

その反面、個人端末や外部サービスを無断で業務利用する「シャドーIT」という新たな問題が浮上しています。

【図解】”知らなかった”ではすまない社用携帯トラブルと対策法

しかし、「シャドーITという言葉は聞いたことはあるが、何が問題なのかよくわかっていない」「シャドーITにどんな対策をしたらいいか、よくわからない」という方も多いのではないでしょうか。

今回は、シャドーITとは何か、危険性やトラブルを解説し、必要な対策まで解説します。

情報漏洩対策を見直したい、クラウド時代にあわせたセキュリティ対策を考えていきたい、という方はぜひ参考にしてみてください。

シャドーIT対策!社内のSaaSを一括管理できるツール


シャドーITとは企業が認知していない機器やサービスのこと

シャドーITとは、社員が独自で導入し企業が認知できていない機器やサービスのことを指します。

シャドーITの例は以下の通りです。

  • 従業員が社内に持ち込んだ私用のスマートフォン・タブレット・USBメモリなどデジタル機器
  • 私用の端末で操作できるソフトウェア・サービス
  • 情報システム部門の許可なく、各部署の判断で導入された機器・システム

このように知らないうちに導入されたり、持ち込まれた機器やサービスをシャドーITと言います。

シャドーITの影響によるリスク

企業が認知できていない外部機器やサービスを利用・導入されるシャドーITは、以下のリスクが挙げられます。

  • 情報漏洩
  • アカウントの流出・乗っ取り
  • LAN侵入によるウイルス感染

企業の管理が及ばないシャドーITはセキュリティが万全ではなく、情報漏洩や企業が利用しているSNSやクラウドサービスのアカウント流出してしまう可能性があります。

私物のデジタル機器がマルウェアなどのウイルスに感染したまま企業の無線LANを利用した場合、ネットワークにつながっている社内機器全てにウイルスが感染する可能性もあります。

このようなトラブルが発生した場合、システム復旧や対応に追われるだけでなく、企業のセキュリティ面での信頼性も失われてしまいます。

そうならないためにも、企業でシャドーITが発生していないかの確認と、発生させないための対策が必要になります。

シャドーITとBYODの違い

シャドーITと混同されがちな用語として、個人端末の利用を会社側が把握している「BYOD(Bring Your Own Device)」がありますが、2つのちがいは「個人端末の利用許可の有無」です。

そもそもBYODとは、個人が私物として所有しているデジタル機器を業務に利用する形態を指しています。

現在の働き方でいうとリモートワークで個人のパソコンを使用するケースなどが当てはまります。

BYODは個人端末の利用を許可しているため、シャドーITには当てはまりません。

ただし、BYODはセキュリティの管理が難しく、企業が把握している用途以外の使い方でウイルス感染や情報漏洩が発生した場合はシャドーITに当てはまります。


シャドーITに当てはまる5つのケース

ここからはシャドーITに当てはまる5つのケースについて解説します。

シャドーITに当てはまるケースは以下の通りです。

  • 無料のファイル共有サービスの利用
  • チャットツールの利用
  • 個人端末の利用
  • 公共の無料Wi-Fi(無線LAN)利用
  • 持ち帰り残業の発生

もし1つでも当てはまる場合は、被害を受けないようにすぐに対応する必要があります。

それぞれ詳しく解説します。

ケース1:無料のファイル共有の利用

無料のファイル共有サービスは、大容量サイズのファイルでも共有できることから便利なサービスですが、第三者が閲覧できてしまったり、パスワードを突破されてしまったりといった情報漏洩のリスクがあります。

サービス自体がサイバー攻撃を受け、機密情報などのファイルが流出してしまう可能性があります。

過去にアメリカの無料で利用できるオンラインストレージサービスがサイバー攻撃を受け、パスワードを利用せずにファイルが格納されているアカウントにアクセスできるというセキュリティ障害が発生しました。

参考:オンラインストレージのセキュリティリスクと過去の事故事例

無料サービスは手軽に利用できるため、使い勝手が良いサービスではありますが、企業の機密情報やクライアントに関わる情報の共有には向いていません。

特にファイルの移動や共有では従業員が意識せずに無料サービスを利用する可能性があるため、注意が必要です。

参考:セキュリティソフト11選を徹底比較!選ぶ際のポイントも解説

ケース2.チャットツールの利用

クライアント先や社内で利用するチャットツールは気軽にコミュニケーションを取ったり、ファイルを共有できるサービスですが、うっかりしたミスで機密情報を外部に漏らすなどの情報漏洩リスクがあります。

例えばLINEを社内用のチャットツールとして利用している場合、従業員同士で連絡を取り合うだけでなく、プライベートの連絡も混在します。

機密情報を手軽に送受信できるだけでなく、企業・個人での利用が混在しているため、誤送信による機密情報の漏洩は十分にあり得ます。

企業で利用するチャットツールにはセキュリティ性の高い法人用のツールやプライベートでの利用ができないツールを選ぶなどチャットツールの選定が必要になります。

チャットツールについては以下の記事で詳しく解説しています。

参考:【2022年最新版】ビジネスチャット16選!シェア・料金・機能などを厳選比較

ケース3.個人端末・機器の利用

個人端末・機器をビジネスに利用する場合、紛失・盗難が起こった際に企業秘密や顧客データが流出してしまう危険性があります。

2022年の6月に尼崎市で発生した「尼崎市民46万人の個人情報の入ったUSBメモリーが紛失した事件」では、業務委託先の従業員がが無断で私用のUSBメモリを使用していたことが事の発端となりました。

参考:全市民46万人の個人情報が流出の危機、 バックアップ用のUSBも同時に紛失 | 日経クロステック(xTECH)

そもそも社内のデータは個人で管理するものではないため、個人端末・機器を利用するのは不適切です。

また、ウイルス・マルウェアに感染した個人端末を社内のネットワークに繋ぎ、知らぬ間に社内全体にウイルス・マルウェアが広まってしまうリスクもあります。

そのため、個人端末・機器の利用を制限する、もしくは利用できない環境を構築することが大切です。

ケース4:公共の無料Wi-Fi(無線LAN)利用

公共の無料Wi-Fi(無線LAN)利用様々な場所でネットワークに繋げられる利便性を持つ一方、セキュリティは万全ではありません。

公共の無料アクセスポイントは誰でも簡単に接続できる分、セキュリティ性が低いため、マルウェアの感染やパソコンの情報を抜き取られる可能性があります。

また、フリーWi-Fiを装った「なりすましWi-Fi」という方法でWi-Fiに接続したユーザーを偽サイトに誘導し、個人情報の抜き取りやマルウェア感染の被害に遭う可能性もあります。

公共の回線を利用することで、悪意のある第三者から盗聴や情報の抜き取りといった被害に遭うリスクがあるため、業務時には社内が許可したWi-Fiのみの使用に制限したり、ポケットWi-Fiを提供するなどのセキュリティ対策が必要になります。

ケース5:持ち帰り残業の発生

持ち帰り残業の発生により、業務に使うデータを私用のUSBメモリーに移行したり、社内パソコンを持ち帰って残業を行っている場合は情報漏洩の危険性があります。

働き方改革により業務の効率化や残業時間の削減が行われる中、業務内容や業務量は変わらずに時間内に業務が終わらないため社員も多いです。

その結果、持ち帰り業務が発生してしまい、社内の機密ファイルを私用のUSBメモリーに移したり、メールやファイル共有アプリによるデータの持ち出しが発生してしまうのです。

22年5月には教職員が学生89名の個人情報が記録されたUSBメモリを紛失し、個人情報が流出したトラブルがありました。

企業は社員の持ち帰り業務による情報漏洩を発生させないために、業務の分担や無駄な業務の排除を行うなどの対応が必要になります。

参考:USBメモリ紛失は他人事ではない! 事例から学ぶ、今だからこそ見直したいUSBメモリ管理とその対策! | wiz LANSCOPE


シャドーITへの対応策

シャドーITの具体的な対応策は以下の通りです。

  • セキュリティ対策が万全な法人向けクラウドサービスを導入する
  • クラウドセキュリティの導入
  • MDMツールの導入
  • 社員に対するセキュリティ教育
  • ガイドラインの設定

シャドーITの抑制に最も効果があるのは、企業のセキュリティを向上させることです。ただし、導入コストがかかってしまうことがネックです。

導入コストをかけない方法としては、社員に対するセキュリティ教育やガイドラインを設定するなどの方法がありますが、効果がでるまで時間がかかってしまいます。

最善の方法はこれから紹介する全ての対策を講じることですが、企業によってかけられるコストが異なりますので、自社に対策方法を選んでください。

対策1:セキュリティ対策が万全な法人向けクラウドサービスを導入する

シャドーITを未然に防ぐ手段として、使い勝手が良くセキュリティ対策が徹底された法人向けクラウドサービスを導入するという方法が挙げられます。

ファイル共有やチャットなどの必要な機能を社内インフラとして整備してしまえば、セキュリティが確保されていない外部サービスを利用するよりもはるかに安全に、情報共有や連絡ができるようになります。

法人向けのクラウドサービスは2段階認証や本人確認などのセキュリティ対策が万全なため、ファイルの共有や社内でのコミュニケーションをより安全に行えます。

法人向けのクラウドサービスを導入する際には月額・年額のコストがかかります。

例えば、法人向けのオンラインストレージを導入する場合は月額30,000円前後、利用ユーザーが10人以上の場合はファイルの共有も多くなるため、月に数十万円のコストがかかります。

対策2:クラウドセキュリティの導入

クラウドやモバイルデバイスの利用を可視化・把握できる「CASB(キャスビー)」を導入し、セキュリティを向上させるという方法もあります。

CASBとは、「ユーザーのクラウドサービスの利用状況を把握するソリューション」のことです。

「誰が」「どのデバイスで」「どのクラウドサービスに」「どのデータを操作したか」を明確にし、一括で把握できます。

これによって、従業員のクラウドサービスの利用状況を監視し、把握されていないクラウドサービス利用を洗い出してセキュリティポリシー違反を取り締まることができます。

シャドーITを検知できるようになります。

CASBは社員一人一人にユーザー権限を付与する必要があり、年額で一人当たり20,000円前後かかります。社員が10人だとすると20万円以上かかりますので、導入コストは高くなります。

対策3:MDM(モバイル端末管理)ツールの導入

社員に社内携帯やタブレットを提供している企業は端末の紛失・盗難から機密情報を守るMDMツールの導入もおすすめです。

MDMツールはモバイル端末(スマホ・タブレット)を一括管理し、各端末のセキュリティを強化するツールです。

主な機能としては、「盗難・紛失時の遠隔操作」、「データ送信の暗号化などによる情報漏洩防止機能」などがあります。

契約時にスマホやタブレットを利用する企業はMDMツールの導入がおすすめです。

MDMツールは管理する端末一台につき月額費用がかかる仕組みです。一台あたり500円前後で導入できるので、他のセキュリティ対策に比べると比較的安価で利用できます。

参考:「禁止」より「管理」が重要!シャドーITを防ぐ4つの対策 | Work × IT

例えば、「Jamf Pro」は、Apple製品の管理に特化したMDMツールで、世界中の72,500以上の組織がJamf Proを使ってApple端末を管理しています。

教育現場でiPadを使用していたり、社用スマホとしてiPhoneを貸与している場合には、「Jamf Pro」を活用するのがおすすめです。

「Jamf Pro」についての詳細は、「Apple端末の管理に特化した「Jamf Pro」が選ばれる12の理由」をご確認ください。

Sponsored by Jamf Japan合同会社

対策4:社員に対するセキュリティ教育

社員一人一人が情報管理に対する危機意識をしっかりと持つことが重要です。

会社全体でシャドーITがもたらすリスクについて共有し、全員が実践できることを目指しましょう。

外部から情報セキュリティの専門家を講師に招く、もしくはeラーニング用サイトを利用するなどして社員へのセキュリティ教育を推進しましょう。

対策5:ガイドラインの設定

シャドーITの抑制には私物端末の利用禁止や社内データの持ち出し禁止など、ガイドラインを設定するのも有効です。

シャドーIT対策の管理者を設け、社員が私物端末を利用しなければならない場合のみ、管理者の許可を得る仕組みを作ることで、シャドーITに対しての意識がより一層高まります。

ガイドラインを設定する際は以下を参考にしてください。

  • 機密情報、個人情報は個人PC・モバイルに格納しない
  • USBメモリーは原則利用しない
  • 管理者を置き、社内データの持ち出し・共有は許可制にする
  • 会社で許可していない個人端末・サービスで機密情報の送受信はしない
  • 推測されにくいパスワードを設定する
  • バックアップをこまめに行い、バックアップデータは適切な場所に保管する
  • 情報漏えいが発生した場合は速やかに報告する
  • 会社の指定したウイルス対策ソフトをインストールし、常に最新のものに更新しておく
  • 不審なホームページはできる限り閲覧しない

まとめ

企業が認知できていない外部機器やサービスを利用・導入されるシャドーITの対策ができていないと、以下のトラブルが発生する可能性があります。

  • 情報漏洩
  • アカウントの流出・乗っ取り
  • LAN侵入によるウイルス感染

特に会社の機密情報や個人情報が流出してしまうと積み上げてきた会社の信頼や顧客を失う可能性があるため、対策が必要になります。

シャドーITの具体的な対策は以下の通りです。

  • セキュリティ対策が万全な法人向けクラウドサービスを導入する
  • クラウドセキュリティの導入
  • MDMツールの導入
  • 社員に対するセキュリティ教育
  • ガイドラインの設定

シャドーITの抑制に最も有効な対策は社内で使うサービスや利用端末のセキュリティを強化することです。

ただ、セキュリティ向上は導入コストがかかるため、コストを抑えてシャドーITの抑制を目指す場合は社員に対するセキュリティ教育やガイドラインの設定が有効です。

参考にしたサイト

「禁止」より「管理」が重要!シャドーITを防ぐ4つの対策|Work × IT
「シャドーIT」によって起こり得るセキュリティトラブルと、その対策とは?|情報畑でつかまえて
CASBとは?シャドーITも把握するクラウド時代のセキュリティ対策|McAfee Blog

シャドーIT対策!社内のSaaSを一括管理できるツール『BUNDLE』【PR】

利便性の高いSaaSやウェブサービスが出てくる度に、シャドーITのリスクが高まります。社内で使用されているSaaSを一括で管理できるのがSaaS管理自動化ツール『BUNDLE』です。

SaaSにおける、アカウント開設作業、アカウント見直しの棚卸し作業を自動化できます。

年度初めに新人向けに大量のアカウント発行をする手間や、組織改編時のアカウント見直しの手間などを省くことが可能です。

『BUNDLE』には、以下のような特徴があります。
・入社時のアカウント発行手続きや退職時のアカウント削除の時間を85%削減
・使われてないアカウント(シャドーアカウント)を発見し、セキュリティ対策とコスト削減
・50個以上のSaaSに対応

今回は『BUNDLE』のサービス概要資料を特別にご用意したので、ぜひダウンロードしてみてください。

個人情報の取り扱いについては、利用規約同意事項
プライバシーポリシーをご覧ください