シャドーITとは?思いもよらないリスクと対応策について解説

シャドーITとは会社の許可を得ずに、業務でクラウドサービスや個人端末を利用することです。

近年、便利なクラウドサービスの普及や、モバイルデバイスの利用、リモートワークの導入など、環境や働き方が大きく変化しました。

その反面、個人端末や外部サービスを無断で業務利用する「シャドーIT」という新たな問題が浮上しています。

しかし、「シャドーITという言葉は聞いたことはあるが、何が問題なのかよくわかっていない」「シャドーITにどんな対策をしたらいいか、よくわからない」という方も多いのではないでしょうか。

今回は、シャドーITとは何か、危険性やトラブルを解説し、必要な対策まで解説します。

情報漏洩対策を見直したい、クラウド時代にあわせたセキュリティ対策を考えていきたい、という方はぜひ参考にしてみてください。

シャドーITに関する調査機関のデータや解決事例を掲載した資料をダウンロード

※本記事はChatWork株式会社提供によるスポンサード・コンテンツです。


シャドーITとは

シャドーITは、なにが問題か?

シャドーITとは、会社が許可していない個人端末や外部サービスを無断で業務利用することです。

シャドーITに当てはまる行為

  • プライベート用とビジネス用で同じパソコンやスマートフォンを利用する
  • 業務データの共有に会社が許可していないクラウドサービスを利用する

シャドーITが横行すると、一人のちょっとした油断が大きなトラブルに繋るが可能性があります。効率性、利便性を求めているつもりでも、知らぬ間に社内のセキュリティを脅かすリスクがあります。

シャドーITとBYODの違い

シャドーITと混同されがちな用語として、個人端末の利用を会社側が把握している「BYOD(Bring Your Own Device)」があります。

シャドーITとは個人端末の利用を会社側が把握しているか、していないかが異なります。

BYODにもリスクはありますが、シャドーITは後から問題が発覚するため、トラブルを未然に防げません。


シャドーITに当てはまる3つのケースとリスク

3つのケースに分けてシャドーITの具体的な危険性を解説していきます。

ケース1:無料Webサービスの利用

近年急激に増加したオンラインのクラウドサービスやファイル共有サービスは、使い勝手もよく便利です。しかし、セキュリティ対策が不十分な無料のサービス利用は、第三者が閲覧できてしまったり、パスワードを突破されてしまったりといった情報漏洩のリスクがあります。

急なサービス停止によるデータ損失の危険性もあります。そのため、重要な業務データのやり取りには適しているとは言えません。

会社が許可していないコミュニケーションツールで業務連絡をすることにも、リスクが伴います。
アカウントの乗っ取りや関係者へのなりすまし、情報の抜き取りなどセキュリティ面で問題があります。

ケース2.個人端末の利用

個人端末をビジネスに利用するならば、業務データの管理には細心の注意を払わなければいけません。

端末にデータが残っていた場合、紛失・盗難が起こった際に企業秘密や顧客データが流出してしまう危険性があります。そもそも社内のデータは個人レベルで管理するものではないため、個人端末で利用するのは不適切です。

また、ウイルス・マルウェアに感染した個人端末を社内のネットワークに繋ぎ、知らぬ間に社内全体にウイルス・マルウェアが広まってしまうリスクもあります。

ケース3:公共の無料Wi-Fi(無線LAN)利用

公共の無料アクセスポイントは誰でも簡単に接続できます。様々な場所でネットワークに繋げられる利便性を持つ一方、セキュリティは万全ではありません。

公共の回線を利用することで、悪意のある第三者から盗聴や情報の抜き取りといった被害に遭うリスクがあります。


シャドーITへの対応策

ここからは具体的にシャドーITへの対応策を見ていきましょう。

対策1:社員に対するセキュリティ教育

社員一人一人が情報管理に対する危機意識をしっかりと持つことが重要です。会社全体でシャドーITがもたらすリスクについて共有し、全員が実践できることを目指しましょう。

社内で共有すべき項目

  • 機密情報、個人情報は個人PC・モバイルに格納しない
  • 会社で許可していない個人端末・サービスで機密情報の送受信はしない
  • 推測されにくいパスワードを設定する
  • バックアップをこまめに行い、バックアップデータは適切な場所に保管する
  • 情報漏えいが発生した場合は速やかに報告する
  • 会社の指定したウイルス対策ソフトをインストールし、常に最新のものに更新しておく
  • 不審なホームページはできる限り閲覧しない

外部から情報セキュリティの専門家を講師に招く、もしくはeラーニング用サイトを利用するなどして社員へのセキュリティ教育を推進しましょう。

対策2:セキュリティ対策が万全な法人向けクラウドサービスを導入する

シャドーITを未然に防ぐ手段として、使い勝手が良くセキュリティ対策が徹底された法人向けクラウドサービスを導入するという方法が挙げられます。

外部のサービスを使ってしまうのは、作業効率の向上や利便性を求めてのことです。それならば、ファイル共有やチャットなどの必要な機能を社内インフラとして整備してしまえば、セキュリティが確保されていない外部サービスを利用するよりもはるかに安全に、情報共有や連絡ができるようになります。

以下の資料では、ビジネスチャットツールの「チャットワーク」を導入してシャドーITの課題を解決した事例が掲載されています。

(参考)事例で学ぶ!「ビジネスチャットツール」がもたらす効果とは?

対策3:クラウドセキュリティの導入

クラウドやモバイルデバイスの利用を可視化・把握できる「CASB(キャスビー)」を導入し、セキュリティを向上させるという方法もあります。

CASBとは、「ユーザーのクラウドサービスの利用状況を把握するソリューション」のことです。「誰が」「どのデバイスで」「どのクラウドサービスに」「どのデータを操作したか」を明確にし、一括で把握できます。

これによって、従業員のクラウドサービスの利用状況を監視し、把握されていないクラウドサービス利用を洗い出してセキュリティポリシー違反を取り締まることができます。シャドーITを検知できるようになります。


まとめ

シャドーITは企業秘密の漏洩やウイルス感染など、様々な危険をもたらすものです。しかし、社内インフラの整備や個人の意識改善、危険性に関する情報共有によって確実に防げるものでもあります。

シャドーITも含め、セキュリティに関しては現状把握・本質的な対策を行うことが重要です。より強固なセキュリティのもと気持ちよく業務を進めていくためにも、一度社内の状況を見返してみてはいかがでしょうか。

シャドーIT対策・事例で学ぶ!「ビジネスチャットツール」がもたらす効果とは?(PR)

シャドーITのリスクは理解できても、業務の現場で便利に使っているとなかなか対策が難しいことも多いです。

セキュリティを理由にルールで縛って業務効率を落とすのではなく、セキュリティを高めつつ、業務効率をさらに高める方向の解決策もあります。

以下の資料では、ビジネスチャットツールの「チャットワーク」を導入してシャドーITにおけるセキュリティの課題を解決しつつ、大幅な業務効率化につなげた事例が掲載されています。ぜひ参考にしてみて下さい。

(参考)事例で学ぶ!「ビジネスチャットツール」がもたらす効果とは?

※本記事はChatWork株式会社提供によるスポンサード・コンテンツです。

参考にしたサイト

「禁止」より「管理」が重要!シャドーITを防ぐ4つの対策|Work × IT
「シャドーIT」によって起こり得るセキュリティトラブルと、その対策とは?|情報畑でつかまえて
CASBとは?シャドーITも把握するクラウド時代のセキュリティ対策|McAfee Blog