企業で使用するIT機器やサービスは、多くの機密性の高い情報を扱うことから、これまで情報システム部などによって厳密に管理されてきました。ところが、従業員がプライベートで使っているアプリやIT機器などを、企業の許可なく仕事にも使用するというケースが散見されるようになっています。これを「シャドーIT」といい、情報漏洩などのリスクにつながる可能性が高まるため、企業にとっては頭の痛い問題となっています。

ここでは、シャドーITによって想定されるリスクと防止策をご紹介します。

シャドーITが発生するケース

企業からの許可なく、従業員個人の判断で、プライベートのIT環境を仕事に使うことをシャドーITといいます。スマートフォンやタブレットなどのモバイルデバイス、どこでも利用できる高速なインターネット回線、そしてクラウドサービスが普及したことで、生活スタイルは大きく変わりました。これらを仕事に活かせば、業務の効率化や、時間と場所を選ばない働き方を実現することが可能です。

しかし、企業が把握せずに従業員の独断で行ってしまうと、さまざまなリスクが起こりうるため、注意が必要です。例えば、シャドーITが発生するケースには、次のようなことが考えられます。

  • スマートフォンのチャットツールを使って、業務連絡をする
  • タブレットに業務マニュアルを保存して、移動中に勉強する
  • 作りかけの資料をクラウドストレージに保存して、家のパソコンで仕事を続ける

BYODとの違い

シャドーITと同じく、プライベート所有のデバイスを業務に活用する「BYOD(Bring Your Own Device)」という概念がありますが、こちらは企業から許可を得ている点で、シャドーITと異なります。BYODは、あくまでデバイスに限った用語です。類似した用語には、ほかにも次のようなものがあります。

  • BYOA(Bring Your Own Application)
    プライベートで利用しているアプリケーションを業務に活用する
  • BYOC(Bring Your Own Cloud)
    プライベートで利用しているクラウドサービスを業務に活用する

これらプライベートで利用しているものを、企業の許可を得て業務に利用することを総称して「BYOX(Bring Your Own “X”)」と呼ぶこともあります。

シャドーITのリスク

シャドーITのリスクは、設定ミスや誤操作、故意の操作などによって、情報漏洩だけでなくデータの消失や改ざんが起きてしまうことです。また、こうしたリスクを引き起こす原因となるマルウェアの侵入や、なりすましのリスクも増加します。シャドーITによる具体的なリスクには、次のようなものがあります。

クラウドストレージでのリスク

クラウドストレージは、ファイルをクラウド上に保存できるので、どこからでも参照できるほか、メールに添付するにはサイズが大きいファイルの共有手段として便利なサービスです。データの共有範囲や権限をユーザーが設定できるため、セキュリティを保てる一方で、誤って設定した場合に、情報漏洩や改ざんのリスクがあります。また、サービス運営上のトラブルが原因で設定が変わってしまったり、データを消失したりするリスクも考えられます。

チャット・メッセンジャーでのリスク

チャットやメッセンジャーは、ファイルやメッセージをメールより手軽に、テンポ良くやりとりできます。しかし、シャドーITのリスクとして、業務上の情報を誤って知人などに送信してしまう可能性があります。また、グループで何人もが参加してコミュニケーションをとっている場合に、退職者や異動者をグループから外し忘れてしまう管理上の問題も発生しやすいものです。さらに、なりすましが怖いのもメッセージングサービスの特徴です。あたかも上司や知人のように装って近づき、信用して情報を漏らしてしまうリスクがあるのです。

クラウドメールでのリスク

クラウドメールは、どこからでもウェブブラウザでメールを利用できる利便性の一方で、誤送信による情報漏洩の可能性があります。また、パソコンにインストールされたメールアプリと同じように、添付されたコンピュータウイルスなどのマルウェアを、気付かないうちにパソコンへと侵入させてしまうなど、クラウドメールにも受信時のリスクが潜んでいます。ほかにも、故意に情報を持ち出してしまうリスクも考えられます。

シャドーIT対策

シャドーITのリスクを防ぐために、手を打ちたいところですが、ただルールで禁止するだけでは問題を解決できません。なぜなら従業員は、現状のIT機器やシステムに不満を持っている場合や、生産性を向上したいという前向きな意欲があるため、禁止されていると知っていても隠れて使い続けるからです。そこで、次のようにシャドーITの実態を把握し、対策を検討するといいでしょう。

利用状況やニーズを調査する

まずは、従業員個人や部門に存在するシャドーITの実態を把握します。どのようなシーンで、なぜ利用しているのかを明らかにした上で、システム対応やルール整備など、効果的な対策を検討します。方法としては、まずはアンケートやヒアリングによる調査を実施します。このとき、正確に事実を申告できるよう、話しやすい立場の人が責めることなく調査します。それまでのシャドーITについて罰するわけではないことを伝えるとともに、不便だと感じていることやシャドーITで使っている機器やツールの特徴を情報収集することで、その後の対策でかなり有力な情報となります。

また、「CASB(Cloud Access Security Broker)」の導入も効果的です。CASBとは、社内のパソコンなどとクラウドサービスとの通信状況を監視するもので、管理外のクラウドサービスに接続している実態を可視化することができます。

対応策を検討し実行する

シャドーITの現状把握を終えたら、対策の検討と実行に移ります。対応策には、おもに次のようなものが挙げられます。

  • 教育によりセキュリティのリテラシー向上を図る
    意図的にデータを持ち出すことも考えられますが、知識不足が原因でセキュリティ事故を招くことも少なくありません。そこで、教育を実施することで、リスクを認識し危険を回避できるように、従業員のリテラシーを向上させます。講師による集合研修のほか、eラーニングを利用するなど、従業員の現状レベルや勤務形態、予算などに応じた対策を選択します。
  • 強固なアクセス管理ソリューションを導入する
    アクセス管理ソリューションを導入することで、「パソコンが機器の接続を一切受け付けないようにする」「決まった場所からのみシステムを利用可能にする」など、システム的に強制力を持たせることができます。ただし、これでは利便性を損なうばかりか、業務に支障をきたすおそれがあるため、慎重に検討する必要があります。利便性を失えば、どうにかして別の方法がないか抜け道を探すことが考えられ、新たなシャドーITを生む可能性があります。
  • 代替サービスを用意する
    代替となるIT環境を用意すれば、わざわざ危険を冒してまでプライベートの機器やサービスを使用しないため、シャドーITは自然に解消します。プライベート所有のデバイスが問題になっているようなら、BYODを認めるか業務用のデバイスを貸与するといった対策が考えられます。このとき、使用できる機能やアプリを設定するだけでなく、利用用途や通信料金負担などを取り決める必要があります。業務とプライベートで、記憶領域やアカウントなどの使い分けを可能にするソリューションもあります。

また、ウェブフィルタリングソフトを導入することで、危険なサイトへのアクセスを防ぐことができます。ほかには、デバイスに情報を残さないセキュアブラウザの導入も効果的です。社内のシステムへはセキュアブラウザからのみ接続できるように設定すれば、リスクを減らすことができます。クラウドサービスについては、法人向けサービスの導入を検討します。個人向けのサービスに比べて管理が行き届いており、バックアップ、暗号化が強力であるといった特徴があります。管理者にとっても、利用状況の記録や、細かなアクセス権限の設定、強固なパスワード設定、多要素認証を強制するなどの管理機能が充実しています。

企業は従業員の意欲に応えるIT環境を構築する必要がある

従業員は、使いやすいコンシューマー向けのサービスを日常的に利用しているため、使い勝手の悪いアプリケーションを企業が使っていると、不満を持ちやすい状況といえるでしょう。シャドーITが生まれる状況を考えると、現状よりも利便性や生産性を上げて、いい結果を出そうというモチベーションの表れでもあります。使い勝手のいい法人向けクラウドサービスを用意するなど、会社として従業員の意欲に応える環境を整え、気分良く働いてもらうことがシャドーITをなくすことにもつながります。

企業向けオンラインストレージ「Fleekdrive(フリークドライブ)」の資料請求はこちらから