セキュリティ
シャドーITとは? そのリスクと企業に必要な対策
チャットアプリやクラウドサービスの普及によって、業務上の情報共有をより効率的にできるようになりました。しかし、これらのサービスを企業に無断で使用する「シャドーIT」によるトラブルが、企業にとっての脅威になっています。ここでは、シャドーITの概要やリスク、対策について説明します。
企業が注意すべき「シャドーIT」
シャドーITとは、企業内で使用が許可されていない外部サービスやクラウドサービス、あるいはスマートフォンやタブレットなどのIT機器を無断で使用することです。例えば、以下のような行為がシャドーITに当てはまります。
- 許可されていないチャットアプリで業務連絡を取る
- 無断で個人のスマートフォンで業務を行う
- 重要な業務データを許可されていないクラウドストレージサービスにアップロードする
シャドーITと併せて知っておきたい言葉に「BYOD」があります。BYODはBring Your Own Deviceの略で、個人のデバイスを業務で使用することです。シャドーITとBYODの違いは、企業で承認を得ているかどうかになります。BYODは企業に承認されているため、リスクはあっても問題視されませんが、シャドーITは企業に承認されていないため、個人に対しても責任が問われるでしょう。
テレワーク・ハイブリッドワークをはじめとする企業を取り巻くIT環境の変化に対して、BYODの活用は欠かせないものとなりつつあります。そんなBYODについては、こちらの記事で詳しく解説しています。
進むBYOD、企業にとってのメリット・デメリットとは?
シャドーITが注目された背景
シャドーITが注目された背景には、スマートフォンやタブレット端末が広く普及し、利便性の高いアプリやソフトが次々とリリースされていることが挙げられます。例えば、チャットアプリや画像加工アプリ、スケジュールやタスクを管理するツール、ファイル共有サービスなどが挙げられます。これらのアプリやツールは、多くの人が利用して馴染みがあることなどから、シャドーITが増加している背景の一つとして考えられています。
シャドーITが発生する理由
シャドーITが発生する理由は、「環境が不便だと感じている」「セキュリティ意識の欠如」「働き方の多様化による環境の変化」などが挙げられます。
近年ではほとんどの人がスマートフォンを所有し、私生活でも多くのクラウドサービスを日常的に利用しています。そんな便利な環境に慣れているなかで、会社側で用意した環境が不便だと感じると、いつも使っているサービス・ツールを利用したい、と考えることは自然といえるでしょう。
加えて、会社側が許可していないデバイス・サービスなどを利用することが、セキュリティ的に危険だという認識がないことも理由の一つに挙げられます。私生活で利用していて問題が起きていないから安全だ、と考えているケースも珍しくありません。また、コロナ禍でテレワークが普及し、働き方の多様化が進むなかで企業を取り巻くIT環境は大きく変化しました。その結果として、デバイスやクラウドサービスなどの利用を管理しきれていないことも要因として考えられるでしょう。
シャドーITで企業が負うリスク
シャドーITが蔓延することによって、企業はどのようなリスクを負うことになるのでしょうか。
機密情報の流出
従業員が無断でクラウドサービス上に機密情報を保存した場合、機密情報が漏えいする可能性が考えられます。例えば、オンラインストレージサービスに保存したファイルは、ユーザー自身で閲覧・編集権限の設定ができますが、権限設定のミスによって、意図しない人に機密情報レベルのファイルを見られたり、編集されたりする可能性が考えられるでしょう。また、自分だけが見られるように権限を設定していても、利用しているサービスに不具合が発生し、ファイルが部外者に共有されてしまうリスクも考えられます。
なりすまし
コンシューマー向けのチャットアプリを業務で利用している場合もあるかもしれません。シャドーITでよくあるケースがなりすましのリスクです。第三者が企業の同僚や上司・部下などになりすまして友だち申請し、チャットに参加することもあり得ます。その他にも、すでに退職した人がチャットアプリのグループに残っていれば、そこから情報漏えいする可能性も考えられます。
不正アクセス
クラウドサービスが普及したことにより、外出先で業務用のパソコンを個人のスマートフォンでテザリングしてインターネットに接続することもあるでしょう。この行動もシャドーITに該当します。テザリングしたネットワークから不正アクセス被害に遭い、会社へのサイバー攻撃につながるリスクがあります。
シャドーITで利用されやすいツールやサービス
シャドーITで利用されやすいツールやサービスの例としては、次のようなものが挙げられます。
クラウドストレージ
クラウドストレージはインターネットに繋がっていればどこからでもアクセス可能であり、非常に利便性が高いサービスです。そのため、ファイルを連携したい、一時的に保存しておきたいなどの場合にクラウドストレージが利用される場合があります。しかし、公開設定や権限設定を誤っていると、誰でも閲覧可能になる可能性があり、そこから情報漏えいにつながることも考えられます。
個人所有のスマートフォンやタブレット
大半の人がスマートフォンを所有し、なかにはタブレットも併用しているという方も珍しくはないでしょう。スマートフォン・タブレットだけでも、パソコンでできることはほとんどできます。そのため、出先や移動中にはスマートフォンやタブレットでより手軽にドキュメントや表計算などのデータを編集して保存したい、などの理由で利用される可能性が考えられるでしょう。また、多くのスマートフォン・タブレットはカメラ機能が搭載されているため、機密情報が含まれる情報が写っている写真を無断で撮り、そこから情報漏えいに繋がる可能性もあります。
フリーメールやSNS
フリーメールは、データの受け渡しに利用されるケースが多いといえます。社内のメールアドレスから個人のフリーメールアドレス宛にデータを送信して自宅で業務を行う、というようなケースもあるでしょう。また、SNS上で機密情報を公開したり、DM(Direct Message)機能によってデータの受け渡しを行なったりすることも考えられます。
企業に必要なシャドーIT対策
シャドーIT対策は、業務内容や情報資源の重要性などを考慮し、必要な対策を取り入れていくことが大切です。
ルールの策定
まず行うべきは現状の把握です。従業員がどのようなツールやサービスを使って業務を行っているのか、ヒアリングやアンケートなどの手法で確認しましょう。シャドーITをただ禁止にしても、従業員の反感・反発を買う可能性が高いです。そうならないために、しっかり運用ルールを策定し、可能であれば代替案を検討しましょう。
代替案の検討
例えば、個人のスマートフォンを業務で利用している場合は、会社側でスマートフォンを別途支給したり、個人のスマートフォンをBYODとして業務での使用を承認したりといった方法があります。
クラウドサービスであれば、コンシューマー向けのサービスではなく、法人向けのサービス利用を検討するとよいでしょう。法人向けのものは、段階認証などセキュリティ対策が強固に設定されていることが多く、より安全にサービスを利用できます。
環境の整備
個人のIT機器やアプリ、サービスの使用を制限・監視する仕組みづくりも対策として有効です。企業のIT担当がシャドーITを監視できる環境を構築できれば、承認されていない端末の使用やクラウドサービスをはじめとしたウェブサービスの利用は大幅に減少するでしょう。
従業員教育
システムやサービスによる対策のみではなく、従業員への教育も重要です。シャドーITの危険性や存在そのものを知らない従業員も少なからずいるでしょう。シャドーITに関する教育を行い、その危険性やリスクを正しく認識してもらうことで、従業員たちがシャドーITを行わないような体制を作ることも重要です。
シャドーITは企業側で認識しにくく、大きなリスクを伴う問題といえます。テレワークなど働き方が広がることで、シャドーIT対策はよりハードルが高くなると予想できます。運用ルールや制限・監視を行うことはもちろん、従業員への教育をもしっかりと行うことでシャドーIT対策をしていきましょう。
※2020年7月18日に公開した記事を再編集しています