ページの本文へ

Hitachi

株式会社 日立ソリューションズ・クリエイト

セキュリティ シャドーITとは? そのリスクと企業に必要な対策

シャドーITとは? そのリスクと企業に必要な対策

チャットアプリやクラウドサービスの普及によって、業務上の情報共有をより効率的にできるようになりました。しかし、これらのサービスを企業に無断で使用する「シャドーIT」によるトラブルが、企業にとっての脅威になっているのです。ここでは、シャドーITの概要やリスク、対策について説明します。

企業が注意すべき「シャドーIT」

シャドーITとは、企業内で使用が許可されていない外部サービスやクラウドサービス、あるいはスマートフォンやタブレットなどのIT機器を無断で使用することです。例えば、以下のような行為がシャドーITに当てはまります。

  • チャットアプリで業務連絡を取る
  • 個人のスマートフォンで業務を行う
  • 重要な業務データをクラウドストレージサービスにアップロードする

シャドーITに関連した言葉に「BYOD」があります。BYODはBring Your Own Deviceの略で、個人のデバイスを業務で使用することです。シャドーITとBYODの違いは、企業で承認を得ているかどうかになります。BYODは企業に承認されているため、リスクはあっても問題視されませんが、シャドーITは企業に承認されていないため、個人に対しても責任が問われるでしょう。

シャドーITが注目された背景

シャドーITが注目された背景には、スマートフォンやタブレット端末が広く普及し、利便性の高いアプリやソフトが次々とリリースされていることがあります。例えば、チャットアプリや画像加工アプリ、スケジュールやタスクを管理するツール、ファイル共有サービスやHTMLファイルの編集ソフトなどが挙げられます。これらのアプリやソフトは、多くの人が利用しており馴染みがあることなどから、シャドーITが増加している背景の一つとして考えられています。

シャドーITで企業が負うリスク

シャドーITが蔓延することによって、企業はどのようなリスクを負うことになるのでしょうか。オンラインストレージサービスに保存したファイルは、ユーザー自身で閲覧・編集権限の設定ができます。この権限設定ミスによって、意図しない人に機密情報レベルのファイルを見られたり、編集されたりする可能性があります。また、自分だけが見られるように権限を設定していても、利用しているサービスに不具合が発生し、ファイルが部外者に共有されてしまうリスクも考えられます。

また、コンシューマー向けのチャットアプリを業務で利用している企業もあるかもしれません。シャドーITでよくあるケースがなりすましのリスクです。第三者が企業の同僚や上司・部下などになりすまして友だち申請し、チャットに参加することもあり得ます。その他にも、すでに退職した人がチャットアプリのグループに残っていれば、ここから情報漏えいする可能性も考えられます。

クラウドサービスが普及したことにより、外出先で業務用のパソコンを個人のスマートフォンでテザリングしてインターネットに接続することもあるでしょう。この行動もシャドーITに該当します。テザリングしたネットワークから不正アクセス被害に遭い、会社へのサイバー攻撃につながるリスクがあります。

企業に必要なシャドーIT対策

シャドーIT対策は、業務内容や情報資源の重要性などを考慮し、必要な対策を取り入れていくことが大切です。そのため、まず行うべきは現状の把握になります。従業員がどのようなツールやサービスを使って業務を行っているのか、ヒアリングやアンケートなどの手法で確認しましょう。

シャドーITをただ禁止にしても、従業員の反感・反発を買う可能性が高いです。そうならないために、しっかり運用ルールを策定し、可能であれば代替案を検討しましょう。例えば、個人のスマートフォンを業務で利用している場合は、会社側でスマートフォンを別途支給したり、個人のスマートフォンをBYODとして業務での使用を承認したりといった方法があります。

クラウドサービスであれば、コンシューマー向けのサービスではなく、法人向けのサービス利用を検討します。法人向けのものは、段階認証などセキュリティ対策が強固に設定されていることが多く、より安全にサービスを利用できることが期待できます。

また、できる範囲で個人のIT機器やアプリ、サービスの使用を制限・監視する仕組みづくりも対策として有効だといえます。企業のIT担当がシャドーITを監視できる環境を構築できれば、承認されていない端末の使用や、クラウドサービスをはじめとしたウェブサービスの利用は大幅に減少するでしょう。

システムやサービスによる対策のみではなく、従業員への教育も重要です。シャドーITの危険性や存在そのものを知らない従業員も少なからずいるでしょう。シャドーITに関する教育を行い、その危険性やリスクを正しく認識してもらうことで、従業員たちがシャドーITを行わないような体制づくりが可能になります。

シャドーITは企業側で認識しにくく、大きなリスクを伴う問題といえます。テレワークなど働き方が広がることで、シャドーIT対策はよりハードルが高くなると予想できます。運用ルールや制限・監視を行うことはもちろん、従業員への教育をもしっかりと行うことでシャドーIT対策をしていきましょう。