従業員が独自に導入したクラウドサービスや私物デバイスを、業務に利用していませんか。これらのシャドーITは、情報漏洩や不正アクセスなどの深刻なセキュリティリスクを生じさせます。
今回は、シャドーITの具体的なリスクや実際の企業事例を踏まえ、情報システム部門が実施すべき効果的な対策について解説します。
目次
シャドーITとは?
シャドーITとは、情報システム部門が管理していない、従業員が独自に導入したIT機器やシステム、クラウドサービスを指します。
セキュリティガバナンスの観点から重大なリスク要因となっています。
シャドーITの例
企業で発生しやすいシャドーITは多岐にわたり、適切な対策が急務です。
主な例として、以下があげられます。
・私物のスマートフォンやタブレット
・自宅PCの業務利用
・個人のLINEなどのチャットツール
・Gmailなどのフリーメール
・Google DriveやDropboxなどの個人クラウドストレージ
シャドーITが生まれる原因
シャドーITが発生する原因として、ITツールの高機能化や無料化が進んだことがあげられます。
特にGoogleサービスや大手クラウド企業が提供するコミュニケーションツール、クラウドストレージ、翻訳ツールなどは、機能性・利便性ともに高いことが特徴です。
さらにテレワークの普及も相まって、従業員が独断で新しいツールを導入するケースが増えているのです。
しかし根本的には、企業側が従業員のニーズに応じた効率的な業務環境を整備できていないことが原因といえるでしょう。
シャドーITによるリスク
シャドーITは「見えないところで進行するセキュリティホール」を生む要因であり、企業の信用や存続に関わる深刻な問題を引き起こす危険があります。
情報システム部門が把握できないIT資産により、以下の重大なリスクが潜在化しています。
不正アクセス
フリーWi-Fiなど通信が暗号化されていない状況で業務を行うことで、第三者による通信傍受や不正アクセスの危険が高まります。
さらに、なりすましアクセスポイント(偽装Wi-Fi)によって、従業員が気づかないうちに個人情報や社内システムへの侵入経路を提供してしまうおそれがあります。
情報漏洩
チャットツールやオンラインストレージ、メールの誤送信などによって社内機密の漏洩リスクが高まります。
私物デバイスの紛失や盗難によって保存された重要情報が流出する可能性もあり、クラウドサービス利用時の設定ミス(公開範囲の誤りなど)も原因となり得ます。
これらの情報漏洩は法的責任や取引先との信頼関係悪化を招くおそれがあります。
アカウントの乗っ取り
セキュリティ対策が不十分なフリーメールやチャットサービスでID・パスワードを使い回すことにより、アカウントが乗っ取られやすくなります。
1つのサービスが侵害されると、他のサービスにも連鎖的に被害が広がる危険性があり、乗っ取られたアカウントから取引先への不正アクセスが発生する可能性も否定できません。
マルウェアへの感染
私用デバイスはセキュリティ対策が不十分であり、不正サイトやファイルからマルウェアに感染しやすい状況にあります。
マルウェアに感染すると、データの破壊・盗難、システムの異常動作などの深刻な問題が発生する可能性があります。
感染したデバイスが社内ネットワークに接続されると、その影響が社内システム全体におよび、業務停止や復旧コストの増大といった深刻な事態を招くおそれがあります。
シャドーITが原因となった企業事例
実際に発生した深刻な情報漏洩事件から、シャドーIT対策の重要性と従来の対策手法の限界が浮き彫りになっています。
ある不動産会社において、元社員がマンション所有者25,406名分の不動産登記簿の内容(社内でデータ化した資料)を無断で持ち出し、同業他社への転職後に一部情報をダイレクトメール送付に利用するという深刻な事件が発生しました。
この事件では、退職時に機密保持誓約書を提出していたにも関わらず情報漏洩が起こったため、企業側は全従業員への個人情報取り扱いに関する再教育、外部へのデータ送信時の監視強化、社内業務管理システムのアクセス制限の見直しなどの対策を実施することとなりました。
「誓約書を提出させれば安心」という考えは危険です。実効性のある監視・運用体制の構築こそが、シャドーIT対策において不可欠であることが明確に示されています。
企業が実施すべきシャドーITの対策3選
シャドーIT問題の根本解決には、禁止一辺倒ではなく現状把握と従業員のニーズを理解した上での戦略的なアプローチが不可欠です。
情報システム部門が優先的に取り組むべき3つの対策を解説します。
従業員へ利用状況を調査する
従業員へのアンケート調査を実施し、使用中の非公式ツールや使用理由を明らかにしましょう。
単に使用状況を把握するだけでなく、既存の業務ツールに対する不満点や使用感などを収集し、従業員がシャドーITを使わずに済む業務環境を整えるための情報とします。
従業員の真のニーズが見えてくれば、効果的な対策立案が可能になります。
具体的には、以下のようなアンケート項目を盛り込むと良いでしょう。
■現状把握
・会社が許可していないIT機器、サービス、アプリの利用経験
・具体的に利用したことがあるツール名
・利用頻度(毎日/週数回/月数回/その他)
・利用場面(自宅作業時/外出先/オフィス内/その他)
■非公式ツールの利用動機
・なぜ非公式ツールを使用したか(業務効率が上がるため/会社のツールが使いにくいため/他部署・取引先が使用しているため など)
■既存ツールへの評価
・現在の業務ツールの満足度(5段階評価)
・具体的な不満点(自由記述)
・改善してほしい機能(複数回答可)
・業務で必要だが提供されていない機能
■そのほか
・導入を希望するツール・サービス
・会社のIT利用ルールの理解度
BYOD(私物デバイスの業務利用)を前提とした柔軟な対応を行う
禁止一辺倒ではなく、一定条件下での使用許可を検討し、従業員の要望に応える姿勢を示しましょう。
セキュリティ性能を満たすデバイス・アプリケーションであれば、導入を認めることで業務効率化を図ることができます。
この柔軟なアプローチにより、従業員の生産性向上とセキュリティ確保の両立が実現できます。
アクセスや利用状況を可視化する仕組みを導入する
技術的な監視・制御システムの導入により、継続的なシャドーIT対策が実現できます。
例えば、CASB(Cloud Access Security Broker)を導入し、クラウドサービス利用の可視化と制御を実施することで、利用ログの監視や不正なアップロード・ダウンロードの検知が可能になります。
さらに、IT資産管理ツールを用いて、私用デバイスの登録・制限、PC操作ログの収集などを行うことで、包括的な監視体制を構築できます。
これらのツールにより、リスクの早期発見と迅速な対応が実現し、継続的なセキュリティガバナンスの維持が可能となります。
関連記事:「IT資産棚卸とは?その目的や具体的な手順を詳しく解説!」
まとめ
シャドーITは情報システム部門が管理していない従業員独自のIT利用であり、不正アクセスや情報漏洩など企業存続に関わる深刻なリスクを生みます。実際の企業事例からも、機密保持誓約書だけでは不十分であることが明らかです。
効果的な対策には、従業員の利用状況調査による現状把握、セキュリティ要件を満たした範囲でのBYOD許可、CASBやIT資産管理ツールによる可視化システム導入が不可欠です。
禁止一辺倒ではなく、従業員ニーズを理解した戦略的なアプローチでシャドーIT対策に取り組んでいきましょう。
