シャドーITとは?セキュリティリスク対策5つと具体事例を紹介

シャドーITとは?セキュリティリスク対策5つと具体事例を紹介
基本情報技術者試験の試験対策はこちら>>

シャドーITの概要

シャドーITとは、個人が所有し、会社が把握していないIT機器などを無断で持ち込み、従業員が業務を行うことです。また会社のクラウドサービスを無断で使用することも含まれます。

近年、オンラインストレージやチャットアプリなど、便利なサービスが次々と登場しています。これらを使うことで業務に効率は上がりますが、会社側が認めていないことも多いです。そのため社員は無断で使用することも多く、シャドーITはますます増加しています。

個人で所有するIT機器を持ち込むことにより、紛失や盗難などで情報が漏洩する危険性があります。さらにクラウドサービスは便利ですが、個人で行うセキュリティ対策は不十分なことも多いです。

そのため「大丈夫」だと思っていても、情報漏洩が起こる可能性は否定できません。また重要なデータを破損させる可能性もあります。特に会社のIT担当者が把握していなければ、対策も練れず、危険性だけが増していくことになります。

シャドーITのリスク

シャドーITによるリスクは、主にセキュリティ面で生じます。特にその心配があるのは、クラウドを利用したメールサービス・ストレージサービス・翻訳サービスです。

Gmailなどフリーで使えるクラウドメールは、ログイン環境があれば社内外問わず使用できます。私用アカウントのアドレスで業務メールを送ることも可能なので、取引先に送るべきメールを他の人に送信して情報漏洩が起きるリスクがあります。

また、セキュリティに問題のあるフリーメールを使うと、IDやパスワードが盗まれる可能性も否めません。これらが盗まれるとアカウントが乗っ取られ、相手に失礼な内容や詐欺メールが送信されることもあります。チャットツールでも、同様のリスクがあります。

また、クラウド型のストレージサービスを利用する際は、セキュリティが弱いと保存したデータが何らかの理由で漏洩する可能性があると言われています。一般的に法人用プランは強固なセキュリティを持ちますが、個人用プランは比較的守りが弱いため危険です。

翻訳サービスにおいても、クラウド型を利用する時には注意が必要です。翻訳前の文章がクラウド上に保存されるサービスもあり、そのようなサービスでは翻訳後も文章が残り続けるため、内容が何らかの理由で漏洩する可能性があります。

シャドーITの具体事例5つ

シャドーITには、複数の具体事例が存在しています。たとえば、業務の持ち帰り・チャットツールの利用・フリーメールの利用・クラウドのストレージサービス・ネットワーク機器の利用といった状況でよく発生します。

シャドーITの具体事例は、どういった理由で社員がシャドーITを用いてしまうのかを理解することに繋がります。対策を図る上でためになる情報ですので、一般的に多い具体事例を確認しておきましょう。

シャドーITの具体事例1:業務の持ち帰り

シャドーITの具体事例1つ目は、業務の持ち帰りです。働き方改革によって社内での残業時間が取りにくくなったため、自宅などで業務を進められるよう社外にデータを持ち出す機会が増えています。

この時、会社で使用しているシステム以外のシステムでデータを扱うと、外部にその情報が漏洩する可能性があります。たとえば、私用のクラウドサービスにデータをアップデートする際には、共有設定を誤ると会社外の人に情報が見られる可能性が高くなります。

シャドーITの具体事例2:チャットツールの利用

シャドーITの具体事例2つ目は、チャットツールの利用です。社内で活用されるメールや電話よりも簡単にコミュニケーションを取ることができるため、社員個人の勝手な判断でチャットツールやSNSが利用されるケースが増えています。

この時に個人アカウントを使うと、誤って無関係の相手にデータを送ってしまう可能性が高くなります。また、会社の関係者になりすました存在から申請を受ける可能性もあり、それを許可して社内情報を漏らしてしまうリスクも否めません。

シャドーITの具体事例3:フリーメールの利用

シャドーITの具体事例3つ目は、フリーメールの利用です。チャットツールの事例のように、個人的判断でフリーメールを使った仕事のやりとりが行われることもあります。ここで心配になるのは、誤送信とセキュリティ面です。

フリーメールはログイン可能な環境があればどこでも使用できるため、セキュリティ面が弱いとIDやパスワードが盗まれて勝手に悪用される可能性があります。また、誤送信による情報漏洩の事例もあるので懸念すべき点と言えます。

シャドーITの具体事例4:クラウドのストレージサービス

シャドーITの具体事例4つ目は、クラウドのストレージサービスです。クラウド型ストレージサービスの提供プランは、一般的に個人用と法人用の2つで、このうち個人用は比較的にセキュリティ性が低いと言われています。

シャドーITとして用いられるクラウド型ストレージサービスは、大抵が無料のもの(個人用)です。もちろん、提供側も簡単に情報漏洩するような仕組みにはしていませんが、何らかの影響でデータが外部に出てしまうリスクは十分にあります。

シャドーITの具体事例5:ネットワーク機器の活用

シャドーITの具体事例5つ目は、ネットワーク機器の活用です。個人端末を使ったネットワーク接続のことで、一般的には業務の持ち帰りと同時に起きやすい事例です。使い慣れた端末の方が作業は楽ですが、セキュリティ面は心配があります。

たとえば、私用端末に発生したマルウェア感染が社内に伝播したり、カフェなどの無料Wi-Fi利用時に不正アクセスされたなど事例があります。個人利用している端末やWi-Fiはセキュリティ対策が不十分なことも多いため、事前に見直すことも大事です。

シャドーITが増える理由3つ

シャドーITは会社が把握していないコンピューターツールですので、いわば会社に無断で会社に関わるものを使っている状況です。

このような端的な考え方で言えば悪いことと理解できますが、社員はなぜシャドーITを用いてしまうのでしょうか。

その理由は、大まかに分けて3つほどあります。具体的には、便利性・運用や統制の難しさ・代替案がないことが挙げられます。

では、これらの理由がシャドーITを使用することにどう繋がっているのか、以下にご紹介しましょう。

シャドーITが増える理由1:利便性

シャドーITが増える理由1つ目は、利便性です。データの持ち運びや調べたい情報がある時に、オンラインで利用可能なクラウド型のサービスはとても便利な存在となります。そのために、独自の判断で使ってしまう社員もいると考えられます。

大量のデータはUSBなどに保存すると手間もかかりますし、持ち運び時の紛失・盗難のリスクもあります。すぐに調べられる場所に入れておけば、商談中の疑問などを迅速に解決できるでしょう。しかし、コンピュータ上のセキュリティリスクは重大です。

シャドーITで用いられるツールは、確かに利便的で作業効率などを上げるものなので、企業側はセキュリティ性がちゃんとしている法人用ツールの導入を検討すると良いでしょう。シャドーITの中には、法人用として使えばとても有益なツールもあります。

シャドーITが増える理由2:運用や統制が難しい

シャドーITが増える理由2つ目は、運用や統制が難しいためです。シャドーITを防ぐ方法として手っ取り早いのは、シャドーITで使われていたようなツールを法人用で導入することです。しかし、導入することで企業には様々なコストが発生します。

法人用は基本的に無料で提供されているものがないため、第一に導入費用が生じます。そして導入後には、指示通りに社員が利用しているかの定期的な確認が必要です。つまり、運用や統制には相応のコストを要するため、確認作業や導入自体が難しい企業もあるということです。

シャドーITが増える理由3:代替案がない

シャドーITが増える理由3つ目は、代替案がないためです。これは、シャドーITとして使われているツールの代わりになるものが会社にない(業務の効率を上げる環境が整備されていない)という意味です。

シャドーITを用いる多くの理由は「作業効率を上げるため」なので、シャドーITを防ぐために最も有効な手段は代替案の用意と考えられています。しかし、代替案を用意しても慣れなどの問題で適切に使用されず、シャドーITが生じてしまったケースもあります。

シャドーITリスク対策5つ

シャドーITは、企業にとって重大なリスクがあります。主にセキュリティ面でのリスクが高く、そのリスクが実現するような事態があればビジネス的に大きな損害を得ることになります。

そういった大変な事態が発生する可能性を下げるためにも、シャドーITのリスク対策を行う必要があります。

一般的によく取り入れられている対策方法は、ヒアリング・条件付き許可・利用ルール設定・リテラシー教育・代替案の提示の5つです。参考までにご紹介しておきましょう。

シャドーITリスク対策1:利用実態のヒアリング

シャドーITのリスク対策1つ目は、利用実態のヒアリングです。社員がどのようなツールを必要としているのか、どのようなシステムがあれば作業効率が良くなると思っているのかなどを聞き取ります。

このヒアリングによって、クラウド型のコミュニケーションサービスやストレージサービスを必要としている社員の存在を把握できたら、シャドーITが生じる前に企業側で社員のニーズに合うツールの導入を検討しましょう。

シャドーITリスク対策2:条件付き許可

シャドーITのリスク対策2つ目は、条件付き許可を設けることです。データの持ち出しや個人端末の使用などを禁止するだけではシャドーITを防ぐことは難しい場合が多いため、使うツールに関する許容体制を作ることで防止効果が出ると言われています。

業務のために使用しても良いツールやサービスを限定することで、個人用でもある程度のセキュリティが維持されます。チャットツールなどはビジネス向けに無料で提供されているものもありますので、導入企業などを参考に検討してみましょう。

シャドーITリスク対策3:利用ルール設定

シャドーITのリスク対策3つ目は、利用ルール設定です。端末やサービスの利用に関する制限をかけるため、何がダメなのかを示す使用方法および禁止事項のマニュアルを作成します。同時に、セキュリティソフトの導入対策も行いましょう。

まず、悪質なサイトへのアクセスを防止するためにフィルタリングソフトを導入します。そして、社員が個々に使う各端末にセキュリティソフトを導入します。また、社外に端末を持ち出す際は、申請書の提出を義務付けている会社も多く見られます。

シャドーITリスク対策4:リテラシー教育

シャドーITのリスク対策4つ目は、リテラシー教育です。シャドーIT対策として代替案となるツールを導入しても、適切に活用されていなければ再びシャドーITを使う社員が出る可能性があるため、どう利用し活用するのかの教育には力を入れましょう。

また、シャドーITが発生する理由の1つに、シャドーITのリスクに関する社員の認識不足が挙げられます。シャドーITに該当するツールがどうして危険なのか、企業にどういったリスクが生じるのかを分かりやすく伝える工夫も必要です。

シャドーITリスク対策5:代替案の提示

シャドーITのリスク対策5つ目は、代替案の提示です。シャドーITは社員が行う作業の効率を上げる目的で用いられることが多いため、作業を利便的にするために使用されたシャドーITと機能的に似たツールを代替案として提示しましょう。

社員が個人的に使うツールは、多くが個人用で、セキュリティや誤送信などに関する懸念が目立ちます。そのため、企業側が法人用としてツールを導入し、それを代替案として社員に提示することでシャドーITの発生を抑制する効果が見込めます。

シャドーITの利用実態把握とルール設定を行おう

会社が認識していない個人用端末やツールで会社の情報を取り扱うシャドーITには、セキュリティ上のリスクがあります。しかし、その存在は実際にトラブルが発生するまで明らかにならないケースが多く、改善の前に損害を負う事態になりかねません。

シャドーITの発生そのものを防ぐ必要があるため、企業側ではシャドーITが生じる理由に目を向け、適切な対策を図ることが重要になります。

利用実態や社員が求める機能をヒアリングし、使い方やリスクを明確に示しながら、対策に繋がるツールやソフトを導入しましょう。

インフラエンジニア専門の転職サイト「FEnetインフラ」

FEnetインフラはサービス開始から10年以上『エンジニアの生涯価値の向上』をミッションに掲げ、多くのエンジニアの就業を支援してきました。

転職をお考えの方は気軽にご登録・ご相談ください。

合わせて読みたい

FortiGateとは?特徴やメリット・導入ポイントから役立つ分野を徹底解説... hbspt.cta.load(20723875, '8796ab79-1037-4c92-908c-83fb00239d53', {"useNewLoader":"true","region":"na1"}); FortiGateとは FortiGate(フォーティゲート)は米Forti...
Linuxのセキュリティ対策方法7つ!セキュリティ対策ソフトを入れよう... hbspt.cta.load(20723875, '0f72735d-da9f-4038-a47b-134730f22cb0', {"useNewLoader":"true","region":"na1"}); セキュリティ対策すべき「マルウェア」とは? マルウェアとは、コンピューターや...
Palo Alto Networksとは?製品ブランドや社歴・ビジネス状況を知ろう!... hbspt.cta.load(20723875, '261a55dc-7b2a-4c90-bf5f-16f16e34e44c', {"useNewLoader":"true","region":"na1"}); Palo Alto Networksとは? Palo Alto Networ...
Wi-Fiセキュリティ規格WPA3の特徴と利点5つ|脆弱性は解消されたのか?... Wi-Fiのセキュリティ規格WPAとは? WPA(Wi-Fi Protected Access)はアメリカにある無線LANの普及促進を図る非営利の業界団体「Wi-Fi Alliance」が発表する無線LANの暗号化方式のことです。それまで使われていたWEPはセキュリティ上の脆弱性が多数指摘され...
エンジニアなら判断できて当たり前!シャドーITと「BYOD」の違いとは... 会社側が把握していないIT機器を使い業務を行うことを「シャドーIT」といいます。 それに関連した言葉として「BYOD」があります。 この2つは同じように語られることも多いですが、明確な違いがあります。 本記事ではシャドーITとBYODの違いについてご紹介します。 BYODの概要 BYOD(...