シャドーITとは?発生原因や企業が備えておくべき対策方法
テレワークが働き方のひとつとして常態化している企業が増えている。
そんな状況の中、便利だからとか、使い慣れているからという理由で私有のPCやスマホ等を会社に無断で業務利用するシャドーITも問題となっている。
会社が管理していないデバイスはセキュリティ上問題がある場合も多く、これに対処することが企業にとって喫緊の課題なのである。社員が私有のPCを業務利用していることが発覚し、対処に頭を悩ます情シスがここにもひとりーーー
にのまえくん、ネットニュースで見たんだけどね、個人利用のPCで仕事をした上に情報流出してしまって大手企業が問題になってるって、世間が騒いでるね。
はい、部長、その件なら僕も注視してます。まあ、うちの場合は情シスが管理している社有のPCを貸与してますから、問題ないと思いますけどね。
それならいいが、管理していない端末から情報漏えいなど起こしたら会社の信用問題になるからな。しっかり頼むぞ。
わかりました。(大丈夫だっていってるのに、意外と心配性だな、部長は)
やあ、はじめ、お前のところの社員は随分とおしゃれなノートPCを使ってるな。
あ、情シスマンさん、いらっしゃってたんですね。って、おしゃれなノートPC?うちで貸与しているのは真っ黒で無骨なちょっと古い型のノートPCですけど。
そんなことないだろう、はじめの会社の営業と会議が一緒だったが、シルバーのスリムなノートPCを使っていたぞ。
そんな…うちの社員で個人のPCを使ってる人がいるなんて。
そういえば会議中、確認事項があったとき、スマホを使ってチャットで確認してたな、あれも私物じゃないか?
私有のスマホも…。どうしよう、万が一情報漏えいでも起こったらただじゃすまないぞ。
なんだ、はじめの会社は私有のデバイス利用は禁止なのか。
ええ、禁止です。社有のデバイスしか管理していないですから。まさか、個人利用のPCを業務で使っている人がいるなんて…。
つまり、シャドーITってわけだな。
シャドーITとは
会社に無断で私有のPCやスマホ、あるいはクラウドサービスなどを業務利用することをシャドーITという。
私有のデバイスは会社が管理するデバイスよりセキュリティのレベルが低い場合が多く、そのような個人利用のデバイスを業務で使うことは情報漏えいなどセキュリティ上の事故を招きかねないため、企業としても何かしらの対策を講じる必要があるだろう。
シャドーITが起こる背景とは
スマホなどが普及し、PCに近づく性能を持つスマートデバイスが増える中、手軽であるがゆえに、つい手元にある私有のスマホを使って仕事上のやり取りをしてしまう。
また、自宅など社外で仕事をする社員が増え、利用端末も増加するなど、多様な環境に会社の管理が追いついていけない、そういった状況がシャドーIT発生の背景となっている。
さらには便利なクラウドサービスも増え、会社のPCで個人アカウントを使って個人利用のクラウドサービスにログインすることができてしまうといったことも、シャドーITが起こる一因である。
シャドーITになりやすいものとは
スマホなど私物のスマートデバイス、また使い慣れていて便利なチャットツールやクラウドストレージ、フリーメールなどがシャドーITになりやすい。
個人で日常的に使っていて利便性が高く業務効率が上がるため、それらを利用して仕事上のやり取りをしたり、会社の機密データを保存してしまう、といったことをしがちであるが、会社が管理していないデバイスやクラウドサービスを使うことはセキュリティ上のリスクが非常に高く、とても危険な行為なのである。
よくあるシャドーIT
- LINE の個人アカウントで顧客とやり取りをする
- 個人アカウントのフリーメールを使って顧客とやり取りをする
- Google ドライブや Dropbox の個人アカウントでファイル共有を行う
- カフェなどのフリーWi-Fiを利用する
- 私有デバイスを業務用として使う
BYODとの違い
シャドーITとよく似たものにBYOD(Bring Your Own Device)がある。
こちらも私有のデバイスを業務利用する点では同じであるが、これらデバイスは会社の許可を得て使用するものであり、シャドーITとは違って利用に際してしっかりと管理されているため、社有デバイスと同程度の安全性があるといえる。
シャドーITの危険性とは
セキュリティ対策が脆弱な個人アカウントを使って無料のファイル共有サービスにログインし、会社の機密情報などを保存したり、業務上の重要なやり取りを個人利用のフリーメールなどで行うことは、不正アクセスや情報漏えいのリスクにつながる。
また個人利用のデバイスは適切なウイルス対策をしていない場合もあるだろう。デバイス購入当時にウイルス対策ソフトを入れていても、更新して最新の状態を保てていないなど問題も多いため、コンピューターウイルスなどマルウェアの感染リスクが高いといえるだろう。
情シスマンさん、シャドーITって、本当に危険なものなんですね。
そうだな、そのために企業もなんらかの対策をする必要がある。それでは次に、シャドーITの対策方法を見てみよう。
調査
(情シスとしては)
- LINE や WhatsApp 等の無料アプリで会社関係者と顧客情報等をやりとりさせたくない
- 資産管理対象じゃない個人携帯に連絡先などの顧客情報を残してほしくない
- コンプライアンスに抵触しているかどうかのモニタリングがしたい
(社員としては)
- 便利で、且つ顧客などからのレスポンスも良い LINE をコミュニケーションツールとして使いたい。
シャドーITの対策方法とは
対策として最初に実施したいのは、社員に対してアンケートをとるなどしてシャドーITがどれだけ利用されているかを調査することだ。なぜそういった利用をするかを聞き取り、シャドーITに代わってその要求に応えることのできる方法を検討することでシャドーIT自体は抑止に向かうだろう。
次にシャドーITを禁止する明確なルールも確立すること。そもそも、それが良くない事だと認識できていない社員も少なからずいるはずだ。シャドーITは効率よく仕事をする社員の「前向きな姿勢」が原因であるからだ。決められたルールを遵守させたり、社員一人ひとりのセキュリティ意識を高めたりするために、eラーニングなどを活用して社員教育を行うといったことも重要となる。
状況が許せばBYODを活用するといったことも考えられるだろう。シャドーITを社内にはびこらせているよりは、はるかに安全性が高まる。社員が私有のスマホを使うのは、会社がスマホを支給していないから、といったこともひとつの要因として考えられる。そういった場合は社有携帯をスマホに切替えて貸与するといったことも検討したい。またモバイル端末の管理には、MDM(Mobile Device Management)を導入するといった方法もある。
シャドーITの対策方法もいろいろあると知って安心しました。情シスマンさん、おすすめの対策ってあるんですか?
よし、それではシャドーIT対策におすすめなツールを紹介しよう。
シャドーIT対策におすすめなツールとは
私有デバイスを業務利用させない
シャドーITにもいくつかある。まずは会社から許可されていないデバイスを使うケースだが、社内ネットワークに接続している端末を監視し、許可されていないものが不正に接続されていないか検知するようなツールを導入することで、私有デバイスの業務利用を防ぐことが出来る。また業務用アプリ側でアクセス元制御を行うのも有効だ。
おすすめのツールはこちら
推奨アプリ以外をインストールさせない
会社から支給されているデバイスで許可されていないアプリを使うケースもあるだろう。
従業員がこれらを勝手に利用してしまうことを教育だけで防ぐのはなかなか難しい部分があるため、システマチックにアプリ制御ができるツールを導入することで、シャドーITに対策しよう。
モバイルデバイスへはMAM系サービスがあれば端末内の業務に使用しているアプリケーションとデータのみを切り離して管理する事が出来るので、BYOD運用にも有効だろう。
おすすめのツールはこちら
- サーバーからスマホまでエンドポイントのセキュリティに「WithSecureサービス」
- MAMも!Microsoft でセキュアに管理「Microsoft Online Services」
社員が使い慣れたツールを採用する
何年か前のシャド―ITの代表例として、個人用フリーメールアドレスに業務で使う資料を転送して自宅で残務を行うというものがあった。昔は会社アドレス宛のメールは会社PCでPOPで受け取るのが通常だったからだ。
しかし、現在は殆どの企業がメールはIMAPで受信し、様々なデバイスから業務で使うメールソフトを利用していい運用になっていて、そのおかげで前述のようなシャドーIT例はほぼ消滅した。この時期、会社のメールソフトを Gmail に切り替えた企業が多くいたのを鮮明に覚えている。
現在では Google Workspace™ をグループウェアとして導入している企業が随分と増えた。
※POP受信とは...サーバーにあるメールをPC等の端末にダウンロードして、端末上でメールを管理する仕組み
※IMAPとは...サーバーにあるメールをPC等の端末にはダウンロードせず、サーバー上でメールを管理する仕組み(マルチデバイス運用に向いている)
このように、社員が使い慣れたツールをあえて公的導入してしまう事でシャドーITを抑止するのも一つのやり方だ。
近年では、個人で利用しているLINEなどで顧客と連絡をとったり、社内でのやり取りを行ったりしてしまうケースが増えているらしい。
例えば、企業向けのクラウド型ビジネスチャットツールと称される「LINE WORKS」であれば、普段から無料版のLINEをで手慣れた操作感のまま、カレンダー、掲示板、ドライブ機能、タスク管理、アドレス帳などの業務効率化に必要な機能を使用できるし、コンプライアンス管理や暗号化などのセキュリティ対策も十分にとられている。
おすすめのツールはこちら
- 使い勝手は間違いなし!企業向け LINE なら「LINE WORKS」
- メール、ドライブ、ビデオ会議などなど。様々なアプリケーションがパッケージ化されたグループウェアなら「Google Workspace」
なるほど、アプリケーションや接続端末の監視をしつつ、便利なツールを会社として導入すればいいんですね!
情シスマンさん、これで我が社もシャドーITを撲滅できそうです。
うむ、解決したな。
それではまた会おう、さらばだ!!
解決
個人利用のデバイスやクラウドサービスを業務で利用するシャドーITは、情報漏えいや不正アクセスを引き起こす、大変やっかいな存在である。
それらを利用することの危険性を社員に理解させることはもちろん、シャドーITの存在を確認し利用できないようにする対策をとることも重要だ。
また社員がなぜシャドーITを使うのかを理解し、それに代わる安全な方法を提供するといったことも検討する必要があるだろう。「USEN GATE 02」のサービスを利用すれば、それらの課題をまとめて解決することも可能だ。
サービス詳細はこちら↓
本記事の著者
情シスマン
本メディアの主人公。職業はヒーローで、趣味はトラフィック監視。様々な武器を駆使して情シスにまつわる問題や悩みを解決している。ITをよく知らないのに、情シス担当になってしまった人の味方です。いや、正義の味方じゃなく、正義そのもの。困っている人がいたら、助けたいお人よし。
