昨今、個人の働き方の意識変化が顕著です。それにはいくつかの理由があります。まずは、政府の働き方改革推奨の影響が大きいでしょう。そして、ネット環境の進化やクラウドサービス・ファイル共有サービス般普及したこと。さらに、ノートPC・タブレットなどのIT機器がますます軽量化・改善されて持ち運びしやすくなったこと。そういった社会的背景やIT環境の変容が挙げられます。

それにより、在宅ワークやコワーキングスペースでのリモートワークなど、さまざまなスタイルの働き方が認められていて、仕事の効率を向上させることが可能となっています。ですが一方で、持ち出されたIT機器の使用状況と、アウトソーシングしている作業や社員個人が使っているファイル共有サービスやメール、チャットなどのITシステムを把握しきれない「シャドーIT」という状態が問題になってきています。システム管理者やセキュリティ担当者は、シャドーITの存在を把握し、適切な管理を行わなければなりません。今回はこのシャドーITについて解説していきます。

そもそもシャドーITとは何か？

シャドーITはどういうものなのでしょうか。本来、企業は業務用のノートPCやタブレット、スマートフォン、クラウドサービスなどの使用状況を把握しているべきです。しかし、管理・把握しきれていないITシステムや、IT機器のことをシャドーITといいます。シャドーITには次のようなものがあります。

シャドーITの具体例

・LINEなど個人で使用する頻度の高いチャットアプリ
・社員個人のスマートフォンやノートPC、タブレットで企業のデータを扱うもの
・クラウドサービスなど、一般的にコンシューマー向けとして開発されているオンラインストレージサービスを仕事で使用するもの

BYODとの違い

通常、社員個人が所有しているスマートフォンやタブレット・ノートPCを仕事用に使用する「BYOD（Bring Your Own Device）」は、企業の承認を得ているので、シャドーITには該当しません。シャドーITでは企業に申請せず個人のIT機器が使われている場合が多く、事件が起こってから使用が発覚することも珍しくありません。シャドーITは、システム管理者やセキュリティ担当者が把握しきれていないものであり、端末の紛失や盗難・情報流出といったリスクが大きいのです。

シャドーITによってもたらされるセキュリティ上のリスク

シャドーITは、社員個人が業務上IT機器を持ち帰る、あるいは効率化を図るためにITシステムを利用してトラブルが起こることがあり、情報漏洩のリスクを意識していない利用者が見受けられます。シャドーITのリスクは大きく分けて3つあります。

①端末の紛失・盗難のリスク

スマートフォンやノートPC・タブレットは簡単に持ち運びできることから、端末ごと紛失してしまうケースや、車上荒らし・電車内での置き引きなどに遭うなどのリスクが高くなります。

②ウィルス感染のリスク

企業の承認を受けていない社員個人の端末を使用している場合、セキュリティ意識が低く、ウィルスソフトなどの対策が不十分なことがあります。そして、プライベートな接続を介して外部サイトや受信メールなどからウィルスに感染する可能性が高くなります。

③情報の漏洩・盗難のリスク

LINEなどのチャットアプリやメールソフトを仕事とプライベートで切り分けていない場合には、情報をまったく関係ない第三者へ誤送信してしまうケースがあります。

また、クラウドストレージサービスなどは企業のセキュリティと比較すると性能が弱いことが多く、セキュリティホールを突かれて情報を持ち去られることも考えられます。ほかに受信したデータを間違った場所に保存してしまってデータを盗まれることもあり、外部ネットワーク経由で端末がハッキングされ、情報が流出してしまう可能性が高くなります。

企業の担当者が行うべきシャドーIT対策

具体的にシャドーITによるリスクを抑えるためには、IT機器の持ち出しやクラウドストレージサービスなどの利用を禁止してしまえばよいというわけではありません。シャドーITが発生してしまう原因には、社内環境では仕事が進めにくいという理由もあります。社内環境を改善せずに禁止してしまっても、社員がほかの方法を見つけていたちごっこが続いてしまいます。また、クラウドサービスやオンラインストレージサービスは複数存在するため、セキュリティ管理者やシステム管理者が常時監視し、すべてを把握するのはかなり難しいといえます。

従業員のニーズや利用状況を調査する

具体的な対応策として、まずは社員に対してヒアリングを行うことです。アンケート形式でも構いませんが、個人が所有していて許可を得ていない端末などの利用状況を確認するのが大切です。しかし、いきなり端末確認を行うと、セキュリティ意識が低い社員は委縮してしまうこともあるので、何のためのヒアリングなのかをきちんと説明する必要があります。

未許可の端末確認のほか、現在の社内システムで使い勝手が悪い点や使用したいサービスなどを聞き取ることで社員のニーズを確認でき、それを可視化すると、より対策を行いやすくなります。たとえば次のような対策を行うと、シャドーITを減らしていけます。

具体的な対策

・未許可の個人使用端末がある場合は、企業側から業務用の端末を支給する
・外部アクセスに対するフィルタリングソフトを使用する
・社内クラウドで社員の通信を管理する
・「CASB（Cloud Access Security Broker）」などを使用し、端末とクラウドサービスなどの通信を監視する
・チャットアプリは企業側が許可したもののみ使用可能にし、退職者などの外部IDを残さない
・社員一人ひとりのセキュリティ意識を向上させる

社内教育によるリテラシー向上

特に社員一人ひとりのセキュリティ意識は重要なポイントになります。どれだけ企業側がセキュリティ対策を行っても、作業する社員が「これくらい大丈夫だろう」とセキュリティを軽んじていると、情報漏洩などが起こりやすくなるためです。

社員のセキュリティ教育は内部で担当者が資料を作成して行うこともできますが、外部から専門講師を呼ぶことも検討の余地があります。他社事例の紹介や、シャドーITはいかに危険性が高いかの専門知識をわかりやすく講義してくれるからです。社員のレベルやセキュリティ教育にかける時間・コストを考慮して、適切な打ち手を選ぶようにしましょう。

企業のセキュリティ対策はますます重要になってくる

シャドーITは、仕事をこなす上で必要なインフラ環境や使い勝手のよいツールが整っていれば、発生する可能性がかなり低くなります。ひと昔前は企業のシステムというと物理的なものがほとんどで、企業内はデスクトップPCを有線LAN接続、外部からのアクセスもノートPCがメイン、プロバイダー回線で社内環境にアクセスしていることが多かったものでした。

しかし、現在はスマートフォンやタブレット・ノートPCなどの端末やオンラインストレージが普及し、外部からの影響を受けやすい環境が出来上がっています。社内環境に関してもUSBメモリや無線LANを部署ごとに使用することで、ウィルスや外部からのアクセス、また、情報漏洩が起こりやすい環境になっています。

今後もクラウドサービスなどの利用は増えていくことが考えられるため、シャドーITに対する企業の対策は、重大なトラブルを回避する重要なポイントとなってくると考えられます。

シャドーITへの意識を高める方策を

社員が作業をしにくい環境のために、企業が把握しきれないシャドーITが発生していることは珍しくありません。シャドーITは情報漏洩やウィルス感染などのリスクが高く、企業は極力シャドーITをなくす必要に迫られています。

シャドーIT対策を行う際は、社員にヒアリングなどを行ってシャドーIT端末の洗い出しを行いつつ、代替できるサービスやソフトやIT機器を支給し、社員が作業しやすい環境を整えていくことが必要です。しかし、企業がいくら対策を施しても、社員一人ひとりのセキュリティに対する意識が低いと意味がありません。社員に対するセキュリティ講習を行い、企業全体としてセキュリティや情報漏洩に対する意識を高めることが重要です。