会社に無断で個人用のパソコンやスマートフォン、クラウドサービスなどを業務に使用することをシャドーITと呼びます。このシャドーITにはリスクがあることから、現在問題になっています。果たしてシャドーITにはどんなリスクが潜んでいるのか、この問題を解決するにはどのような手立てがあるのか、どのように対策に取り組めばよいのか、今回はシャドーITの実態とリスクについてみていきます。
シャドーITのリスクは、便利なクラウドサービスやスマホに潜んでいる?
シャドーITが話題になっている背景には、次々と便利で使い勝手の良いITツールが登場しているかことが要因と言えます。代表的なものを挙げると、チャットアプリやオンラインストレージなどのクラウドサービスです。
そして、スマートフォンが普及して以降ユーザーが様々なソフトウェアに触れる機会が急速に増加していることも、シャドーITが行われている要因のひとつだと言われています。
使い慣れているツールを使用して作業すれば作業効率が上がりますが、コストやセキュリティに問題があるため、これらの使用を大半の企業は認めていません。そうなると会社に隠れて利用する従業員が発生することになるのです。
企業が管理すれば個人利用のデバイスやサービスも、安全に使用できる
「BYOD」という制度を設けている企業があります。この制度は、個人のデバイスやサービスを会社に申請し、許可が許可されたものは業務に使用して良い、という制度です。この場合、会社のIT担当者などがセキュリティレベルの管理等を適切に実施している環境下での使用となるため、リスクを低減させることができます。
BYODに関して独立行政法人情報処理推進機構が1,056社を対象に実施した「2015年度 中小企業における情報セキュリティ対策に関する実態調査」よると、この制度を実際に導入している企業は、全体の38.9%に留まっているのです。
シャドーITで最もリスクが高い情報漏えいを引き起こす原因は?
シャドーITが会社にもたらすリスクの中で最も危険性があるのは情報漏えいです。「セキュリティ管理はIT担当の仕事」という認識の方も多いかも知れませんが、NPO日本ネットワークセキュリティ協会による「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの最大の原因の第一位は「紛失・置き忘れ」で26.2%、次いで「誤操作」24.6%なのです。
そして第3位が全体の20.3%の「不正アクセス」なのです。つまり、従業員一人ひとりの意識と行動が情報漏えいの原因を引き起こしている事例が大きいのです。
顧客情報が漏えいしてしまった事例:その原因は、「つい、うっかり」
その事例をひとつご紹介します。2019年9月には大手ITチャットツール企業のクレジットカード部門の社員が個人向けローンサービスに申し込んだ顧客情報の一部を、誤ってチャットスペースに投稿してしまう、という事件が起きました。
その「うっかり」が原因で、顧客情報が不特定多数の人が閲覧可能となってしまい、さらにはその情報はダウンロードすることもできる状態になってしまったのです。
シャドーITは、企業の環境が生み出してしまうケースが多い
個人のデバイスやクラウドサービスなどを業務で使う背景には、企業の環境が最適化されていない、従業員が作業しにくい環境である、いうことも考えられます。
従業員がシャドーITをしている場合、あくまで仕事の効率を優先してシャドーITをするしかない、というケースが多いのです。そのリスクについても無認識の人はごく僅かで、多くの人は理解しています。
シャドーITをなくすための対策は?
会社のために良かれと思ってやっていることを禁止するのは、非常に難しいことです。また使用しているものが個人のものとなると、企業がその実態を把握することも難しく、頭ごなしにとにかく禁止する、という対策を行っても、従業員から反発を買うだけです。
以下のような手順でシャドーIT対策をし、リスクを防ぎましょう。
1.使用状況を調査する
まず社内でシャドーITがどれほど蔓延しているか、基本的な情報を集める。
2.ヒアリング調査する
シャドーITを行っている従業員に「なぜシャドーITの必要だったのか」など、細かくヒアリングする。
3.代替案を用意する
シャドーITが撤廃しても現在の生産性を維持できる環境の提案をする。
4.セキュリティへの意識を高める
社員のセキュリティに対する意識を高めるため、研修などの教育を積極的に行う機会を設ける。
以上のような手順で対策をしていけると、従業員からの反発を買うこともなくシャドーITを排除できる可能性があります。
大切なのは「社員も良かれと思って、会社のためにやるしかない」と従業員の状況を理解する気持ちを持って取り組むことが大切です。力任せにとにかく排除しようとするのは禁物です。
従業員のビジネスパーソンとしての気持ちを理解して、対策に取り組む
働き方改革が進むと、社内で残業できなくなった社員が仕事に関わるデータをUSBに落とし、自分のパソコンを利用してカフェなどで業務の続きを行なうしかなくなったり、テレワークの導入で個人用のパソコンを使うしかない、など、こういった行為にリスクがあるのです。
働き方改革で、今後もますますテレワーク、リモートワークが増加することは容易に想像できます。すると企業のシャドーIT対策は更に難しくなっていきます。
使い勝手のよいものを使えば「生産性を上げることができる」という気持ちはビジネスパーソンとして理解できるものです。シャドーIT、そしてシャドーITから問題を起こさないためには従業員の要望にもしっかり耳を傾けることとセキュリティ面とのバランスも取りながら、対策に取り組む必要があるのです。
