シャドーITのリスクとは?

会社に無断で個人用のパソコンやスマートフォン、クラウドサービスなどを業務に使用することをシャドーITと呼びます。

シャドーITにはどんなリスクが潜んでいるのか、この問題を解決するにはどのような手立てがあるのか、どのように対策に取り組めばよいのか、今回はシャドーITの実態とリスクについてみていきます。

近年増加するシャドーITのリスク

シャドーITが話題になっている背景には、次々と便利で使い勝手の良いITツールが登場しているかことが要因と言えます。代表的なものを挙げると、チャットアプリやオンラインストレージなどのクラウドサービスです。

そして、スマートフォンの普及以降ユーザーが様々なソフトウェアに触れる機会が急速に増加していることも、シャドーITが行われている要因のひとつだと言われています。

使い慣れているツールを使用して作業すれば作業効率が上がりますが、コストやセキュリティに問題があるため、これらの使用を大半の企業は認めていません。そうなると会社に隠れて利用する従業員が発生することになるのです。

情報漏えいの最大の原因は個人にある

なぜシャドーITが問題なるかというと、従業員個人による情報漏えいリスクがあるからに他なりません。

「セキュリティ管理はIT担当の仕事」という認識の方も多いかも知れませんが、NPO日本ネットワークセキュリティ協会による「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの最大の原因の第一位は「紛失・置き忘れ」で26.2%、次いで「誤操作」24.6%なのです。そして第3位が全体の20.3%の「不正アクセス」なのです。

つまり、従業員一人ひとりの意識と行動が情報漏えいの原因を引き起こしている事例が大きいのです。

顧客情報が漏えいしてしまった事例

その事例をひとつご紹介します。2019年9月には大手ITチャットツール企業のクレジットカード部門の社員が個人向けローンサービスに申し込んだ顧客情報の一部を、誤ってチャットスペースに投稿してしまう、という事件が起きました。

その「うっかり」が原因で、顧客情報が不特定多数の人が閲覧可能となってしまい、さらにはその情報はダウンロードすることもできる状態になってしまったのです。

シャドーITをなくすための対策は?

最近では、従業員個人がデバイスやサービスを会社に申請し、許可が許可されたものは業務に使用できる「BYOD」という制度を設けてリスクの低減を行おうとする企業も出てきていますが、BYODに関して独立行政法人情報処理推進機構が1,056社を対象に実施した「2015年度 中小企業における情報セキュリティ対策に関する実態調査」よると、この制度を実際に導入している企業は、全体の38.9%に留まっているのです。

これからシャドーIT対策を行おうと考えている企業向けに以下にシャドーIT対策の手順を解説します。

1.使用状況を調査する
まず社内でシャドーITがどれほど蔓延しているか、基本的な情報を集める。

2.ヒアリング調査する
シャドーITを行っている従業員に「なぜシャドーITの必要だったのか」など、細かくヒアリングする。

3.代替案を用意する
シャドーITが撤廃しても現在の生産性を維持できる環境の提案をする。

4.セキュリティへの意識を高める
社員のセキュリティに対する意識を高めるため、研修などの教育を積極的に行う機会を設ける。

以上のような手順で対策をしていけると、従業員からの反発を買うこともなくシャドーITを排除できる可能性があります。

難しくなり続けるシャドーIT対策

新型コロナウィルス感染拡大を引き金に働き方は劇的に多様化しました。在宅勤務やリモートワークが普通になる中、企業のシャドーIT対策はより一層難しくなっていきます。

使い勝手のよいものを使えば「生産性を上げることができる」という気持ちはビジネスパーソンとして理解できるものです。シャドーIT、そしてシャドーITから問題を起こさないためには従業員の要望にもしっかり耳を傾けることとセキュリティ面とのバランスも取りながら、対策に取り組む必要があるのです。

ワークプロセスマネジメントプラットフォーム
Tocaro(トカロ)

仕事のあらゆる行動を定量化し、成果につながるプロセスを見える化します。結果、意思決定の柔軟性を高め、チームの生産性を高めることが可能です。さっそくワークプロセスマネジメントプラットフォームのTocaroを使ってみましょう。