インターネットの普及により、仕事の生産性は飛躍的にに向上しましたが、最近問題になり始めているのが「シャドーIT」です。「シャドーIT」とは、個人で使用しているクラウドサービスやスマートフォンなどのデジタル機器を、無断で会社に持ち込んで利用する行為で、企業にとって脅威の一つになっています。
テレワークを機に、さらにリスクが指摘されるようになってきました。リモートワークなどで、社員が様々な環境で働くような今の時期では、一人ひとりの使用環境を細かくコントロールできません。そこでセキュリティ上の問題が散見されている状況なのです。
今回は、シャドーITがどのようなもので、どのようなリスクがあるかを解説するとともに、対応策についても徹底解説をします。
「シャドーIT」とは?
シャドーITは、企業が把握せずに社員または部門が業務に利用しているデバイスやクラウドサービスなどのことを指します。
一般的に、企業の情報は管理者により適切に管理されている状態を保つ必要があり、情報システム部門は各業務部署に情報システムや情報機器を提供する形でIT活用を運用しています。
しかし、個人向けのクラウドサービスやスマートフォンなどデジタル機器の普及に伴い、社員が組織で承認されていない個人のPCやスマートフォンを業務に活用したり、会社に許可されていないクラウドサービスを活用したり、ネットワーク回線を利用する状況が広まり、企業や情報システム部門の目の届かないIT活用が増加しています。
コロナ渦で働き方が多様化し、社員が様々な環境で働くような今の時期では個人の使用環境を全て管理することが難しくなっていて、対応を企業は今迫られています。
シャドーITが起きる原因とは?
なぜ会社が未承認のシャドーITを社員は利用するのでしょうか? 社員が、シャドーITを利用する理由をご紹介します。
1. 利便性
1番の理由は、使用すること自体が非常に便利なためです。例えば、オンラインで使用できるクラウドサービスなどは大量のデータを持ち歩いたりUSBに保存する手間が省けるため非常に魅力的です。インターネットに接続できる環境ならすぐに使えるため、セキュリティについてそれほど深く考えず使っている社員もいます。在宅ワークや外出先で利用してしまうことがあるでしょう。
2. 生産性の向上
利便性の高いコミュニケーションツールを利用すれば、より速く、効率的に仕事をこなすことが出来ます。例えば、LINEなどのコミュニケーションツールは情報交換を非常に迅速にでき、動画などのやりとりも可能なのでコミュニケーションがより迅速で、密になります。仕事の生産性を向上させることが多くの企業にとって課題になっていることから、生産性の向上を求めてツールを探す事は自然な流れとも言えるのです。
安全性を追い求めてその結果、生産性が落ちるのでは本末転倒です。やはり安全性は保ちながらも一定の利便性は追求する必要があります。
シャドーITとBYOD(Bring Your Own Device)の違いは何?
BYODと何が違うの?と思う方もいるかもしれません。BYOD(Bring Your Own Device)はシャドーIT同様、社員個人のデバイスを業務で使用することを指す言葉ですが、BYODは企業の承認を経て利用しているのがシャドーITとの違いです。会社は個人端末の利用を認めるにあたり、その安全面を把握し管理しています。
また、シャドーITはクラウドサービスなど各種サービスも含まれますが、BYODはデバイス利用だけを指すのが違いとなります。
シャドーITの利用を制限するのであれば、会社が個人のPCやスマートフォンを社給にするなど、管理していくという方法もあります。
情報漏えいや情報セキュリティに関する懸念がある「シャドーIT」
自分自身が使い慣れたクラウドサービスやデジタル機器を活用することは、社員個人にとっては生産性の向上を重視したことで、そこまで問題のないことであると認識されがちです。
ただ、企業や情報システム部門の管理外で利用されることにより、情報漏えいや情報セキュリティに関する懸念が問題となります。
シャドーITが生み出す具体的な2つのリスク
次に、シャドーITがどのような時にどのようなリスクを持っているかを解説していきます。
1. メッセンジャーアプリ利用時のリスク
身近な例だと、LINEやFacebookメッセンジャー、Skypeなどのメッセンジャーアプリを利用する際のリスクです。
例えば、ニュースなどで見かける「なりすまし」もメッセンジャーアプリを利用するリスクの一つです。第三者が上司や同僚になりすまし、情報が外部に漏れてしまうリスクがあります。
個人のメッセンジャーを利用した場合、メッセージのやり取りは企業側では把握することが出来ないため、トラブルの把握と解決が困難になることもあります。
また、経験したことがある方もいると思いますが、複数のメッセージを並列で行っている際、本来送る人と違う人に重要な書類やメッセージを送ってしまうことによる情報漏えいリスクです。
メッセンジャーアプリの中では、一定の時間が経つとメッセージが削除できないものも存在し、他者からの覗き見や端末の盗難による情報漏洩、アカウント乗っ取りによる情報漏洩などのリスクがあります。
2. オンラインストレージサービス利用時のリスク
オンラインストレージサービス(DropboxやGoogleドライブ)などのを利用する際のリスクです。
一般的にオンラインストレージサービスは個人用と法人用が用意されており、法人用は有料でセキュリティ対策もしっかりと行われています。ただ、外部の企業とのやり取りの際、自社は法人用、外部企業は個人用を利用しているという際、個人用アカウントから情報漏えいが起きるリスクがあります。これは逆のパターンでも一緒です。
オンラインストレージサービスに保存したデータは、オンライン上に大量のデータを保存する上では非常に便利ですが、会社できちんと情報管理された機密情報を、セキュリティの弱い無料のクラウドに保存すると機密情報が流出する危険性があります。この類の無料クラウドサービスは大抵の場合は、セキュリティは脆弱です。
シャドーITを防止する3つの対策
社員個人がクラウドサービスやデジタル機器を業務で利用するシャドーITにはリスクが存在し、企業としては対策を打つ必要性があります。主な3つの対策をご紹介します。
1. 現状のシャドーITの利用状況を把握する
まず、実施しなければいけないのが自社内でシャドーITがどの程度存在するのかを把握する必要があります。サービスへのアクセス状況を監視したり検知したりできるサービスを導入すれば、シャドー IT が行われていないかリアルタイムでチェックできます。
チェックしたら、どのような目的で利用をしているのかを把握することを忘れないでください。社員は、上でも書いたように業務の効率化を図るために利用しているケースも多いため、闇雲に使用禁止をすると業務効率の低下やモチベーション低下にも繋がる可能性があります。
2. 別の方法を提案・提供する
利用実態が把握できたら次に行うのが代案の準備です。シャドー IT を防ぐには、承認されていない端末やサービスを使わなくてもスムーズに業務を進められる状況を作ることが大切です。分かりやすい例で言えば、個人携帯で行っていたことを社内携帯を貸与することで今後は社内携帯で同様の業務を行うなどです。もしくは、BYODとして個人携帯を利用できるようにするなども一つの手となります。
オンラインストレージサービスなどが個人用アカウントが利用されているケースが多いようであれば、セキュリティの高い法人用アカウントへの切り替えなども有効です。また、最近ではSaaS利用時のセキュリティ確保の手法としてCASB(Cloud Access Security Broker:キャスビー)なども注目を浴びていますので、導入を検討してもいいでしょう。
3. 社員へ教育をする
重要なのは社員にシャドーITのリスクを周知させることです。どんなリスクがあり、どんな事態が起こりうるのか?についてきちんと知識を持っていれば、危険性の高い利用方法は減るはずです。そして、ITについての社内で取り決めた運用ルールを社員に周知徹底させることが大切です。シャドー IT に陥ってしまう社員は、業務をスムーズに進めたいと考えている可能性が高いため、悪意がない場合が多いのです。
シャドーITのリスクを会社全体で共有しましょう
ここまでシャドーITとはどのようなもので、どのようなリスクがあるか、また、それにはどのように対策をしていくかを解説してきました。
昨今は働き方が変化しており、時間や場所にとらわれない働き方が社会に浸透しています。このような働き方では社外の端末から社内ネットワークへのアクセスが必然的に増えます。便利な端末やサービスがたくさんあるため、シャドー IT は発生しやすい状況になっています。このような時代では、これまでのセキュリティに対する考え方では対応は難しくなってきています。
ただ、シャドーIT対策を担う部門だけがその脅威を把握し、一方的に社員に押し付けるのではなく、会社全体としてシャドーITの危険性や防御策を把握し、実行することが重要となります。
