新型コロナウイルス感染拡大防止に伴うテレワークや在宅勤務の浸透によって、ビジネスチャットツールやファイル共有サービスなどのITツールが業務で欠かせないものとなりつつあります。
リモートワークや在宅勤務が広がり、業務で使う端末の扱い方や使用するサービスが多様化する中で、「シャドーIT」と呼ばれる問題が注目されています。
企業にとって、セキュリティリスクの脅威となる「シャドーIT」とはどのようなものなのでしょうか?
今回の記事では、シャドーITのリスクを伴う4つの場面やどのように対策に取り組めばよいのか、シャドーITの実態とリスクについて、セキュリティレベルが高いおすすめのビジネスチャット3選を徹底解説します。
シャドーITとは?
個人で利用するパソコンやスマートフォンなどでビジネスチャットなどのクラウドサービスを、会社の許可なく業務で使用することを「シャドーIT」と言います。
例えば、終わらなかった仕事を自宅に持ち帰ったり、業務効率化やテレワークに便利なサービスやツールを自己判断で使ったりするといったりして発生します。また、コロナ禍によるテレワーク勤務で、セキュリティに関するルールがきちんと整備されないまま、テレワークを導入したことでシャドーITの認識がなく許可されていないサービスを利用するケースもあれば、許可されていないと知っていながら利用するといった場合もあります。
大きなトラブルになる前に、社内に「シャドーIT禁止」を周知することが重要なのです。
近年増加傾向のシャドーITのリスクを伴うビジネスシーンとは?
シャドーITが増えている背景には、次々と便利で使い勝手の良いITツールが登場していることが要因と言えます。では、どのようなITサービスにリスクがあるのでしょか?代表的なものを4つご紹介します。
⒈プライベートのチャットサービスやSNS
プライベート用のスマートフォンでのチャットや個人用SNSを利用した社員同士や取引先とのコミュニケーションは、簡単にシャドーITを引き起こす最も多い原因の一つです。
今や当たり前となったビジネスシーンでのチャットツールや、SNSによるコミュニケーションですが、企業で利用を許可していないにも関わらず、気軽さゆえに業務で利用されることがあります。
SNSは送信した情報が誰でも閲覧できる状態で公開されることも多くいため、適切な設定がされていない場合、誤って送信してしまった企業の機密情報が拡散されて情報漏えいし、企業に不利益をもたらすこともあります。特に20代はSNSへの危機管理が薄いため、社内での教育が必要です。LINEなどのチャットツールはモバイル端末でもスムーズなやりとりができるため便利ですが、端末の紛失や盗難による情報漏えいのリスクも大きいのが実情です。
⒉クラウドメールサービス
Yahoo!メールやGmailなどのwebメールサービスは、シャドーITの発生ケースとして多いのです。これはクラウドサービス全般にいえることですが、IDとパスワードさえあればサービスにログインできることになるため、カフェなどのオープンスペースで不用心に扱うと、情報を盗まれる可能性があります。
無料で簡単に登録できるので使用しやすいですが、ビジネスメールは、社用メールを使うようにしましょう。
⒊無料のファイル共有サービス
GoogleドライブやDropboxなどの無料ファイル共有サービスは、自動同期などでデバイスをまたがりファイルを管理できるため、非常に利便性の高いツールで利用している方が多いかと思います。一方で、セキュリティ対策が脆弱な個人用アカウントでファイルを管理した場合、悪意のあるサイバー攻撃などを受け、簡単に情報漏洩してしまう危険性があるのです。
業務用のデータをこれらのサービス上にアップロードして、社外でダウンロードすることは情報の持ち出しに当たる可能性があるため注意が必要です。
⒋フリーWi-Fiへの接続
パスワード入力なしで接続できる「フリーWi-Fi」も、情報漏洩に繋がるリスクがあるシャドーITの代表例です。外出先や出張先で業務をするとき、カフェやホテル、駅や空港などの交通機関や公共施設が提供しているフリーWi-Fiはとても便利ですが、フリーWi-Fiは誰でも使えるが故にセキュリティ面での不安もあり、注意が必要なのです。
例えば、悪意のある人によって通信内容を傍受され、情報を抜き取られてしまったり、端末を遠隔操作され、盗聴・盗撮といった不正な使い方をされてしまったりといった被害も実際に発生しているのです。また、情報を盗む目的で設定されたWi-Fiも存在するため気をつけましょう。
代表的なものを挙げると、チャットアプリやオンラインストレージなどのクラウドサービスです。
そして、スマートフォンの普及以降ユーザーが様々なソフトウェアに触れる機会が急速に増加していることも、シャドーITが行われている要因のひとつだと言われています。
使い慣れているツールを使用して作業すれば作業効率が上がりますが、コストやセキュリティに問題があるため、これらの使用を大半の企業は認めていません。そうなると会社に隠れて利用する従業員が発生することになるのです。
情報漏えいの最大の原因は個人にあるのです
なぜシャドーITが問題なるかというと、従業員個人による情報漏えいリスクがあるからに他なりません。
「セキュリティ管理はIT担当の仕事」という認識の方も多いかも知れませんが、NPO日本ネットワークセキュリティ協会による「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの最大の原因の第一位は「紛失・置き忘れ」で26.2%、次いで「誤操作」24.6%なのです。そして第3位が全体の20.3%の「不正アクセス」なのです。
つまり、社員一人ひとりの意識と行動が情報漏えいの原因を引き起こしている事例が大きいのです。
セキュリティレベルが高いおすすめのビジネスチャット3選
シャドーITの危険をご説明しましたがいかがでしたか?情報漏洩を防ぐためにも、セキュリティレベルが高いビジネスチャットを利用しましょう。おすすめのビジネスチャットを3つご紹介します。
⒈大企業や官公庁も導入できるセキュリティ水準「Chatwork」
「Chatwork」は、Chatwork株式会社が提供するるビジネスチャットツールです。業界を代表するサービスの1つとして多くの支持を獲得していて、導入企業は36万社以上を突破しています。直感的に使えるデザインのため、チャットに慣れない方・初めて使う方もスムーズに操作が可能です。また、「担当者」「期限」を設定してタスクを登録できるため、対応漏れを防ぐことができます。
セキュリティ面では、KDDIと提携のもとでセキュリティ強化や管理機能の共同開発に取り組んでおり、24時間体制でのサーバー監視や通信の暗号化、バックアップに対応しています。未許可のデバイスからアクセス防止やIPアドレスによるアクセス制限、ファイル送受信制限など管理機能も充実しているので人気です。情報セキュリティマネジメントシステムの認証を取得済みなのも安心できるポイントでしょう。
Chatworkサービスサイト : https://go.chatwork.com/ja/
⒉指定したスマートフォンからのみ利用可能「Talknote」
「Talknote」は、Talknote株式会社が提供するカルチャーマネジメントビジネスチャットツールです。関連するメンバーのみが参加するグループでコミュニケーションを行ったり、タスクを依頼し期限を設け、「誰に」「どんな」業務を依頼したのか一覧で管理が可能です。大きな特徴としてあげられるのは、ビジネスチャットツールとしてだけでなく、メッセージ機能やタスク管理機能といったビジネスチャットツールらしい機能にくわえて、ノウハウや議事録のグループ内でのシェアや、アクセス時間や投稿量にもとづいた従業員のアクションリズム解析、働きすぎを防ぐオーバーワーク検知機能なども搭載しています。
セキュリティ面では、指定したスマートフォンからのみ利用できる設定に対応しているのも心強いポイントでしょう。アクセスを許可したIPアドレスや端末以外からの利用を制限することができ、メンバーの権限管理も設定できます。
Talknoteサービスサイト : https://talknote.com/
⒊金融機関レベルのセキュリティ「Tocaro」
「Tocaro」は、伊藤忠テクノソリューションズが提供するビジネスチャットツールです。組織で働くビジネスマンがより効率的に働くことをサポートすることを目的として開発されたで、『グループチャット』『ファイル共有』『タスク管理機能』『ビデオ通話』『通話』『Box連携』『柔軟なセキュリティ機能』を装備しています。
セキュリティ面では、金融業界レベルの高セキュリティが特徴です。オプション提供のセキュリティ機能もすべて標準搭載しています。無料会員を含めたすべてのユーザーに向けて、情報共有における安全性を高めるための通信暗号化や第三者のセキュリティパートナー企業による定期的な安全性能監査を実施しています。第三者による「なりすまし」や「乗っ取り」が横行しているチャットツールのなかで、この堅牢なセキュリティはユーザーにとって重要な要素と言えるでしょう。
企業文化・ポリシーに合った最適な環境でご提供可能安心安全で使いやすさを重視する金融・通信・鉄道・航空・教育など、幅広い業界で利用されています。
Tocaroサービスサイト:https://tocaro.im/
シャドーITをなくすための対策は?
最近では、従業員個人がデバイスやサービスを会社に申請し、許可が許可されたものは業務に使用できる「BYOD」という制度を設けてリスクの低減を行おうとする企業も出てきていますが、BYODに関して独立行政法人情報処理推進機構が1,056社を対象に実施した「2015年度 中小企業における情報セキュリティ対策に関する実態調査」よると、この制度を実際に導入している企業は、全体の38.9%に留まっているのです。
これからシャドーIT対策を行おうと考えている方に、シャドーIT対策の手順を徹底解説します。このやり方だと、社員からの反発を買うこともなくシャドーITを排除できる可能性があります。
1.使用状況を調査する
まず社内でシャドーITがどれほど蔓延しているか、基本的な情報を集める。
2.ヒアリング調査する
シャドーITを行っている従業員に「なぜシャドーITの必要だったのか」など、細かくヒアリングする。
3.代替案を用意する
シャドーITが撤廃しても現在の生産性を維持できる環境の提案をする。
4.セキュリティへの意識を高める
社員のセキュリティに対する意識を高めるため、研修などの教育を積極的に行う機会を設ける。
いたちごっこになる前に社内でシャドーIT対策をしましょう
新型コロナウィルス感染拡大を引き金に働き方は劇的に多様化しました。在宅勤務やリモートワークが普通になる中、企業のシャドーIT対策はより一層難しくなっていきます。
使い勝手のよいものを使えば「生産性を上げることができる」という気持ちはビジネスパーソンとして理解できるものです。シャドーIT、そしてシャドーITから問題を起こさないためには従業員の要望にもしっかり耳を傾けることとセキュリティ面とのバランスも取りながら、対策に取り組む必要があるのです。