増加するシャドーITをなくすための5つの対策

2020年コロナ禍以降、テレワークが働き方のひとつとして常態化している企業が増えてきています。企業側も急なテレワークへの対応に手間取り、社員個人のセキュリティー意識までは何も出来ていないところもあるのではないでしょうか?

激動のコロナ禍の中、便利で使い慣れているからという理由で私有のパソコンやスマートフォンを会社に無断で業務で利用するシャドーITが問題になっています。スマホやタブレットなどのデバイスが普及したことや、テレワークによる社外での業務が増えたことにより、シャドーITへの対応に追われているシステム管理者も多いのではないでしょうか。

シャドーITは、情報漏えいなどセキュリティ上の事故を招きかねないため、企業としても何かしらの対策を用意する必要があるのです。

この記事では、シャドーITについてや、なくすための対策、おすすめのビジネスチャットなどを徹底解説します。

「シャドーIT」とは?

個人で所有しているスマートフォンや、パソコン、ウェブサービスなどを、会社に無断で業務に使用することをシャドーITと呼びます。

一般的に、企業の情報は管理者により適切に管理されている状態を保つ必要があるため、業務で使用するITツールは会社が認証しているものを利用する必要があります。

しかし、個人向けのクラウドサービスやスマートフォンなどデジタル機器の普及に伴い、社員が個人のデジタル機器やクラウドサービス、ネットワーク回線を利用する状況が広まり、企業や情報システム部門の目の届かないIT活用が増加しています。また、テレワークの勤務形態がシャドーITを拡大させています。

シャドーIT は、データの漏洩やハッキングなどのセキュリティ上のリスクを引き起こす可能性があり、公式に承認されていないアプリケーションやサービスを使用することで、組織のデータやシステムに対して不適切なアクセスが許される大変危険な行為なのです。

ますます増えるシャドーITのリスクとは?

働き方改革が進み、社内で残業ができなくなった社員が仕事に関わるデータをUSBに落とし、自分のパソコンを利用してカフェなどで業務の続きを行なう…。誰にでも想像できるビジネスパーソンの姿かと思いますが、まさにこの行為が危険なのです。

新型コロナウイルスの感染拡大防止に伴い、オフィス外で働くテレワーク、リモートワークの社員がますます増えています。企業側のシャドーIT対策は更に難しくなりつつあるのです。

キヤノンマーケティングジャパンが2021年に国内企業の社員に対して行ったインターネット上でのアンケートでは、「個人所有の端末を所属企業の許可を得ず利用したことがある」と回答したユーザーが、4割近くおり、シャドーITは身近な問題になっています。

では、シャドーITの何が問題なのでしょうか?一番問題となるのが、情報セキュリティです。個人利用のスマホやタブレットやサイトなどでももちろん万全なセキュリティ対策が取られているかと思います。しかし、その万全さはビジネスレベルでも通用するものでしょうか?個人レベルのセキュリティでは、企業が取り扱う情報のセキュリティレベルの足元にも及ばないでしょう。企業で取り扱う情報は、個人同士でのやり取りとは比較にならない情報量だったり、機密性が高い情報など、漏洩や紛失が決して許されない情報です。セキュリティに不安がある状態でシャドーITを黙認するのは、企業の存続に関わるほどの危険を見逃すのと同等と言えます。

使い勝手のよいものを使いたいという気持ちの背景には「生産性が上がるから」という理由があります。社員の要望にも耳を貸しながら、セキュリティ面とのバランスも取りながら、シャドーIT対策に取り組む必要があるのです。 

シャドーITの何が問題なのか?身近に潜むシャドーITの事例解説

シャドーITになりやすいものは、スマートフォンなど私物のスマートデバイスや使い慣れていて便利なチャットツール(LINEなど)やクラウドストレージ(iCloudなど)、フリーメール(Gmailなど)など私たちが普段利用しているものです。

例えば、スマホは個人で日常的に使っていて利便性が高く業務効率化に繋がる、LINEを利用して仕事上のやり取りをしたり、会社の機密データを保存してしまう、といったことをしたことはありませんか?会社が管理していない個人的なデバイスやクラウドサービスを使うことはセキュリティ上のリスクが非常に高く、とても危険な行為です。

やりがちなシャドーITの事例をご紹介します。


・個人アカウントのGmail(フリーメール)を使って取引先と業務のやり取りをする
・LINE(チャットツール)の個人アカウントで取引先と業務のやり取りをする
・スターバックスのフリーWi-Fiを利用して業務をする
・Googleドライブ(クラウドストレージ)の個人アカウントで業務内容についてのファイル共有を行う
・私有デバイスのスマートフォンを業務用として使う

業務効率を優先させたり、リモートワークなどで社外で就業することから、どうしても私的なデバイスやサービスとの境が曖昧になり、結果としてシャドーITにつながるというケースが後を絶たないのです。

シャドーITをなくすための5つの対策

上記でご説明したように、情報漏洩を狙ったものではなく会社のために良かれと思ってやっていることを禁止するのは難しいことです。また使用しているものが個人のものとなると、企業が把握するのは難しく、頭ごなしに禁止しても反発を買うだけになってしまいます。

以下のような順を追って、対策をしましょう。

1.どれほどの社員が行っているのかを調査する

社内でシャドーITがどれほど蔓延しているか基本的な情報を集める。懲罰をするためではなく、実態を調査するためのものだと言うことを理解してもらい本音を聞き出しましょう。

2.ヒアリング調査をする

シャドーITを行っていた社員から「何故シャドーITの必要性があったのか」など、細かくヒアリングする。また、どのような場所で何を使ったのかなど詳しく聞くことが利用する原因究明に近づきます。

3.代替案を用意する

シャドーITを禁止しても、現在の生産性を維持できる環境の提案をしましょう。社員が使い慣れたツールをあえて公的導入してしまう事でシャドーITを抑止するのも一つのやり方です。例えば、個人で利用しているLINEなどで連絡をとったり、社内でのやり取りを行ったりしてしまうケースが増えているため、ビジネスチャットツールを導入してみましょう。

4.セキュリティに対する意識を高める

社員のセキュリティに対する意識を高めるための教育を積極的に行うことが重要です。研修を行い、シャドーITの事例などを細かに解説して、社員の情報セキュリティ意識の向上を図りましょう。

ほとんどの社員は、シャドーITの危険性を認識せずに使っているケースもあるため、定期的にセキュリティ教育の機会を設け、現場レベルでのセキュリティ意識を高めましょう。

⒌シャドーITを検知・制御できるをソリューションツール導入する

クラウドサービスの利用状況を可視化しシャドーITを検知・制御できる、「CASB(キャスビー:ラウドサービスの利用状況を可視化するほか、クラウドサービスの制御・権限調整・セキュリティ対策に活用されるソリューション)」の導入も、シャドーIT対策として有効です。利用状況を可視化しながら同時にセキュリティ対策もしっかりと行いましょう。

使い慣れた個人チャットの代わりにおすすめなビジネスチャット3サービス

上記でご説明いたように、社員が使い慣れたツールをあえて公的導入してしまう事でシャドーITを抑止するのも一つのやり方になります。ここでは、LINEのようなチャット形式でビジネスコミュニケーションがとれるおすすめのビジネスチャット3サービスをご紹介します。

⒈導入してすぐに使える使い慣れたLINEのビジネス版「LINE WORKS」

出典:https://line.worksmobile.com/jp/

ワークスモバイルジャパン株式会社が提供している「LINE WORK」は、チャットやスタンプはもちろん、掲示板、カレンダー、アドレス帳、アンケートなど、現場で活用できる充実したグループウェア機能を揃えたLINEのビジネス版ビジネスチャットツールです。LINEでお馴染みの使用感を踏襲しているので、どの年代の方もすぐに使いこなせる点が人気のポイントです。LINEと同じく「既読」表示機能があります。既読機能は、既読のお伺いをする必要がなく、スピーディーにやり取りができ便利です。

トークやメール、アドレス帳、ホーム(掲示板)での社内通知、メンバーの予定が把握できるカレンダー、ファイルを閲覧できるDriveなど業務の効率化に必要な機能が満載。セキュリティにおいてはユーザーの利用履歴をモニタリングできるためリスクを事前に察知し、トラブルが発生したあとの追跡も迅速に行えます。

LINEであればつかえるという学生インターンや20代の社員が多いカジュアルな企業におすすめです。

セキュリティレベルは、日本の法令はもちろん国際規格を遵守し、国際認証を取得した高いレベルの情報管理システムでサービスを管理しています。LINE WORKSのデータは、全てセキュリティ専門のエンジニアチームによる24時間365日の体制でモニタリングしているので安心です。

LINE WORKSサービスサイト : https://line.worksmobile.com/jp/

最大1万人が参加できるライブイベントも開催可能「Microsoft Teams」

出典:https://www.microsoft.com/ja-jp/microsoft-365/microsoft-teams/group-chat-software

Microsoft Corporationが提供する「Microsoft Teams」は、Teams はチャットだけのツールではなく、Office 365 のサービス各種と連携する機能を持っており、業務に必要なあらゆるリソースと繋がったチャットツールです。

最大の特徴は、Office製品との連携に重点をおいている点になります。業務で利用している人も多いWord、Excel、PowerPoint、SharePointなどOffice系との連携が可能で、チーム内のメンバーで共同編集を行うこともできます。共有のワークスペースにファイルなどをまとめられるので、場所に制限されず仕事をしたり、チームとチャットが行えます。Officeをすでに利用している場合や、会議中以外にもチャットやファイル共有を行いビジネス上のコミュニケーションを活性化します。

数人~数十人単位のWeb会議だけでなく、最大1万人が参加できるライブイベントも開催可能です。ストリーミングや倍速再生機能があるため、配信を好きなタイミングで見ることができたり、社外の人に参加してもらうこともできます。社長の講話や全体研修、決算発表会といった大人数が参加するイベントに活用できる機能となっていて、コロナ禍で研修や式典などが難しい中で利用する企業が増えています。

チャットの自動翻訳機能が付いているため、様々な国の人とグローバルに仕事をする職種の方にもおすすめです。

Microsoft Teamsサービスサイト : https://www.microsoft.com/ja-jp/microsoft-365/microsoft-teams/group-chat-software

⒊独自の横断検索技術が人気のオールインワン・コラボレーションツール「Tocaro」

出典:https://tocaro.im/

伊藤忠テクノソリューションズ株式会社が提供する「Tocaro(トカロ)」は、組織で働くビジネスマンがより効率的に働くことをサポートすることを目的として自社開発したビジネスチャットツールです。仕事に必要なあらゆる情報を、簡単かつ安全に共有するための様々な機能が満載で、業務の依頼や仕様変更など重要な連絡を見える化して、業務の抜け漏れや遅れを防ぎます。

独自の大量のデータの中から必要なデータを簡単に見つけ出す優れた検索機能が特徴で、検索したいワードを入力すると、メッセージや共有されたファイル全てを検索し、必要な情報を探し出せます。社内で様々なツールを同時に使用していると、必要なデータを見つけるためにツールごとに検索を行わなければいけなくなりますが、一度の操作で横断的に検索できるのは、メッセージ機能とファイル共有機能を一つのサービスで提供しているからです。

金融レベルの高セキュリティが人気の秘訣で、IPアドレス制限・モバイル端末制限・機能制限・ユーザー権限など、多くのセキュリティ機能を組み合わせることで、あらゆるセキュリティ問題・社内ルールの壁を乗り越えて、利便性を損なわずに安全なコミュニケーション環境を構築します。

また、世界中で数十万社が利用するセキュアなファイルストレージサービスBox®︎と強度な連携ができる唯一のツールです。

その他にも、『プロジェクト管理』『リアルタイムチャット』『ワークボード』の3つの特徴的な機能を始め、『ワークフロー』『ファイル共有』『既読管理』『ビデオ通話』『検索』『​​API・連携機能』『アクセス管理』『専用アプリケーション』などを装備しています。

Tocaroサービスサイト:https://tocaro.im/

withコロナに対応したセキュリティ対策をしましょう

コロナ禍でリモートワークが常態化しつつあるため、個人利用のデバイスやクラウドサービスを業務で利用するシャドーITは増えているのが現状です。シャドーITは、情報漏えいや不正アクセスを引き起こす、大変恐ろしい存在であるため、いつか対策をしようと気軽に考えていると取り返しのつかないことになります。

プライベートのデバイス等を、利用することの危険性を社員に理解してもらうことはもちろん、シャドーITの存在を確認し利用できないようにする対策を企業がとることも重要になります。

そして社員がなぜシャドーITを使うのかを理解し、それに代わる安全な方法を提供するといったことも検討する必要があります。おすすめしたビジネスチャットをぜひ一度お試ししてみてください。

ワークプロセスマネジメントプラットフォーム
Tocaro(トカロ)

仕事のあらゆる行動を定量化し、成果につながるプロセスを見える化します。結果、意思決定の柔軟性を高め、チームの生産性を高めることが可能です。さっそくワークプロセスマネジメントプラットフォームのTocaroを使ってみましょう。