情報技術の発展により、さまざまな用途で活用できるITサービスが登場しています。一方で、外部サービスを自社の許可なしに使う「シャドーIT」が問題となっています。シャドーITは、セキュリティトラブルの原因となるため、注意が必要です。しかし、闇雲に外部サービスの使用を禁止するのでは意味がありません。オンラインストレージへのアクセス制限や監視サービスを導入しながら問題を根本から解決しましょう。今回は、シャドーITの意味や生じるリスク、原因、ITシステムの統一による解決策について解説します。
目次
テレワークに潜む「シャドーIT」とは
シャドーITとは
企業内で使用するITツールには、コミュニケーションツール、クラウドサービス、データ類の管理ツールなどがあります。基本的にこれらのツールは社内のセキュリティシステムで守られており、社内で準備された端末を使って作業します。
しかし、現代は個人でもモバイルパソコンやタブレット、スマートフォンなどのIT機器を所有しているため、業務上使用するITツールと同等のサービスを自由に利用できる時代です。ITリテラシーが高く、熱心な従業員ほど、業務効率化を図りたいという思いから、積極的に外部ツールを利用するケースが多いといって良いでしょう。このように、従業員が企業の許可なく外部のIT機器やツールなどを使用することを「シャドーIT」と呼びます。一般的に、シャドーITで使われる個人向けのストレージサービスやSNSは、企業向けのサービスに比べてセキュリティが万全ではありません。そのため、情報漏えいなどの危険をはらんでおり、問題となっています。
BYODとの違い
BYOD(Bring
Your Own Device)という、個人が所有するIT機器を業務上で利用することを意味する言葉があります。シャドーITは、BYODと同じではないか、と思う方もいるでしょう。しかし、シャドーITとBYODには大きな違いがあります。それは、BYODでは業務に私用IT端末を利用するにあたって、企業がしっかりと対策を施し、許可を前提としている点です。
社内システムにアクセスできるアプリケーションやアカウントなどの管理が行われ、私用での利用と明確に区別しているため、シャドーITほど危険性は高くないのです。また、BYODは主に私用IT端末を業務に利用することを指しますが、シャドーITには、端末に限らずインターネット上のサービスを企業に無断で利用することも含まれます。このような点でも、シャドーITはBYODと異なります。
新型コロナウイルスとシャドーIT
国内では、2020年より始まった新型コロナウイルスの感染拡大により、テレワークが急速に普及しました。ただ、今回のパンデミックによりテレワークに踏み切った企業のなかには、十分な準備期間を確保できないまま社内体制を変化せざるを得なかったケースもあるでしょう。
そのため、現在においても、必要なツールの導入やルール作り、従業員教育などが適切に行われないままでいる企業も存在すると思われます。シャドーITはテレワーク環境において必要なツールが不足していたり、従業員がその危険性をよく理解していなかったりする場合に起こりやすいといわれています。
関連記事:
・テレワークの実現に求められる情報セキュリティ対策とは
・テレワークを導入しよう!ルールづくりのチェックポイント
シャドーITの3つのタイプと潜むリスク
私用IT端末を社内で利用
社内で私用のIT端末を利用する場合、端末自体が個人所有の資産であることから、セキュリティ対策を強制したり、利用するアプリケーションの内容を制限したりすることはできません
しかし、スマートデバイスを例にとってみても、カメラやマイク、クラウドサービスの利用など、社内で使用することで、企業にとってリスクとなりうる機能は少なくありません。また、ビジネス用の端末やアプリケーションに比べ、個人向けのIT機器はセキュリティが脆弱であり、利用者の意識によってセキュリティ対策も異なります。そのため、マルウェアへの感染などのリスクがあり、それが原因となって社内システムに影響が出る場合もあります。
社用IT端末をプライベートで利用
社用IT端末を持ち出して社外で使用する場合は、社内の機密情報を持ち出していることを意識しなければなりません。社用IT端末は、社内のシステムにアクセスしたり、重要なデータが閲覧できたりしてしまうため、部外者の不正利用には特に気を付ける必要があります。また、紛失や盗聴、のぞき見などにも細心の注意を払いましょう。
また、社用のスマートデバイスの場合、業務上の利用と私的な利用の区別がつきません。私的な利用で通話料や通信料を使い込まれてしまうケースにも注意が必要です。
私用IT端末をプライベートで利用
個人所有のIT端末をプライベートで使用することは、所有者の自由です。しかし、利用方法と情報の取り扱いについては、企業がしっかりと周知する必要があります。例えば、従業員が、業務で知り得た情報をSNSに投稿すれば、重大な機密情報の漏えいにつながるでしょう。また、端末内や、個人向けのクラウドサービスに、業務に関連した情報を保存してある場合にも、操作方法のミス一つで情報が社外に漏れてしまう原因になります。
関連記事:
・情報セキュリティに関わるリスクとは?
・情報セキュリティと防犯対策に! 入退室管理システムを活用しましょう
・テレワークに最適なインターネット環境の整備方法・選定ポイントとは?
シャドーITの解決に向けてできること
従業員教育の実施
シャドーITのリスクを低減するために最も重要なのは、従業員への教育です。堅固なセキュリティシステムや管理システムを導入しても、従業員が情報を外部に持ち出せる可能性はなくなりません。情報セキュリティについてしっかりとした社内教育を実施し、情報漏えいのリスクについて認識させる必要があります。
特に、若手世代は当たり前のようにスマートフォンやSNSに触れてきたため、情報管理のハードルが低くなっているといわれています。そのため、軽い気持ちで企業情報の漏えい事故を起こさないよう、教育を徹底しましょう。
ウイルス対策の徹底
社内システムへのウイルス感染を防ぐためには、社外で使用するIT端末のセキュリティ対策を万全にする必要があります。予算的に社用IT端末を準備するのが難しい中小企業では、BYODを取り入れ、業務利用を可視化することでウイルス感染や情報漏えいなどに備えている企業もあります。
社内システムには、ログインできる端末の制御や認証が行えること、ウイルスの侵入を防ぐこと、万が一ウイルスが侵入した場合にはいち早く検知し対策をとれること、といった機能を備えたツールの導入が必要です。
MDMの導入
MDM(Mobile Device Management)とは、企業などで利用されるモバイル端末を一元的に監視・管理するためのサービスやソフトウェアのことをいいます。MDMを導入することで、企業の方針に基づいてセキュリティの設定や使用するOSやアプリケーションの統一、機能制限などがまとめて行えます。また、紛失や盗難などに備えて遠隔操作で端末にロックをかけたり、データを消去したりする機能があるサービスもあります。
MDMを導入することによって、情報漏えいや不正利用を防ぐだけでなく、社内で使用する端末の設定を統一できるのです。
まとめ
シャドーITは、従業員が業務効率化を進めたいという思いから生じています。つまり、シャドーITは、企業が従業員に対し、十分なIT環境を整えられていない場合に起こるともいえるでしょう。必要なITツールは、できるだけ社内で準備し、シャドーITをしなくて済む職場環境の構築が必要です。
また、私用IT端末を職場に持ち込む際のルールづくりや、情報管理教育の実施、アクセス制限などのセキュリティ対策も大切です。従業員に不要な疑いをかけることがないよう、まずは企業側の体制を整えましょう。
