シャドーITとは?起こりうるセキュリティリスクや防止策を解説
2022.12.20投稿、2023.09.19更新
多くの企業で業務のデジタル化が進むなか、企業が認識していないシステム、ソフトウェア、デバイスが利用されるケース、いわゆるシャドーITが増加しています。特に近年、テレワークの導入が急増したことから、その傾向は顕著です。企業が認識していないことで、万が一の際にはさまざまなセキュリティリスクを抱える可能性が高く、早急な対策が欠かせません。
そこで今回は、シャドーITがもたらすリスクや発生する場面、シャドーITを放置した事故事例、そしてシャドーITの防止対策などを紹介します。
シャドーITとは?
シャドーITとは、業務に用いるIT機器やデバイス、ソフトウェアを、従業員や各業務部門がシステム管理部門に報告をせず、独自の判断で導入や利用をしている状態を指します。
シャドーITの具体例
組織の所有・管理外にあるデバイスやソフトウェアとは、例えば以下のようなものを指します。
- 個人使用のスマートフォン
- 個人で使用しているチャットツール
- Gmailなどのフリーメール
プライベートで使用しているデバイスやソフトウェアを業務で使用するケースが多く見られます。また、企業が契約しているクラウドストレージなどのサービスやデバイスであっても、システム管理部門が許可していない場合はシャドーITに該当します。
シャドーITとBYODの違い
シャドーITについて語る際によく比較されるのが、BYOD(Bring Your Own Device)です。異なるのは、BYODは企業が認識している個人所有の機器であるのに対し、シャドーITで使われる機器は企業が認知していないという点です。
企業側が認識していれば、さまざまなセキュリティリスク対策も考えられます。しかし、認識していないシステムやデバイスが使われるシャドーITでは、セキュリティ対策を講じることができません。この点もBYODとの違いといえるでしょう。
BYODについて詳しくは、以下の記事もご参照ください。
関連記事
BYODとは?活用のメリット・デメリット、導入や運用するポイントを解説
シャドーITが発生する場面
シャドーITが発生する場面としては、次のような例が挙げられます。
- 外出先で取引先から受け取ったファイルを、いったん個人契約しているクラウドストレージに保存する
- 外出先で公衆無線LAN(フリーWi-Fi)を使ってWebサイトの閲覧、メールの送受信などを行う
- テレワーク中に従業員が個人のPCからオフィスのネットワークにアクセスする
- 企業支給のPCから私用のUSBメモリを使って業務データを転送する
- 個人名義のSNSアカウントを通じて取引先と業務のやりとりをする
- 企業支給のPCやスマートフォンに企業が認めていないシステムやツール、アプリケーションをインストールして使用する
特に、クラウドストレージサービスの利用は近年増加しており、大容量のファイルやフォルダをネットワーク上に保存できることから、多くの人が利用しています。個人用のクラウドサービスはセキュリティ性が低いため、個人用のアカウントに社内データを移動させるとセキュリティリスクが増加します。
ほかにも、スマートフォンやUSBメモリなどを社内用PCに接続するケースもよくあります。仮にこれらのデバイスがウイルスに感染していたり、ランサムウェアが仕掛けられていたりすれば、社内の重要なデータが書き換えられる、データが暗号化され複合するために身代金が請求されるといった恐れがあります。
シャドーITの実態調査結果
上記の発生場面を見て、自社には関係ないと考える担当者も多いかもしれません。しかし、2020年7月にトレンドマイクロ社が世界27カ国のテレワークで働く人を対象に行った調査では、次のような結果が出ています。
- 56%が業務用デバイスで使用許可のないアプリを使用
- 66%が企業データを認可のないアプリ上にアップロード
- 39%が「頻繁に」または「常に」個人用デバイスから企業データにアクセス
引用:テレワークの意識調査:安全のためにセキュリティ教育が重要なワケ|トレンドマイクロセキュリティブログ
この実態を見る限り、自社は問題ないと考えるのではなく、当事者としてしっかりとした対策を講じておく必要があることがわかります。
シャドーITがもたらすセキュリティリスク
企業がシャドーITを放置すれば、さまざまなリスクに見舞われる可能性が高まります。主に、以下のリスクが挙げられます。
情報漏洩
外出先で個人所有のPCを使って作業する際に、周囲にいる人に作業をのぞき見される可能性があります。取引先とのやりとりをした履歴が残るスマートフォンを紛失する、または盗難の被害にあい情報が漏洩するリスクも考えられます。
また、セキュリティ対策に不安が残る無料のファイル転送やストレージサービスを使用していて、アカウントを第三者に乗っ取られ情報が漏洩する可能性も少なくありません。
ウイルス感染
企業支給のPC、スマートフォンに、ウイルス感染したソフトウェアやアプリケーションをインストールしてしまうケースです。ウイルス感染している個人所有のデバイスからオフィスのネットワークに接続することで、企業保有のIT機器にウイルスが拡大するリスクがあります。
データ消失
バックアップのないデータを、企業側が認識していない個人所有のデバイスに保存し、そのデバイスが故障、紛失してしまえば、業務で扱うデータもそのまま消失します。
メールの誤送信
個人所有のデバイスで使用しているフリーメールサービスに企業のメールアドレスを登録している場合、間違えて個人のメールアドレスで業務用のメールを送信するリスクがあります。企業によってはフリーメールアドレスを迷惑メール扱いにする場合もあり、重要な業務メールが届かない可能性もあるでしょう。
また、個人のメールと間違えて取引先からのメールを削除してしまう、業務用のメールを社外の友人に誤送信してしまうなどのリスクも考えられます。
シャドーITを放置したことによるセキュリティ事故事例
シャドーITの事例として挙げられるのは、以下のようなケースです。
地方自治体の事例
2018年に地方自治体で起こった事例です。業務でフリーメールが使用され、不正アクセスにより「2,446件」の個人情報が流出した可能性が発生しました。自治体ではフリーメールの使用が禁止されていたものの、それが破られた結果の出来事です。
職員が就業規則を守らなかったことが原因であり、従業員のセキュリティ意識の低さが情報漏洩につながりました。
大学病院での事例
2021年に大学病院で患者約270人分の個人情報が漏洩した事件です。医師が個人で使っていたクラウドサービスの「ID・パスワード」が外部の人間によって抜き取られたことが事件の原因です。
乗っ取り後にアカウントのパスワードが変更されたことで、クラウドサーバーの利用が停止できなくなったと説明がありました。
シャドーITを防止するための対策
シャドーITを防止するための対策としてもっとも重要なのは、自社の従業員がなんらかの形式でシャドーITを行っている可能性があると認識することです。そのうえで、なぜシャドーITを行っているのかを明確にし、シャドーITをしなくても快適に業務を遂行できる環境を構築しなければなりません。以下のポイントに注意して、適切な対策を立てるとよいでしょう。
既存の業務プロセスを洗い出す
従業員がシャドーITをする要因のひとつに、企業が承認しているツールやソフトウェアでは効率的に業務が行えない点が挙げられます。問題の解決に向けて、既存の業務プロセスを洗い出し、業務が滞っている箇所を明確化します。業務を滞らせている箇所をなくすためのツール、ソフトウェアの導入もしくは業務プロセスの改善を行い、シャドーITを行う必要性をなくしましょう。
セキュリティ対策を講じたうえでBYODを認める
個人所有のデバイスを一切禁止し、企業が従業員一人ひとりにデバイスを提供する方法もありますが、そのためには多くのコストを要します。コストを抑えてシャドーIT対策をするには、セキュリティ対策を講じたうえでBYODを認めるのもおすすめです。
具体的には、万全なセキュリティ対策が施された法人向けクラウドサービス、個人所有のデバイスを一括管理できるMDM(モバイル端末管理)製品の導入などが考えられます。
BYODやMDMについては、以下の記事もあわせてご参照ください。
関連記事
BYODに欠かせないMDMとは?メリット・デメリットもあわせて紹介
CASBでのクラウドサービス管理を行う
CASB(Cloud Access Security Broker)は、アメリカのガートナー社が提唱した、クラウドサービスのセキュリティに対する「可視化」「コンプライアンス」「データセキュリティ」「脅威制御」を重視する考え方です。クラウドサービスのセキュリティリスクへの対策として、CASBの概念が導入されています。
具体的には、クラウドサービスの利用状況を可視化し、脅威に適切に対処する方法をとります。この方法が導入されるようになった背景には、テレワークの広がりや事業拡大に伴うクラウドサービスの利用が加速していることがあります。
クラウドサービス特有の環境のリスク対策として、採用が進んでいるのです。
セキュリティガイドラインの策定、セキュリティ教育の徹底
シャドーIT対策には、個人所有のデバイス利用、ツールやソフトウェア、アプリケーションのインストールに関するセキュリティガイドラインの策定も欠かせません。なぜ、企業が認可していないアプリケーションをインストールしてはいけないのか、個人所有のデバイス利用はリスクが高いのかを明確に言語化します。
そのうえで、従業員に対しては定期的にセキュリティ教育を実施します。従業員の認知の徹底を行えば、個人のセキュリティ意識も高まり、シャドーITの防止につながるでしょう。
シャドーITの防止対策はセキュリティ教育の徹底とツールの活用がポイント
企業が認知していない個人所有のデバイス利用やツール、ソフトウェア、アプリケーションをダウンロードして業務を行うことを指すシャドーITが、問題視されています。テレワークの導入が進み、外出先や自宅で業務を行う機会が増加したことで、シャドーITが行われる可能性もこれまで以上に高まっています。
シャドーIT対策では、管理者側が業務の現状を正しく把握する必要があります。また、従業員側がシャドーITのリスクを正しく理解していなければなりません。シャドーITをしなくてもすむ環境を管理者側が構築し、従業員側がリスクを正しく認識したうえでデバイスやツールを扱うことが、シャドーIT防止につながります。
シャドーITの防止対策としてもおすすめなのが、セキュアな環境でリモートアクセスできるツールの導入です。ニーズに合わせたさまざまなツールを展開している「CACHATTO」なら、データを端末に残さない・外部に持ち出さないセキュリティを実現します。導入実績や各種アワードも受賞しており、顧客満足度の高い製品として評価されています。詳しくは、以下をご参照ください。
CACHATTOに関する資料請求やお問い合わせはこちら。
お気軽にお問い合わせください!
リモートアクセスや製品に関する
お役立ち資料をご用意しています。
お役立ち資料ダウンロード
リモートアクセスや製品に関する
様々なご質問にお答えします。
メールでお問い合わせ