シャドーITとは?シャドーITのリスクと対策

2021/10/26 テレワーク

企業リスク診断

近年、シャドーITというものが問題になっています。このシャドーITはクラウドサービスの普及にともない、増えてきたと考えられています。シャドーITはセキュリティ面で重大なリスクを抱えている面もあり、企業としてはシャドーITを抑えたいところです。

そこで今回は、シャドーITの具体例や対策方法についてご紹介します。

シャドーITとは?

シャドーITとは
シャドーITとは、企業が許可していない機器やクラウドサービスを社員が勝手に利用することです。管理者側からは見えないITであることから、シャドーITと呼ばれています。

同じく私物端末を使う方法として、BYODがあります。BYODとシャドーITの違いは、BYODは企業側が許可した私物端末のことで、シャドーITは許可されていないという点が異なる部分です。BYODは内容や使用状況について、管理されていてセキュリティ面では比較的安心できる方法です。

シャドーITは、企業側からすると使われている端末が把握できないため、セキュリティ管理ができません。

シャドーITに該当する例

シャドーITの具体的な例をご紹介します。

業務で利用するファイルを自宅のパソコンなどで勝手に開く

退勤後、自宅で仕事をするために自分のパソコンで業務をするという方もいるかもしれません。特に、近年働き方改革の影響で、業務量は変わらないけど残業ができなくなったというケースが増えています。業務量が変わらないため、仕事を家に持ち帰ってまでもやる方がいるというわけです。

こういった「仕事の持ち帰り」を防ぐためには、単に禁止をするだけではなく業務量の見直しや作業効率アップにつながるツール・サービスの利用を検討すると良いでしょう。

利用許可が下りていないビジネスチャットやクラウドサービスを利用する

やりとりのしやすさから、勝手にビジネスチャットやクラウドサービスを利用しているというケースもあります。この場合は、企業側から使いやすいサービスの利用許可を認めると良いでしょう。

ただし、業務に関係のないシステム・サービスについては、禁止するようルールを設けるようにするのがおすすめです。

外部のインターネットに業務用パソコンを接続する

公共のWi-Fiを使うこともシャドーITの1つ。公共のWi-Fiは、誰でも利用できるようになっています。そのため、ネットワークを通じて通信が閲覧できてしまうことも。最悪の場合、パソコン内の情報が盗まれることもあります。

シャドーITのリスク

シャドーITのリスク
企業側にとってセキュリティ管理ができない、認められていない端末を業務へ利用することは、リスクがあるということになります。では、シャドーITによるリスクとはどのようなものが挙げられるのでしょうか。

マルウェアへの感染

シャドーITはセキュリティ対策ソフトが導入されていないケースも多いです。そのため、マルウェアに感染してしまうこともあります。感染したまま、クラウドサービスなどにアクセスしてしまうとデータを盗まれたり、保存したファイルから感染が広がってしまったりなどの被害に遭ってしまいます。

個人情報の漏えいの恐れ

無料のファイル共有サービスを使っていて、操作ミスにより情報漏えいをしてしまうケースが考えられます。

他にも端末を紛失・盗難に遭うこともあります。企業側で管理する場合は、遠隔操作でリセットすることが可能です。しかし、個人所有のパソコン・スマートフォンには、それを行うことができません。セキュリティが十分でなければ、不正アクセスをされたり、情報を外部に流出させてしまったりなどの危険性があります。

不正アクセスに遭う

セキュリティ強度の弱いネットワークを利用することで、第三者に情報を盗まれ不正アクセスの被害に遭ってしまう恐れもあります。例えば、公共の場にあるWi-Fiを利用し、チャットやクラウドサービスを利用すれば、盗み見されることも。ID・パスワードが盗まれれば、不正アクセスされることもあります。

シャドーITによるトラブルの実例

シャドーITによるトラブルは実際に起こっています。ここでは、シャドーITによるトラブルの実例をご紹介します。

フリーメールを経由した情報漏えい

ある自治体では、フリーメールを介して個人情報が漏えいする事件が起こりました。フリーメールの利用は禁止されていたものの、該当の従業員は無許可で利用していたそうです。簡単に推測できるパスワードを利用していたため、不正アクセスに遭い、個人情報の漏えいにつながってしまったケースです。

無料のファイル送信サービスによる情報漏えい

無料のファイル送信サービスが不正アクセスに遭い、利用者の個人情報が流出する事件が起こりました。

このサービスは、無料であることや使い勝手の良さから、ビジネスで利用されているケースも。しかし、そのほとんどは利用が許可されたものというわけではなく、社員が独断で使っていたケースも多かったようです。この事件から、管理者が正確な利用実態を把握できていないことが問題となり、よりシャドーITへの警戒が強まりました。

テレワークによりシャドーITが増えている?

テレワークによりシャドーITが増えている?
感染症予防対策のために、テレワークが多くの企業で導入されました。

しかし、セキュリティ面では不安を抱えることも多く、課題もあります。その中の1つであるのが、シャドーITの増加です。いきなりテレワークを導入した企業もあり、環境が整っていない場合もあります。そのため、社員が私用端末を使用したり、個人でクラウドサービスを利用したりするケースが増加。

テレワークについて、明確なルールを設けていない企業は対策をしたいところです。

シャドーITはどうやって対策すべき?

では、シャドーITはどのように対策すべきなのでしょうか。

BYODとして許可をする

BYODとして私物端末の利用を許可することも大切です。BYODを認める際は、申請を行うなどして、企業側は社員がどんな端末を利用しているのか把握しましょう。ルールやガイドラインを設けて私物端末を許可することで、シャドーITによるセキュリティリスクを抑えることが可能です。

クラウドサービスなど業務効率化が図れるツールを導入する

クラウドサービスについては、社員からすると作業効率につながると考えて利用しているケースもあります。無料バージョンから有料に変更することでセキュリティが向上することも。そのため、企業側はサービスの利用を許可することも大切です。

ただし、利用サービスのセキュリティが不安な場合は、代替のサービス利用を提案すると良いでしょう。

セキュリティ教育などを実施していないと、シャドーITが危険であることに気づいていない社員もいます。そのため、シャドーITの危険性やリスクを社員に伝えることも大切です。シャドーITがどのようなもので、どのようなリスクがあるのかを理解できるよう、セキュリティ教育の実施を行いましょう。

端末の導入

社用のノートパソコン・タブレット・スマートフォンなどモバイル端末の導入を検討しましょう。モバイル端末には、MDM(モバイル端末管理)を導入し、社員が使用する端末を企業側が把握して管理すると良いでしょう。

姉妹サイトではテレワーク支援サービスについて詳しくご案内させて頂いております。テレワークについてもっと具体的に知りたい方は併せて確認して頂けますと幸いです。


まとめ

今回は、シャドーITについてその危険性や対策方法についてご紹介しました。

シャドーITは、マルウェアの感染や個人情報の漏えいなどの危険性があります。社員の私用端末を利用する場合、許可制にすること、高度なセキュリティ対策を実施することをおすすめします。

セキュアプラクティス