シャドーITは企業にとって大きなリスクになりえます。近年の働き方改革やスマートフォンなどの普及により、シャドーITを問題視している企業も多いのではないでしょうか。

本記事では、そんなシャドーITに関して、発生してしまう理由やリスク、対策について徹底解説していきます。

シャドーITとは

シャドーITとは、「企業が認めていないデジタル端末やサービスを社員が勝手に使用してしまう」ことです。スマートフォンやタブレット端末などのハードウェアだけでなく、クラウドサービスなどのソフトウェアの利用もこのシャドーITに該当します。

基本的には、業務に使用するデジタル端末やサービスは企業が把握していなければいけません。なぜなら、個人の持つ端末などのセキュリティは脆弱な場合が多く、重大な問題を引き起こしかねないからです。

近年の働き方改革によるリモートワークの増加やスマートフォンの普及などにより、このシャドーITが増えてきており、問題視する企業が増えているのです。

シャドーITが発生する理由

シャドーITが発生する最も大きな理由は、便利なサービスやツールがたくさんあるからです。特にデジタル変革が叫ばれている近年は、日々新しく、便利なサービスやツールが開発されています。

そこでそれらを業務にも活用しようと考える社員も多くおり、シャドーITが発生してしまうのです。更に、これらのサービスやツールを活用すると便利なだけでなく、業務の効率化にも繋がるため、ますます活用する社員は多く居ます。

今後もさらに便利なサービスやツールが発明されていくと考えると、ますますシャドーITが蔓延すると予想できます。

シャドーITは時代とともに形を変え、企業のIT運用にも新たな課題をもたらしています。
シャドーIT管理の進化も参考になります。

シャドーITとしてよく利用されてしまうもの

ここでは、シャドーITに利用されるものを把握していきましょう。具体的にどのようなものが利用されるのか、把握することで今後のシャドーIT対策に繋がるので、理解を深めることが大切です。

チャットツールやフリーメール

次に挙げられるのがチャットツールやフリーメールです。特に、LINEなどのチャットツールは殆どの人が利用していますし、普段から活用しているため非常に利用しやすいです。その為「簡単な確認の連絡」など、気軽に利用されやすいのです。

これらの対策としては、企業側で業務用のチャットツールを導入することを検討する必要があります。やはり企業側が、個人のSNSを管理することは難しいので、このような対策が必要になります。

フリーミアムで利用可能なクラウドサービス

フリーミアムとは、「free(無料)」と「premium(有料)」の意味を掛け合わせた造語です。具体的には、サービス自体は無料で提供し、さらに高度なサービスを受けるためには有料になるシステムです。

例えば、ZoomやSlackなどがこれに該当します。

これらも非常に利便性が高いサービスであることから、シャドーITとして使われるケースがあります。

クラウドストレージ

大容量のファイルが保存可能なクラウドストレージもよく利用されます。特にDropboxやGoogleドライブなどは、個人向けに無料で利用できるものもあり、多くの人が活用しています。

例えば、リモートワークで業務を行う際には、日ごろ使っているGoogleドライブなどが手軽に使える為、利用されるケースがあります。私用のスマホなどと合わせて活用されるケースも考えられるので、特に注意が必要と言えます。

私物のPCやスマホ

企業側から業務用のデバイスやパソコンを支給していない場合は、私物のPCやスマホは頻繁にシャドーITとなりえます。特にリモートワークが普及している現在は、業務に私用のデジタルデバイスを使用する人は多く居ると考えられます。

有効な対策としては、企業から業務用のスマホなどのデジタルデバイスを支給することがあげられます。やはり個人のデバイスを企業側が管理することは難しいので、この対策が一番有効と言えます。

シャドーITのセキュリティリスク

ここでは、シャドーITによって想定されるセキュリティリスクについても紹介していきます。シャドーITがどのような問題を起こす原因になりえるのか、しっかり理解しておきましょう。

①情報漏洩

シャドーITで最も考えられるリスクが情報漏洩です。

例えば、LINEなどのチャットツールでは、サービス提供会社のサーバーに履歴やトーク内容が保存されています。万が一サービス提供会社がハッキング被害を受けたり、サーバー攻撃を受けた場合には、機密情報が漏洩し重大な問題を引き起こしかねません。

また、LINE等のチャットツールはプライベートで使用されることが多いので、誤って部外者に社外秘の情報を送ってしまうケースも考えられます。

このように、プライベートでも使用されるサービスやツールには情報漏洩リスクがはらんでいるので、注意が必要です。

②不正アクセス

従業員が許可なく使用するサービスやデバイスが第三者に乗っ取られ、不正アクセスされるケースも考えられます。不正アクセスを受けると、企業の機密情報を盗まれたり、登録している取引先にも連絡がいき、迷惑がかかることも想定されます。

そうなると取引先企業からの信用が落ちてしまいます。また、個人のデバイスやサービスは不正アクセスを受けても、対応することが非常に難しいです。対応が遅れ大きな問題に発展することも考えられます。

③LANへの侵入

個人のスマートフォンなどの端末を企業内の無線LANに接続した場合、そのネットワーク全体がウイルスに感染する事も想定されます。

例えば、私物のスマートフォンがウイルスに感染していることに気付かず社内LANに接続した場合、社内のネットワーク全体が感染し、企業の多くの機器に被害が広まることも考えられます。また、パソコンなどの機器だけでなく、企業の重要な情報などが盗まれることも起こりえます。

シャドーITの対策と同時に、日々の運用の中で発生する構成ミスや管理のズレにも注意が必要です。
よくある構成ドリフトの5つの課題と対策についてもご確認ください。

シャドーITに関連した事例

ここでは、シャドーITによって実際に過去に起こった事件についても紹介していきます。過去の事例を基に、是非対策に役立ててください。

ファイル転送サービスへの不正アクセス

2019年に起こった、480万件の「宅ファイル便」の個人情報が流出した事件を紹介します。

この事件は、攻撃者が「宅ファイル便」のサーバーに不正アクセスして、個人情報が漏洩した事件です。法人向けの情報は漏洩しなかったのに対して、個人情報は流出してしまったことから、安価な個人向けのサービスは、セキュリティ性が弱いという事が改めて分かった事件でした。

地方自治体での個人情報流出

シャドーITに関する事件は、企業だけでなく、地方自治体でも起きています。2018年に静岡県島田市農林課では、仕事では禁止されているフリーメールを使用して、個人情報を含むファイルの共有を行っていたことにより、2446件の個人情報が漏洩してしまいました。

参照： 静岡県島田市

やはりセキュリティ性の低いフリーメールを活用していたことにより、部外者に不正アクセスを許してしまい、多くの個人情報が漏洩する結果となりました。

シャドーITの対策

続いては、シャドーITの対策について紹介していきます。上述した通り、シャドーITが発生してしまう理由や、実際に起こった事件を踏まえて、是非対策の参考にしてください。

デバイスやツールが使いやすい環境を整える

まず、リモートワークや社内での勤務に関わらず、実際に働く社員がデバイスやツールを活用しやすい環境を整備することが重要です。

例えば、業務の中でファイルを共有することが多くあるのなら、ビジネス向けのプランの大容量のクラウドストレージを用意したり、働き方に適したチャットツールを導入してチームのコミュニケーションを円滑にする環境を整えたりしましょう。

ガイドラインを設け、社員教育を行う

働きやすい環境を整備したうえで、次に私用のデバイスやサービス利用に対して、ガイドラインを設ける必要があります。

例えば、私用のデバイスやサービスを使用する場合は、上司や管理者に認証を得るワークフローを設けることなどが有効です。これにより、シャドーITを意識した管理が行えます。

利用状況を監視する

またガイドラインを作成するだけでなく、利用状況を監視することも重要です。例えば、チームでファイルを共有してプロジェクトを進める場合、アクセス権限を設けたり、ログ管理することで、ファイルが誰にいつ使用されたのかを監視できます。

実際の対策手段としては、SaaS利用の可視化に特化したブラウザ拡張機能の活用が効果的です。Josys ブラウザ拡張機能によるシャドウ IT の管理もご覧ください。

シャドーITの対策をして未然に防ごう

本コラムではシャドーITについて解説してきました。

近年、便利なサービスやツールが多く開発されることから、シャドーITは非常に発生しやすい状況です。本コラムで紹介したように、シャドーITは情報漏洩などにより、企業の信用を下げるなど重大な問題を引き起こしかねません。

ジョーシスではコーポレートITのアナログ業務を自動化し、ITデバイスとSaaSの総合管理サービスを展開しています。シャドーIT・退職者の削除漏れアカウントの検知といった機能も搭載しておりますので、管理業務の効率化やセキュリティ向上でお悩みの方は、お問い合わせください。