企業内で情報システム部門が把握していないIT機器やクラウドサービスを利用して密かに業務を行ってる噂を聞き何か対策はないものか、そんな状況の中堅企業や中小企業の情報システム担当のいらっしゃるのではないでしょうか。こういった状況はシャドーITとも言われるもので、企業に様々なリスクをもたらします。この記事では、シャドーITとはどのようなもので、具体的にどんなリスクがあり、どんなサービスがシャドーITとして多く利用されているか、シャドーITの対策などをご案内いたします。ぜひこの記事を読んで、シャドーITを撲滅して各種リスクを減らしていくため、各種ツールの導入や社内教育、シャドーITを生み出さないような社内IT環境の整備など、ぜひできる事を行ってみてください。
1.そもそもシャドーITとは?
ここではそもそもシャドーITとはどのようなものか、まず最初に知っていただきたいことをご案内いたします。
1-1.まずシャドーITとはどのようなことか
シャドーIT(Shadow IT)とは、企業で情報システム部門が管理・把握していないITサービスやIT機器を従業員が独自の判断で使って業務を行ってしまうことを意味します。シャドーITは直訳すると「影のIT」と言えるかもせん。会社から公式に支給された機器やアプリケーションがリスクを管理して効率的に設計された「光のIT」とするならば、従業員独自の判断で使ってしまい機器やアプリケーションはセキュリティ上のリスクもあるため「影のIT」とも言えます。
なお、具体的にシャドーITとは、従業員が個人のパソコン、スマートフォン、タブレットなどで業務を行ったり、個人で利用しているGoogle ドライブやGmailなどのクラウドサービスを利用して会社の許可なく業務を行うことを指します。最初は従業員の「スマホでもすぐ確認できるようにしたい」「仕事を持ち帰りたい」など、純粋に仕事をしていきたい気持ちでシャドーITが始まることが多いですが、営業秘密や顧客情報が流出するリスクや逆にセキュリティの甘い個人端末からマルウェアが社内に流入するリスクもはらんでいます。また会社の情報を持ち出し禁止する規定に対するコンプライアンス違反ということにもつながります。このようにシャドーITは、現場から見た業務の非効率を効率的にしようとしてニーズが発生することがあるため、単純に禁止するだけで完全解決という風にはいかない課題があります。従業員の改善ニーズをインプットしつつ、より安全で使いやすいIT環境を整えることに持っていくことがシャドーITの延長線とも言えます。
1-2.シャドーITが生まれる要因
シャドーIT対策をが生まれてくる要因ですが主には業務が起因していることが多い状況です。例えは 仕事の利便性やスピードを求める上で、「今すぐこのファイルをチームで共有したい」「急ぎの資料を社外にいる担当者へ確認したい」など良くあるかと思います。社内のメールを使うと容量オーバーで送れなかったり、受信者側も最新のファイルがわかりずらいなど使いづらい課題があり、従業員は「だったら、何かツールを使ってやってしまおう」と考えがちです。社内にシャドーITを禁止する趣旨のルールがあっても、目の前の業務を優先してしまう「善意」からシャドーITが発生することもあります。
また他にも、従業員個人がプライベートで使い慣れたツールがあり、そのツールを仕事に持ち込んでしまうこともあります。従業員は、プライベートで様々なITツールを使っている方も多いはずで、。オンラインストレージ、メール、SNS、チャットアプリなど、直感的で便利に使えるサービスを日々利用しています。他方、会社のITシステムは、セキュリティや管理の都合上、予算や人員も限られる中、どうしても社員にとって使い勝手が悪かったりすることがあります。このギャップが、シャドーITを生む大きな要因でもあります。普段の便利さを知っているがゆえにごく自然な欲求で行ってしまうこともシャドーITの要因です。
1-3.シャドーITが広まる背景
シャドーITが広まる背景には、一番大きいのは通信速度の高速化とスマートフォンの普及により便利なクラウドサービスが多く誕生してきたことと言えます。Google DriveやDropboxのようなオンラインストレージ、Gmailなどのクラウドメール、ZoomやGoogle MeetなどのWeb会議ツールなど、個人でもサインナップをするだけで手軽に使える高機能なクラウドサービスが次々と登場しています。これらは会社のPCでも問題なく動いてしまいます。そもそも便利なツールが簡単に使えるようになってきたことが、一番大きなシャドーITが広まる背景と言えます。
他にも、コロナ禍を経て働き方改革が進展し特にテレワークが普及してきたことも、シャドーITが広がってきた背景の1つと言えます。在宅と出勤が混在したり、物理的に離れた環境で他のスタッフと情報を共有して業務を効率的に進めるには、クラウドストレージなどを利用するとリアルタイムに確認できるため効果的です。そのうえでテレワークでは管理者の目が行き届きにくい環境になることで、個人的な判断でツールを導入するケースも増えてきており、このようなこともシャドーITが広まる背景の1つとなっています。
2.シャドーITのリスク
ここではシャドーITのリスクについてご案内いたします。
2-1. セキュリティ上のリスク
シャドーITの最も大きいリスクがこのセキュリティリスクです。やはりIT部門の管理下にないIT機器やクラウドサービス、アプリケーションを使うため、必要なセキュリティ対策が施されず、企業の営業秘密や顧客情報が脅威にさらされます。個人のクラウドストレージやメッセージアプリに企業の機密情報(顧客データ、製品情報、財務データなど)が保存され、やはり個人のセキュリティ対策の不徹底で、情報が外部に漏洩する可能性があります。
他にも、会社のPCがマルウェアに感染するリスクもあります。 シャドーITを行うために許可されていないソフトウェアやアプリケーションをダウンロードした結果、PCがマルウェアに感染し、社内ネットワーク全体に被害が広がるというリスクもあります。
2-2.コンプライアンス・法的リスク
シャドーITにはコンプライアンス違反や法的なリスクもはらんでおり、企業の法的責任や社会的信用に関わる問題を引き起こすことがあります。
例えば、個人情報保護法の面では、会社の管理下ではない従業員のクラウドストレージなどに、顧客の氏名、住所、電話番号といった個人情報を保存した場合、企業はそのデータの所在やセキュリティ状態を正確に把握できなくなります。こうなってしまった時点で、(実際に流出する・しないに関わらず)流出への歯止めがかけられない状況となってしまいます。かつ従業員が個人で持っているのメールやチャットで個人情報を流出させても、もちろん会社はログを把握できません。
そのため万が一、シャドーITで利用したサービスから個人情報が漏洩した場合でもデータの流出元や規模を特定できず、企業の責任がより問われることになります。
2-3.データ管理と業務継続性のリスク
シャドーITを行った場合、日ごろの業務に必要なデータも一貫性をもって管理できなくなるリスクもあります。業務データが従業員個人のクラウドストレージなどに分散して保存されるため、会社公式で持っているデータの中から欠けてしまうリスクもあります。また個人の管理となってしまった情報は適切なバックアップも取られずデータが消失してしまうリスクもあります。このためいざ会社側にデータが無いと気づいた時には、個人のクラウドストレージから消失しており復元できず、業務が継続できなくなることもあり得ます。
2-4.コストと非効率性のリスク
シャドーITは、見えないところで企業のコスト増大や非効率性を招きます。複数の部署や個人で、同じような機能を備えたサービスをそれぞれ個別に契約している場合、企業全体で見たときに無駄なコストが発生します。本来、会社公式のストレージ環境を全体最適で導入することで経費的にも効率なIT環境の運営が可能となりますが、シャドーITが進みすぎるとコスト増を招く問題や、サポート面でも非正規のツールのサポートを手探りで行わざるを得ず、非効率なサポート業務が発生するリスクもあります。
3.シャドーITが発生しやすいサービス
ここではシャドーITが発生しやすいサービスについてご案内いたします。
3-1.オンラインストレージ・ファイル共有サービス
大容量のファイルを簡単に保存・共有できるため、メールに添付できないサイズのデータを簡単に共有する用途で利用されやすいサービスです。会社が提供するシステムが使いにくかったり、容量制限があったりする場合、ブラウザ上で利用できてしまうので従業員はこれらのサービスに頼りがちになります。セキュリティ設定が甘いと、例えば共有URLが出回ってしまった場合など誰でもアクセス可能な状態になってしまい、情報漏洩のリスクが高まります。
●サービス例
Google Drive、Dropbox、GigaFile便など
3-2.コミュニケーション・チャットツール
一番発生する例としては、社員個人のLINEアカウントを使って社員同士や顧客間の連絡を行うということではないでしょうか。普段から使い慣れているため、手軽にコミュニケーションを取れ、テレワークが普及して以降、口頭でのやり取りができない代わりに、これらのツールが非公式な連絡手段として使われることが増えました。しかし個人アカウントで業務上の重要なやり取りや機密情報が残ってしまうので会社の記録として管理されないという問題が生じます。
●サービス例
LINE、Chatwork(無料版)、Slack(無料版)など
3-3.クラウドメールサービス
会社のメールとは別に、個人のアカウントを業務連絡に使うケースです。メールシステムが使いにくかったり、PCでもスマートフォンでも便利に送受信できてしまうため使われることがあります。メールは個人情報も営業秘密もふんだんに含まれているので、ID・パスワードを破られてしまった場合などハッキングされ情報流出するリスクがあります。
●サービス例
Gmail、iCloudメール、Yahooメールなど
3-4.私物デバイス
自分のスマートフォンやパソコンの方が、会社から支給されたデバイスよりも性能が良いし使い慣れていることや、使いずらい会社のデバイスを複数持ち歩く手間を省きたいなどの理由で、個人の端末を業務に利用することがあります。しかし、会社で行うようなセキュリティソフトをインストールしたり、データの消去を遠隔で制御するようなことができないため、紛失・盗難時に情報が漏洩するリスクが非常に高くなります。また私物の端末がマルウェアに感染していた場合、会社の端末にも感染が広まる恐ろしいリスクもあります。
●デバイス例
個人のスマートフォン、タブレット、PC、USBメモリなど
4.シャドーITに有効なセキュリティ対策
ここではシャドーITに有効なセキュリティ対策についてご案内いたします。
4-1.シャドーITの可視化と監視ツール
まずシャドーIT対策の第一歩としては監視ツールを活用して社内で「何が使われているか」を把握することです。
●CASB(Cloud Access Security Broker)
CASBはクラウドサービスへのアクセスを可視化したり制御する専門のセキュリティサービスです。従業員が業務で利用しているクラウドサービス(オンラインストレージ、チャットツールなど)を自動的に検知して可視化できます。そのうえでリスクを評価して高リスクのサービスへのアクセスを自動的に遮断することもできます。また危険と思われる特定の操作(例えば機密情報のアップロードなど)を制限したりすることも可能です。
●MDM(Mobile Device Management)
主にスマートフォンやタブレットなどのモバイルデバイスを一元管理する端末管理システムです。もしBYOD(私物デバイスの業務利用)を許可している企業であれば社員端末にMDMを導入することでデバイスの紛失・盗難時に遠隔でデータを消去したり、パスワード設定を強制したりすることが可能です。紛失時の私物のデバイスのデータ消去など、後から見つかった時のことを考えると社員にとっては劇薬にもなりかねないので、どのような場合にMDMで何をするかは事前に従業員に提示しておくことも必要です。また、PCに対してUSBメモリーの利用制限や監視にも利用することができます。
4-2.ルールと教育による対策
従業員一人ひとりの意識を高めることもシャドーIT対策の1つです。社内にはITリテラシーに明るい人もいれば疎い人もいるものです。そのためシャドーITの定義、利用を許可する・禁止するサービス、データの取り扱いルールなどをガイドライン化して全従業員に周知することも有効です。ただルールを作っただけでなく定期的に、シャドーITがなぜ危険なのか(情報漏洩、法的リスクなど)をオンラインで研修してテストを行うなどリスクの芽を定期的に摘んでいくことも対策として有効です。
4-3.IT環境の改善と利便性の向上
シャドーITが起こってしまう根本原因である社内IT環境の利便性を向上させることも効果的な対策の一つです。例えば会社でセキュリティの整っているクラウドストレージを導入したり、メールサービスをクラウドメールに移行するなど、セキュリティを担保しつつ従業員に快適なIT環境を提供することもできます。会社全体への新規のITサービスの導入には手間もかかりすぐにできないことも多いかと思いますが着実に実行していくことでシャドーITを減らしていく効果もあります。
コメント