シャドーITという言葉を聞いたことはないでしょうか。
働き方改革の推進、2020年以降の新型コロナウィルス感染防止対策によるテレワークの普及により私たちの働く環境は一変しました。テレワークの導入が急加速することで、コミュニケーションツールの導入、クラウドサービスの利用促進など、ITを取り巻く環境も大きく変容しています。
しかしこの様な状況でシャドーITを放置している企業が一定数以上存在すると言われています。しかも昨今報道されるセキュリティ事故も氷山の一角であり、シャドーITは表面化しにくい潜在的なリスクとして多くの企業が抱える問題です。
あなたの会社は大丈夫ですか?
すでに見えないところで従業員1人1人がシャドーITというリスクを抱えているかもしれません。
本記事ではシャドーITとはなにか?そしてシャドーITから生じる背景や課題と対策について詳しく解説します。
IT業務のお悩みやお困りごと、コスト削減をお考えなら、まずはITのことならなんでも無料で相談できるITボランチへご相談ください。お問い合わせはこちらから
Contents
シャドーITとはなにか?
近年、クラウドサービスは急激に進歩しています。オンラインストレージサービスや、Webメール、SNS、チャットツールなどコミュニケーションサービスが個人アカウントで気軽に利用できるようになりました。
一般的に会社で利用されるクラウドサービスは「セキュリティの観点」から利用状況を管理するのが一般的です。しかし実態として従業員が「利便性の観点」から個人アカウントでクラウドサービスを利用するケースも存在します。
このように会社の許可なく管理されないまま業務利用されているクラウドサービスをシャドーITと呼びます。また会社が管理できていない個人のパソコン、スマートフォン、タブレットなどのデバイス全般もシャドーITに含まれます。
シャドーITとBYODの違いとは
個人所有のパソコンやタブレットなどのデバイスで仕事する事すべてがシャドーITに該当するのでしょうか?
現代ビジネスマンにとってパソコン、スマートフォン、タブレットを使いこなすのは当たり前の時代です。根本的に情報に対する「責任のあり方」が関係しています。
シャドーITと関連した考え方にBYOD(Bring Your Own Device)というものがあります。これは個人所有のデバイスを会社の業務で利用するという考え方です。ノートパソコン、スマートフォンの普及に伴い広がりました。
シャドーITとBYODの違いは、ずばり「会社が承認しているか否か」です。BYODは会社が承認しているため、万が一セキュリティ事故が発生した場合、会社側の責任となります。
一方でシャドーITは会社側に承認されていないため、個人に対して責任が生じることになります。
また、会社が承認しているだけではなく、セキュリティ対策を含め、会社が管理できているかということも重要な要素です。
また最近ではBYODの考え方として端末のみではなく、クラウドサービスも含まれるようです。いずれにせよ、「会社が承認しているか否か」と、責任のあり方が「会社」なのか「個人」なのかがポイントです。
シャドーITの具体的な例(シャドーITの背景)
それではシャドーITはどのような状況で生じるのでしょうか?その背景と具体的な事例を紹介します。
クラウドサービスの利便性が向上した
近年、USBメモリ、外付けのHDD、DVDなどの外部メディアへのデータコピーはセキュリティ上、情報漏洩やウィルス感染のリスクが高いことが一般常識化しました。
しかしその反面、クラウドサービスが進化し、データ量の大きなファイルをインターネット上で簡単にやりとりできるようになりました。今やストレージサービスはほぼ無料で利用できます。
例えば、テレワークや外出先で急遽ファイル共有が必要になった場合などです。Eメールでは送信できるデータ量が制限されることがあるため、効率的で利便性の高い個人アカウントのクラウドストレージが利用されるケースがあるようです。
Webメール、SNS、チャットツールなどコミュニケーションツールが多様化した
一昔前、コミュニケーションツールといえばEメールでした。会社から貸与されるパソコンにメール用アプリケーションをインストールして、メールの送受信を行うものが殆どでした。
しかし、近年ではWebメールと呼ばれるWebブラウザ上でメールの送受信を行う形態が一般的となりました。
その場合、メールデータはオンラインストレージサービスと同様にクラウド環境に保存され、場所を問わず、どのデバイスからもメールの送受信が可能です。
またSNSに備わるメッセージ機能やSlack、Chatworksといったビジネスチャットツールも普及しています。
例えば、これらコミュニケーションツールは、多様化しながらも相手に合わせツールを使いこなす必要に迫られ、会社で利用を許可していないツールを使わざるを得ない状況になるケースもあるようです。
テレワーク普及による影響
近年、働き方改革や新型コロナウィルス感染防止対策により、テレワークが短期間で急激に広がりました。特にシャドーITに拍車をかけたのがテレワークにより私用のパソコン利用が進んだことでしょう。
例えば、会社から貸与されるパソコンには標準的なセキュリティソフトや、MDM(モバイルデバイス管理)ツールが搭載され、パソコンの状態が一元管理されています。しかし私用パソコンの管理は個人任せです。
テレワークが急激に普及した中で、私用パソコンを使わざるを得ない状況だったため、管理の行き届かないシャドーITが生じ、未だ一定数以上存在していると言われています。
シャドーITに潜むセキュリティリスクとは?
ここまでシャドーITに生じる背景と具体的な事例を紹介しました。それではシャドーITのセキュリティリスクについて代表的なものを紹介します。
アカウントの乗っ取り
シャドーITは主に個人アカウントのクラウドサービスが利用されます。個人アカウントは推測されやすいパスワードや、複数アカウントの使い回しなどのように安易に設定される傾向があります。
その事で不正に乗っ取られるリスクは高いと言えるでしょう。
情報漏洩
クラウドサービスを利用することで業務情報をクラウド上のストレージに保存することになります。
クラウド上のセキュリティ設定ミスによるデータの消失や、アクセス権の設定ミスによってインターネット上に公開されてしまうなど、情報漏洩リスクは非常に高いと言えるでしょう。
内部不正
情報が不意に漏洩するケースよりも、従業員や関係者により意図的に盗取されるケースもあります。このような内部不正は表面化されにくい事案であり、潜在的には第三者による情報漏洩よりも多いと言われています。
このようにシャドーITによるセキュリティインシデントの原因が個人的な利用であったとしても、会社が負うリスクに変わりはありません。シャドーITの存在を調査し対処するのも会社の責任です。
なぜシャドーITが発生してしまうのか?
ではなぜシャドーITが生じるのでしょう?考えられる原因について解説します。
会社側の運用ルールが整備・更新されていない
先述したとおり、働き方改革、新型コロナウィルス感染防止の観点から、必要なツールやルールの整備がままならない状況でテレワークが広がりました。
まずは出社せずに業務を行うことが優先されたことから、これまでの運用ルールを一旦緩めながら、テレワークの環境構築と運用の定着が進められた会社が多いのではないでしょうか。
ルールを緩めるというのは、一定の期間必要な処置でしたが、緩めたままのルールが常態化したことでシャドーITが生じた原因とも言えるでしょう。
会社側のデバイス、サービス利用を監視する仕組みが整備されていない
運用ルールの整備だけでは限界があります。業務で利用するデバイスやサービスの利用状況を監視していない場合、シャドーITが生じる原因となるでしょう。
運用ルール、社内規則があったとしても、システムとしての抑止がなければ、便利なツールで効率的に仕事ができるのであれば利用者心理として使ってしまうものです。
会社側と従業員側のリテラシーによる問題
便利だからいいでのでは?効率的だから使っている!業務のためだしいけないの?
という様に利用する側にも(例えそれがシャドーITだったとしても)必ず理由があります。
情報セキュリティ全般に言える事ですが、普段の業務に潜むシャドーITのリスクや危険性を一人一人が理解する必要があります。
シャドーIT対策は可能なのか?
それではシャドーIT対策にはどの様なものがあるのでしょうか。先述したシャドーITが発生する原因と関連する対策について解説します。
運用ルール、社内規則の再整理
最近ではテレワークの環境整備も進み、定着してきました。普及率としては諸外国と比較するとまだまだですが、企業の運用モデルとしての運用ルール、社内規則の事例は揃いつつあります。
一旦緩めたルールや規則をニューノーマルな働き方を前提とし再度整備し引き締め直しがが必要です。
そのためにはいきなり禁止事項や罰則を設けるのではなく、利用状況を確認するため、利用者に対するヒアリングやアンケートなどの調査が有効でしょう。
デバイス、サービスの管理・監視の仕組み構築
最近ではデバイスを管理するためのMDM機能も進化しています。ウィルスソフト、資産管理ソフトなどの機能を併せ持ち、統合的なデバイスの管理を実現します。
またMDMはクラウドサービスへの認証要素としても活用できるため、業務データへ対しては、会社から貸与したデバイスからのみアクセスさせるなどのコントロールが可能です。
クラウドサービスへのアクセスにはCASB(Cloud Access Security Broker)というアクセスを監視するサービスがあります。
どのデバイスから、どのクラウドサービスに対してアクセスがあったかの通信ログをモニタリング・記録しリスクの高いクラウドサービスを遮断することができます。
従業員に対するリテラシー向上教育
従業員に対しシャドーITのセキュリティリスク、危険性を正しく理解するための継続的な教育は有効的な対策です。
しかし注意が必要なのは、利便性とセキュリティの強度はトレードオフの関係にあるということです。
会社のルールや規則といったあるべき姿ばかりに光を当てすぎると、必然的に影が生じるものです。先述したとおり教育と併せ従業員に対するヒアリングの様な対話も必要です。
一方的に抑止するだけではシャドーITは無くなりません。会社側、従業員側、相互理解に足るリテラシーが求められます。
まとめ
ここまでシャドーITについて解説してきました。シャドーITのリスクと向き合い対処するためには、シャドーITが発生した背景や、現状を正確に把握することが必要となります。
従業員がどのようなクラウドサービスを利用いるのか、貸与したデバイス以外に使っているものがないか、ヒアリングをしたり、アンケートを配布したり、対話を取りながら確認することが重要です。
中小企業の多くはセキュリティリスクを軽減するための投資は敬遠される傾向にあります。発生していない保険のような部分にコストを割くことに抵抗があるのだと思います。
今後も被害がない可能性もありますし、明日にはサイバー攻撃をうけたり、ウィルス感染が起きてしまう可能性もあります。しかし、そのような被害に1度でもあってしまうと、企業としての社会的信頼は失墜してしまい、回復するためには膨大な労力とコストを必要とする可能性が高いのです。
たった一度の問題を起こさない、被害を最小化するためにも、対策を打つことは必要と考えていただいたほうがよろしいかと思います。
専門的な判断も伴うため、IT保守企業へのアウトソーシングを検討されてはいかがでしょうか。自社にノウハウを残すために、調査プロセスを明確にし、作業部分のみアウトソースするという選択肢もあります。
IT人材を雇用した場合のコストの10%程度のコストでIT保守業務をアウトソースすることが可能な「ITボランチ」は、中小企業様のIT環境を保守して10年以上の実績と、利用企業数200社以上における蓄積されたノウハウによる、貴社のIT環境をお預かりいたします。
シャドーITやセキュリティ全般についても、ご相談は無料でご対応させていただきますので、まずはITボランチに相談してみませんか?