「シャドーITってなんだろう…?」
「シャドーITの何が悪いの?具体的なリスクは?」
「従業員のシャドーIT対策として何ができるの?」
情報量が増加し続けている近年、企業のセキュリティリスクとして「シャドーIT」が話題になっています。
シャドーITは、従業員が会社の許可がないIT機器やシステム、各種Webサービスを登録、利用してしまうことです。
従業員のシャドーITを気付かずに放置していると、機密情報の漏洩に繋がる恐れがあります。
そこで今回は、シャドーITについて、 以下の情報をまとめました。
・シャドーITの基本概要
・シャドーITの危険性が高いサービス
・シャドーITの代表的なリスク
・シャドーITの対策法
・シャドーITを防ぐサービス
本記事を読めばシャドーITの危険性を理解し、具体的な対策をすぐにはじめられます。シャドーIT対策を考えている方は、ぜひ参考にしてください。
シャドーITとは?
シャドーITとは、企業側が把握・管理していない端末やアプリ、クラウドサービスを、従業員が業務に使用している状態のことです。
従業員が会社に許可を得ておらず、経営及びシステム部門が管理していないサービスを利用することが、「シャドーIT」になります。
弊社が大企業(従業員数1,000名以上)に勤務している656名にアンケートをとったところ、約2割が「シャドーITの経験がある」という結果になりました。
参考:メタップスクラウド 「大企業のセキュリティ意識に関する調査」
シャドーITは、情報漏洩やウイルス感染などのリスクが潜んでいるため、企業にとって重大なセキュリティインシデントを引き起こす原因になる可能性が考えられます。
次章で、シャドーITの具体的なリスクについて紹介いたします。
シャドーITによる大きな3つのリスク
シャドーITは、企業のセキュリティリスクとして向き合うべき課題の1つです。
シャドーITを見過ごすことで、企業が被るリスクを以下の3つご紹介いたします。
・情報漏洩
・不正アクセス
・無駄コストの発生
(1)情報漏洩
シャドーITのリスクとして、もっとも懸念されるのが、「情報漏洩」です。
例えば、経営部門などが管理していない私物の端末の中に、業務に関するデータや会社の重要データが保管されているとします。
私物の端末は、自宅や会社を往復する機会も多いため、紛失のリスクがつきまとうことは容易に想定できるでしょう。
万が一、端末を紛失してしまい悪意のある第三者に情報を盗まれてしまうと、後述する不正アクセスの原因にもなります。
端末の紛失だけでなく、プライベートで利用するSNSやチャット、クラウドストレージからの人為的ミスによる情報流出なども発生する原因のひとつです。
また、登録やインストールをするだけで、情報が抜き取られてしまうような悪質なアプリやサービスも中には存在します。
無許可のサービスを従業員が勝手に導入してしまうのは、それだけで大きなリスクとなるでしょう。
情報漏洩が発生すると、企業はクライアントに迷惑をかけるだけでなく、信頼も失墜してしまうため、十分に注意する必要があります。
(2)不正アクセス
「不正アクセス」は、シャドーITのリスクの1つです。
前述した情報の流出によって、悪意のある第三者にIDやパスワードといったログイン情報が盗まれてしまうと、不正アクセスの被害に遭うリスクがあります。
最悪のケースでは、アカウントの不正操作により重大な情報が盗まれてしまったり、ウイルスに感染したりすることもあるため、情報漏洩よりもさらに大きな被害につながる可能性があるでしょう。
(3)無駄コストの発生
シャドーITで注意したいことの1つに「無駄コスト」の発生があげられます。
特に注意したいのが、「退職者アカウントの削除漏れ」です。
会社が許可しているサービスであっても、退職者アカウントが残っている状況があれば、それは広い意味でシャドーITに該当します。
退職者アカウントが残り続けているだけで、そのアカウント分の費用は請求され、無駄コストの発生原因になってしまうのです。
また、アカウントの削除漏れは、退職者が退職後でもアクセスできる状況です。
既に企業の一員ではない退職者からのアクセスは、情報漏洩や不正アクセスに繋がるリスクとも考えられるでしょう。
シャドーITが生まれる理由
次に、シャドーITが生まれる理由、背景を解説いたします。
弊社の調査によると、シャドーITが生まれる理由について、以下のような結果になりました。
参考:メタップスクラウド 「大企業のセキュリティ意識に関する調査」
全体の4割以上の方が、「生産性向上」のためにシャドーITを導入してしまっていることがわかります。
また、3割以上の方が「特に問題はないと思う」という回答結果から、従業員は、シャドーITに対して問題意識が薄いことも推測できます。
SaaSなどのクラウドサービスの普及が加速していることで、無料で使えるサービスが増えたことも背景の1つでしょう。
無料で利用できるということは、“負担ゼロで簡単に”導入することができるため、その手軽さがシャドーITを促進させる原因にもなります。
今回は、上記のアンケート結果から以下の3つの原因ついて、詳しく解説します。
・生産性を向上させたい
・問題意識の欠如
・テレワークの機会が増えた
(1)生産性を向上させるため
働く方にとっては、会社で導入しているIT機器やサービスだけでは足りないと感じる方もいらっしゃるでしょう。
従業員個人の生産性を向上させるために、会社に無許可のスマホやパソコン、各種サービスを導入してしまうことが多くあります。
従業員が個人の判断で便利な機器やサービスを導入してしまうと、それは結果としてシャドーITに該当してしまうのです。
例えば、電子メールをメインで使用している企業の場合、チャットのほうが従業員とのやり取りがしやすいと感じる方もいるでしょう。
会社に無許可でチャットで業務の連絡を取り合っている場合、それはシャドーITに該当します。
(2)シャドーITへの問題意識の欠如
次章で詳しく解説しますが、シャドーITのリスクは非常に高いです。
「シャドーIT」という言葉自体そもそも知らない方や、シャドーITのリスクを正しく理解できていない方が多いため、シャドーITに対する問題意識が低い方が多いでしょう。
従業員には、シャドーITのリスクを正しく理解してもらい、問題意識を持ってもらう必要があります。
(3)テレワークの普及
働き方改革や社会の変化により、テレワークを取り入れた企業は多くなりました。
自宅は、オフィスに比べて管理者の目が行き届きづらく、中には私用パソコンで業務利用している方もいるため、比較的自由にサービスを導入し、利用することができる環境です。
テレワークが普及し、従業員それぞれの自己判断に任せる機会が増えたことで、シャドーITが生まれやすくなったとも言えるでしょう。
シャドーITの危険性が高いサービス
本章では、従業員がどのようなシャドーを利用してしまっているのが多いのか紹介します。
シャドーITの危険性が高い代表的なサービスは、以下の3つです。
・コミュニケーションツール
・クラウドストレージ
・タスク管理ツール
(1)コミュニケーションツール
近年、比較的簡単に導入できるクラウドサービスでシャドーITが増えています。
その中でも特にコミュニケーションツールは、無許可で利用している方が多いです。
例えば、自社では業務連絡にチャットツール”A”を使用しており、クライアントが主にチャットツール”B”を使用しているならば、相手に合わせてチャットツール”B”を会社に無許可で利用している方も多いでしょう。
しかし、会社に報告せずにサービスを利用している場合、それはシャドーITです。
業務を円滑に進めるためにツールを導入したいが、会社に毎回申請するのも気が引けるという状況で発生しやすいのが、コミュニケーションツールのシャドーITです。
(2)クラウドストレージ
2つ目は、クラウド上でファイル保管・編集ができるクラウドストレージです。
業務で必要なデータをやりとりする際に、社内で取り決めがない場合は、使い勝手のよいサービスから送ってしまいます。
例えば、GoogleドライブやDropboxは、無料で使えるうえに大きなデータでもかんたんに送付できるため、業務上のデータもスムーズに送れて便利です。
とはいえ、企業が管理していないツールで業務上のデータをやりとりしてしまうのは、シャドーITとなります。
業務上のデータをやり取りする場合のルールを定めなければ、使い勝手のよいツールを使ったシャドーITが発生してしまうかもしれません。
(3)タスク管理ツール
3つ目は、業務の進捗等を確認するタスク管理ツールです。
チームメンバーの業務の把握や進捗を確認するために、チーム内独自でタスク管理ツールを導入してしまうことがあります。
タスク管理ツールの中には、無料で利用できるサービスを存在することからシャドーITの危険性が高いと言えるでしょう。
シャドーITの対策法5選
シャドーITは、勝手に従業員が導入し、管理者には分からないので、対策が難しいとされるセキュリティ事項になります。
シャドーITを防ぐには、日頃から対策を講じる必要があります。
次の5つを取り入れれば、シャドーITが起こる可能性を減らせるでしょう。
・業務に必要なツールは事前に導入する
・運用ルール・ガイドラインを作成する
・社員教育を実施する
・アクセスを監視する
・シャドーITを防ぐツールの導入
(1)業務に必要なツールは事前に導入する
従業員が業務を遂行するために必要なツールが事前に揃っていれば、シャドーITが起こる可能性を減らせます。
そもそも、シャドーITが起こる理由は業務を円滑に行うためであり、許可されたツールで問題なく業務ができるならシャドーITを使う必要がないです。
現在の環境で問題開く業務が進められているか、定期的に現場から意見を吸い上げ、必要なものはあらかじめ導入することで、シャドーITが発生する可能性を減らせるでしょう。
(2)社員教育を実施する
シャドーIT対策として、業務に関わる従業員すべてを対象に、「社内教育」を実施するのが重要になります。
シャドーITは悪意から発生するものより、業務の効率化を求めて発生するケースが多いです。
個人のスマホに会社において重要な情報を保持している場合、「スマホを紛失したらどうなるのか」、「不正なアクセスは防げるのか」という意識を持つことが大切です。
業務効率化のつもりで行っていたことが、実は企業を危険に晒していたのだと知れば、社員同士でシャドーITを使わないよう注意しあえるようになります。
シャドーITとはなにか、何が危険なのかを社員に教育するのは、有効な対策となるでしょう。
(3)運用ルール・ガイドラインを作成する
運用ルール、ガイドラインを適切に設定すれば、業務を安全かつ効率的に進める助けとなります。
新しくツールやデバイスを導入したい場合の申請手順を取り決め、新入社員への教育を体系化することで、ルールがあいまいになってしまうのを防げるでしょう。
業務に関わるIT環境は日々変化しているので、取り決めたルールやガイドラインの定期的な見直しも重要です。
(4)アクセスを監視する
シャドーIT対策として、クラウドサービス(SaaS)のアクセスを監視するのも有効です。
アクセス監視用のツールを導入すれば、クラウドサービス(SaaS)にどんなデータがアップロード・ダウンロードされたか、どの端末からアクセスがあったかを監視し、不審な動きに対応できます。
代表的なアクセスを監視するツールは、「CASB(キャスビー)」があります。
(5)シャドーITを検知するツールを導入する
アクセス監視で取り上げた「CASB」の多くは、会社用パソコンを対象にしていることがメインとなります。リモートワークが進む中、私用のパソコンやスマートフォンまではアクセス管理ができないというのが現状です。
そこで、「SaaS管理ツール」を導入する方法があります。
最近ではSaaS管理ツールによって、シャドーITを検知することができるようになってきました。
シャドーITを防ぐ「メタップスクラウド」
弊社が提供している「メタップスクラウド」では、シャドーIT対策として、従業員メールの送受信ログから社内で利用中のSaaSを一斉に抽出できるサービスの提供を開始しました。
これにより、従業員メールの「アドレス」と「件名」だけで、利用中のSaaSを抽出し、会社で許可されていないシャドーITを検知することができます。
参考:メタップスクラウド『複雑な「シャドーIT」対策を始める前に、まずは社内利用SaaSの抽出!〜メール情報から社内で利用中のSaaSを簡単に一括リスト化できる新サービスを開始〜』
シャドーIT検知機能の主なメリットは、以下の3点です。
・利用しているSaaSを検知し、棚卸の効率化
・SaaSの整理によるコストの削減
・無許可利用のSaaSを検知して情報漏洩リスクを抑制
シャドーITで頭を悩ませている方は、ぜひ導入を検討してみてください。
まとめ
以上、シャドーITのリスクとそれに対する対策を紹介しました。シャドーITについてご理解いただけましたでしょうか?
シャドーITとは、企業側が把握・管理していない端末やアプリ、クラウドサービスを、従業員が業務に使用している状態のことです。
シャドーITは、重大なリスクが潜んでおり、企業には徹底した管理や対策が求められます。
シャドーITが原因で被害を受ける前に、しっかりと対策を講じましょう。
\今すぐ無駄をなくしませんか?/
メタップスクラウド編集部
「メタクラブログ」は、株式会社メタップスが運営する公式メディアです。当メディアでは、企業のセキュリティ対策や業務効率化に役立つコンテンツの情報を発信しております。