シャドーITとは？ セキュリティリスクと企業がとるべき対策

企業のセキュリティにおける課題の一つとして挙げられることの多いシャドーIT。用語として聞いたことはあっても、その内容は詳しくわからないという方も多いのではないでしょうか。シャドーITによるセキュリティリスクは誰もが当事者になり得るものの一つであり、しっかりとした対策が必要です。

この記事では、シャドーITの概要から、シャドーITによりもたらされるセキュリティリスクと、その対策方法などについて解説します。

シャドーITとは

シャドーITとは、企業から利用許可を与えられていない、あるいは従業員が利用していることを企業側が把握できていないITシステム、サービス、ソフトウェア、デバイスなどを表します。代表的な例としては、従業員が勝手に業務利用した、私物スマートフォンや各種クラウドサービスが挙げられます。

スマートフォンやクラウドサービスの利用自体は問題ありませんが、企業の情報システム部門にとっては把握できていないサービスなどが利用されている場合、事故を防ぐ対策や、事故が起こったときの対応について十分な準備ができていない点が問題です。知らないうちにセキュリティリスクを抱えてしまい、大きなセキュリティインシデントに繋がる可能性が大きくなってしまいます。

シャドーITのセキュリティリスク

企業の許可無く使用されるサービスなどは、セキュリティポリシーに則った対策が行われていません。そのため、情報漏えいや不正アクセス、アカウントの乗っ取りなどの被害に遭う可能性が高まります。

例えば、業務データを個人が利用するメールアドレスやクラウドストレージに保存することで、情報漏えいにつながるケースがあります。

インターネット上には安全性の担保されてないサービスも多数存在しているため、不用意にアクセスすることで、マルウェアに感染して不正アクセスなどの被害に発展する可能性があります。

また、シャドーITとして利用しているチャットやクラウドストレージなどサービスのアカウントが乗っ取られ、情報を盗まれてしまう、といったリスクも挙げられます。

その他、管理外のデバイスを社内ネットワークに接続することにより、もしもそのデバイスがマルウェアに感染していた場合、社内ネットワーク全体が脅威にさらされてしまう可能性があります。

なぜシャドーITが発生するのか

近年、テレワークの普及やクラウドサービスの業務利用の機会が増え、時間や場所にとらわれない働き方が浸透してきています。加えて、スマートフォンをはじめとするスマートデバイスの普及もあり、多くの従業員はこれらのサービスやデバイスを活用する機会が増えています。

スマートフォンはほとんどの従業員が保有しており、無料で利用できるクラウドサービスも豊富です。そのため、業務をより効率的に進めるため、これらを活用したいと考える従業員は多いでしょう。

しかし、企業側で即時に導入できるわけではないため、従業員が勝手に利用し始めるケースや、そもそも許可されていないサービス類を利用してはいけない、という理解が足りていないケースもあります。

クラウドシフト、スマートデバイス等の導入は、利便性と安全性の両方を考慮し、組織全体で取り組んでいく必要があります。

シャドーITとBYODの違い

モバイルデバイスの普及により、BYOD（Bring Your own Device）という考え方も広がっています。BYODは従業員の私物パソコンやスマートフォンなどを業務利用する考え方です。

従業員の私物パソコンやスマートフォンがシャドーITとみなされるケースがありますが、BYODとの違いは企業側で許可（管理）しているかどうかです。シャドーITでは企業の管理者側が把握できない状態にあるためセキュリティリスクが発生します。対して、BYODでは私物デバイスなどの利用を前提としたセキュリティ対策が行われるため、シャドーITのようなセキュリティリスクは発生しづらくなります。

BYODの導入はシャドーITを防ぐための対策にもなりえます。ただし、そのためには社内システムにアクセス可能なデバイスの管理や、クラウドサービスなどへのアクセスも一元的に管理するための環境構築が必要です。

企業がとるべき「シャドーIT」への対策

企業が実施するべきシャドーIT対策としては、主に次のようなものが考えられます。

• デバイスの管理、制限
• クラウドサービスに対するアクセス制限
• 従業員の働き方のモニタリング
• 社内環境の整備
• ルールの策定と従業員教育

社内ネットワークへのアクセスに対しては特定のデバイスのみ許可し、接続しているデバイスは一元的に管理することでシャドーITの対策になります。

また、CASB（Cloud Access Security Broker）などのソリューションを導入し、クラウドサービスに対するアクセス制限も実施しましょう。クラウドサービスごとに利用可否だけでなく、情報のアップロード制限や利用状況なども一元的に管理できます。

その他、PC操作ログサービスなどを導入し、まずはシャドーITの実態を把握する事や、従業員の働き方を定期的にモニタリングできるような環境を整備する事も効果的です。

一方で、制限するだけでなく従業員にとって利便性の高い環境を構築することも重要です。シャドーITは利便性を求めて行われるケースが多いため、私物デバイス等を使用する必要がないような環境を設計・構築するのが良いでしょう。

加えて、デバイスやサービス類の利用に関するルールを定め、しっかりと従業員に周知徹底して教育を施すことも重要になります。システム的な対策と併せて、人的な教育もシャドーIT対策として有効です。

この記事のまとめ

働き方が多様化している現在、どの企業にとってもシャドーITの対策は不可欠です。

企業側が許可していないシステム、サービス、ソフトウェア、デバイスを利用するシャドーITには、さまざまなセキュリティリスクが潜んでいるため対策が必要です。シャドーITをそのままにしていると、重大なセキュリティ事故に発展しかねません。

デバイスやクラウドサービスに対する制限、管理と併せて、社内環境を整備してルールの策定と従業員教育を行なうことで対策できます。この機会に、シャドーITの対策をしてみてはいかがでしょうか。

関連サービスはこちら

働き方を可視化し、セキュリティ対策・業務改善を支援するレポートサービス