業務効率化の影ではびこるシャドーITが危機を招く!

　安倍政権が提唱した「働き方改革」によって、労働制度の抜本的改革が日本社会全体の関心事となっています。抜本的改革の具体案として長時間労働の是正や労働生産性の改善などを掲げており、業務効率化などによって改革を実現させようとしている企業は少なくありません。

　業務効率化においては、ICTを活用した外出先からのモバイルワークや、通勤時間を省いた在宅勤務などの事例が見られます。しかし、ICT活用が企業にとってのリスク要因となることもあります。その1つが、シャドーITです。

私物利用が引き起こすリスク、シャドーIT

　シャドーITとは、企業の許可を得ずに私物の端末やICTサービスを業務利用することです。たとえば、私物のスマートフォンで取引先に連絡する、利用許可のないクラウドサービスに業務データを保管する、業務用端末に許可されていないアプリをインストールする、接続許可のないウェブサイトを閲覧するといったことがシャドーITに該当します。

　こうしたシャドーITは、さまざまなリスク要因となります。たとえば、業務でも使っていた私物の端末を紛失し、顧客連絡先などの個人情報が漏えいする、許可外のクラウドサービスのセキュリティが万全でなく、業務データが漏えいする、許可外のウェブサイトへのアクセスからマルウェアに感染する、などのリスクが挙げられます。

　特に企業のシステムがマルウェアに感染した場合、業務用端末と私物が混在していると感染経路の特定が難しく、システムの完全復旧に手間取り通常業務が遅滞することもありえます。

　また私物の端末を紛失した場合には、端末上のデータ消去やロックといったMDM（Mobile Device Management）による遠隔操作の設定が行えないこともあり得るので、情報漏えいの可能性が高くなります。

　私物の端末やサービスを業務に利用するというシャドーITは、企業の情報セキュリティ管理が行き届かないという点で、さまざまなリスク要因となるのです。

業務効率化の影にシャドーITあり？

　2017年5月に改正個人情報保護法は全面施行され、情報セキュリティに対する企業の危機意識はより一層高まっています。そのため、厳格な情報セキュリティポリシーのもと、私物の端末の無許可持ち込みや許可のない外部サービスの利用を禁止している企業も少なくありません。

　しかしリスクがあるから利用禁止とするだけでは、シャドーITを根絶することは難しいでしょう。情報システム部門などの従業員を例外として、一般の従業員は情報セキュリティと同等、あるいはそれ以上に利便性を求めています。従業員は、許可されている既存の仕事環境よりも、仕事が“楽になる”という情報を得れば、利用を検討するでしょう。しかし情報セキュリティポリシーが厳格化されているため、新しい機器やサービスを導入する提案や稟議などを行うには手間と時間を要するため、安易なシャドーITへと流れてしまうのかもしれません。

　また働き方改革として労働時間を短縮しながらも、従来と変わらぬ量の業務を可能とする効率化を求められた従業員ならば、自動化や利便性の向上が期待できるICTサービスに目が奪われるのは必然です。

　「自社においても、今この瞬間もシャドーITが発生しているかもしれない」という危機意識を持つことが、企業には求められているのです。

「発生」を前提にした対策で被害を最小に

　さまざまなICT機器・サービスが利用されている現代の業務において、シャドーITのシャットアウトを目指すのは一筋縄ではいきません。まずはシャドーITの存在を前提とした、マルウェア感染や情報漏えいのリスクを防ぐという対策を講じることが第一歩です。

　一例として、マルウェア対策ソフトやフィルタリングソフトなどの導入が考えられます。マルウェアの駆除を行ういわゆるアンチウイルスソフトや、マルウェアに感染した場合の外部への不正な通信を防ぐネットワーク管理ソフトの導入で、そのリスクを軽減できるでしょう。

　同時に、端末を企業が支給して私物を利用しない環境を整える、あるいはBYOD（Bring Your Own Device）などを導入し、私物の端末を安全に利用できる環境を構築するといった方法も考えられるでしょう。

　情報セキュリティリスクや導入の手間ばかりを考えて「あれもダメ」「これもダメ」とするのではなく、利便性を高める新たなICTも柔軟に取り入れていくことが大切です。業務効率化を目指すのであれば、それを実現できる環境を整えることも、企業の重要な責務です。

※掲載している情報は、記事執筆時点（2018年5月14日）のものです。