COLUMN

1.シャドーITとは

シャドーITとは、簡単に言うと「従業員が企業に無許可で持ち込んだITツール」を指します。具体的には、企業側が許可していない、または把握できていないスマートフォンやパソコンなどのモバイル端末・個人向けクラウドサービスを業務に利用すること、フリーWi-Fiなど外部のネットワークに業務用パソコンを接続して利用することなどが挙げられます。

シャドーITは、多くの企業で発生しており、放置しておくと情報漏えいやアカウントの乗っ取り、社内LANへの侵入など、重篤な情報セキュリティ事故を引き起こす可能性があります。

実際に甚大な被害や損害を被った事件も多数起きており、シャドーITの対策の必要性や重要性がますます高まっています。

1-1.シャドーITとBYODの違い

シャドーITと似た意味を持つ言葉に「BYOD」があります。まずは、両者の違いについて確認しておきましょう。

BYODは「Bring Your Own Device」の略称で、日本語では「自分のデバイスを持ち込む」という意味を指します。

BYODとシャドーITの大きな違いは、「企業の許可を得ているかどうか」という点です。

従業員が企業に無許可で個人用のパソコンやスマートフォンを業務に使うシャドーITに対して、BYODは事前に会社に申請し許可を受けたうえで個人所有のパソコンやスマートフォンを業務に利用します。

誰がどのような端末を業務に使用しているかを企業側が把握できるため、シャドーITと比較して、情報セキュリティリスクも低くなります。また、業務利用に関するルールや情報セキュリティの設定が企業主導でできる点もBYODの大きなメリットです。

業務効率化のため、使い慣れた個人所有のパソコンやスマートフォンを業務利用したい場合は、シャドーITではなくBYODにすることで情報セキュリティ対策を行うことが重要です。

【無料】「NTT東日本がおすすめするクラウド導入を成功させるためのお役立ちマニュアル」はこちらからダウンロード！

2.シャドーITの該当例

シャドーITに該当するケースとして挙げられるのは主に以下の通りです。

• 利用が許可されていないチャットツールやフリーメールサービスの利用
• 個人用パソコンやスマートフォンなどのモバイル端末の業務利用
• 利用が許可されていないクラウドサービスを利用する
• フリーWi-Fiなど外部のネットワークに接続して業務用パソコンを利用する

それぞれのケースについて詳しく確認していきましょう。

2-1.利用が許可されていないチャットツールやフリーメールサービスの利用

業務効率化のため、企業が導入を許可していないチャットツールやフリーメールサービスを利用する行為はシャドーITに該当します。具体的な事例は以下の通りです。

• 無許可でチャットツールを導入し、業務連絡を行う
• 無許可のフリーメールサービスを利用して業務用のデータを送信する

従業員間のコミュニケーションには、業務上の機密情報が含まれるケースが多くあります。情報セキュリティ対策が十分ではないチャットツールやフリーメールサービスを利用することで、それらの機密情報が流出してしまう可能性が高くなります。

2-2.個人用パソコンやスマートフォンなどのモバイル端末の業務利用

パソコンやスマートフォンなど個人が所有するモバイル端末を業務に利用する行為もシャドーITに該当します。具体的な事例は以下の通りです。

• 業務データを持ち帰り、個人用のパソコンやスマートフォンに読み込ませ、作業を進める
• 企業が導入しているチャットツールを個人端末にもインストールし、業務利用する

上記の事例は、会社側が業務用のパソコンやスマートフォンを支給していない場合、特に起こりやすくなります。

企業が持つデータや、業務上のやり取りには、社外に漏れては困る機密情報が含まれています。情報セキュリティ対策が万全でない個人用のパソコンやスマートフォンを使って、業務データを保存したり、メールやチャットなど業務に必要な連絡を行ったりすれば、当然ながら情報流出などのリスクは高くなります。

2-3.利用が許可されていないクラウドサービスを利用する

企業が利用を許可していないクラウドサービスを従業員が独断で利用する行為はシャドーITに該当します。具体的な事例は以下の通りです。

• データの共有や受け渡しを行うため、無許可でクラウドストレージサービスにデータを格納する
• 業務効率化のため、翻訳ツールやタスク管理などのクラウドサービスを勝手に利用する

クラウドサービスはアカウントとパスワードを入力すれば、いつでも簡単に利用ができる便利なサービスです。しかし、数あるサービスの中には、情報セキュリティ対策が不十分なものも存在します。そのため、利用したいツールがある際は、該当サービスの情報セキュリティレベルを確認したうえで、企業から使用の許可を得ることが重要です。

2-4.フリーWi-Fiなど外部のネットワークに接続して業務用パソコンを利用する

業務用パソコンをフリーWi-Fiなどの外部ネットワークに接続して利用する行為はシャドーITに該当します。

社外で仕事を進める際、フリーWi-Fiなどの外部ネットワークに接続し、業務用パソコンを利用したことがあるという方もいるでしょう。しかし、フリーWi-Fiの中には、通信が暗号化されていないものも多く、接続することで第三者に通信内容を見られたり、情報を改ざんされたりするリスクも高くなります。

また、近年では「なりすましアクセスポイント」と呼ばれる悪意ある第三者によって設置されたフリーWi-Fiも増えています。迂闊に接続すると、ウイルス感染や個人情報、機密情報、パスワードなどが抜き取られる危険があるため注意しましょう。

社外で業務用パソコンへのネットワーク接続を行う必要がある場合は、以下のような情報セキュリティ対策を講じた上で、利用を推奨するとよいでしょう。

• 会社が許可したポケットWi-Fiを利用する
• ファイル共有機能をオフにする
• VPN機能を使う

【無料】「NTT東日本がおすすめするクラウド導入を成功させるためのお役立ちマニュアル」はこちらからダウンロード！

3.シャドーITは7割以上の企業で行われている

トレンドマイクロ社は、2020年に世界27か国、1万3,200人のテレワーカーを対象に、情報セキュリティ意識に関する聞き取り調査を行いました。同社の調査により、7割近くの企業でシャドーITが行われていることが明らかになりました。

【トレンドマイクロ社の調査によって明らかになったシャドーITの現状】

• 企業データを認可のないアプリ上にアップロードしている：66%
• 業務用デバイス上で使用許可のないアプリを使用している：56%
• 「頻繁に」または「常に」個人用デバイスから企業データにアクセスしている：39%

また、キヤノンマーケティングジャパン株式会社（以下キヤノンMJ）が2021年に行った「情報セキュリティ意識に関する実態調査」では国内企業におけるシャドーITの現状が報告されています。

【キヤノンMJの調査によって明らかになったシャドーITの現状】

• 個人所有の端末を業務に利用している：37.6%
• 上記のうち個人所有の端末を無許可（または許可不要）で業務に利用している：36.8％

上記の調査結果からもわかるように、シャドーITは、多くの企業にとって避けては通れない課題となりつつあります。シャドーITを放置しておくと、さまざまな情報セキュリティリスクが起こる可能性も高いため、早急な対応が求められます。

【無料】「NTT東日本がおすすめするクラウド導入を成功させるためのお役立ちマニュアル」はこちらからダウンロード！

4.シャドーITを放置するリスクと実際に起きた事件例

シャドーITを放置してしまうと、以下のようなリスクが発生する可能性が高くなります。

• 情報が漏えいする
• アカウントが乗っ取られる
• LANへ侵入される

実際に起きた事件に触れながら、それぞれ詳しくみていきましょう。

4-1.情報が漏えいする

シャドーITは、企業の許可のないIITツールを使って従業員が勝手に業務を行っている状態を指します。企業として利用ツールや使用方法の適切な管理ができないため、十分な情報セキュリティ対策が行えない点は、シャドーITの大きな問題と言えます。

一例として、クラウドサービスをみてみましょう。近年さまざまなクラウドサービスが誕生していますが、情報セキュリティの強弱はサービスごとに大きく異なります。法人向けに開発された有料クラウドサービスは、比較的高度な情報セキュリティ対策が取られているものも多いですが、個人向けの無料クラウドサービスの中には情報セキュリティ対策が脆弱なものも存在します。

そのため、業務上のデータを企業が許可していない、情報セキュリティの脆弱なクラウドサービスにアップロードしてしまうと、悪意のある第三者による攻撃を受け、情報が流出してしまう等のリスクが高くなります。

また、企業として許可していないフリーWi-Fiの使用や、情報セキュリティソフトがインストールされていない個人用パソコンの使用にも注意が必要です。情報セキュリティ対策が不十分であると、第三者による不正アクセスを許し、重要情報や機密情報の漏えいに繋がります。

【シャドーITが原因で情報漏えいが起きた事例】

無料提供されているオンライン翻訳サービスに入力した文章が、他のユーザーにも閲覧可能な状態で公開されていたことが明らかとなりました。閲覧可能な文章の中には、官公庁の業務メールや、企業の顧客情報等、発信者を特定できる情報も多数あったため、独立行政法人情報処理推進機構（IPA）がクラウドサービスの利用に関する注意喚起を行いました。

この問題は、クラウドサービスの内容や情報セキュリティ、リスクを利用者が十分に確認せず、利用したことが大きな原因とされています。無料で手軽に利用できるクラウドサービスですが、企業の許可なく勝手に利用すると大きなリスクに繋がる可能性があることがわかった事例です。

4-2.アカウントが乗っ取られる

シャドーITの場合、企業が使用を許可しているITツールと比較して、情報セキュリティ対策が十分に取られていないケースが多くあります。情報セキュリティ対策が脆弱なツールは悪意ある第三者に狙われやすく、IDやパスワードの流出、アカウント乗っ取り、業務情報や機密情報の悪用等、さまざまな被害を生む可能性も高くなります。

また、企業が使用を許可しているITツールやクラウドストレージサービスであっても、フリーWi-Fiを使ってアクセスすれば、IDやパスワードの漏えい、アカウントの乗っ取りなどのリスクは高まります。

アカウントの乗っ取りにより、企業の機密情報やログイン情報の流出が発生すると、業務の混乱、企業の信頼性の低下、調査・対策にかかる多額のコスト等、幅広く影響が出るため、特に注意が必要です。

【シャドーITが原因でアカウントの乗っ取りが起きた事例】

ある大学病院の医師が利用していたクラウドストレージサービスから、患者の個人情報が漏えいする事件が発生しました。

この問題は、同病院に勤務する医師が大学側の規定に反し、許可のないクラウドサービスに患者情報を保存していたこと、さらに、フィッシング詐欺により、同サービスのIDやパスワードを盗まれたことが原因とされています。

IDとパスワードが盗まれた医師のアカウントは、攻撃者に乗っ取られ、保存した個人情報を含む患者情報が攻撃者に閲覧可能な状態となってしまいました。攻撃者によってパスワードの変更が行われたため、医師自身がサービスにアクセスできないという事態も発生しました。

情報の悪用、基幹システムや電子カルテ等の医療情報システムへの不正アクセスは確認されなかったものの、さらに大きな被害や損害に繋がる可能性があった事例として知られています。

4-3.LANへ侵入される

シャドーITで利用されるITツールは情報セキュリティが脆弱なため、マルウェア（悪意のあるソフトウェア）への感染リスクも高くなります。

感染に気づかないまま業務利用を続けてしまうと、社内LANにマルウェアが感染し、社内に爆発的に広がる危険があります。万が一、社内LANがマルウェアに感染してしまうと、社内データへの不正アクセス、機密情報の抜き取り、データの改ざん、デバイスの乗っ取り等、さまざまな被害が生じる可能性があります。

【シャドーITが原因で不正アクセスを受けた事例】

ある自治体が、職員が利用していたフリーメールアカウントが不正アクセスを受け、個人情報が流出した可能性があると発表しました。

流出の原因は、一部の職員が規約に反し、フリーメールを業務利用したことと考えられています。中国や台湾、米国など複数のアクセスポイントから少なくとも15回の不正アクセスが行われており、調査の結果、1000名分以上の個人情報が流出したことが明らかとなりました。

流出した情報の中には、補助金の申請書、免許証、金融機関の口座情報なども含まれており、二次被害に繋がる可能性も危惧される事態となりました。

【無料】「NTT東日本がおすすめするクラウド導入を成功させるためのお役立ちマニュアル」はこちらからダウンロード！

5.シャドーITに有効な対策と代替ツール

前述した通り、シャドーITは7割近い企業で行われているという実態があります。しかし、シャドーITへの対策を講じている企業はまだまだ少ないのも現状です。

シャドーITは、そのまま放置すると不正アクセスや乗っ取り、情報漏えい等、重篤な情報セキュリティ事故に繋がるリスクが高くなります。万が一、情報セキュリティ事故が発生すれば、数億円規模の経済損失や企業の信用失墜など、多くの損害を負うことになります。

大きな被害や損失を防ぎ、安全に業務を遂行するためには、従来の情報セキュリティ対策だけでなく、シャドーITの対策にも取り組むことが重要です。

では、シャドーITには具体的にどのような対策を講じればよいのでしょうか。ここからは、シャドーITに有効な対策、ツールについて詳しく解説していきます。

5-1.社内のシャドーITの現状を把握する

社内でシャドーITが行われているか、また行われている場合はどのようなITツールが利用されているのか等、まずは社内におけるシャドーITの現状を把握していきましょう。

現状把握の方法にはさまざまなものがありますが、より幅広く、効率的に実施するためには聞き取り調査が有効です。調査を行う場合は、以下のポイントを重視して聞き取りを行いましょう。

【シャドーITについて調査する時に聞き取りたいポイント】

• 個人用デバイスの業務利用の有無
• どんな時に個人用デバイスを業務利用しているか、またその理由
• テレワークのためにデータを持ち出す必要はあるか、その方法は何を利用しているか
• 会社が許可しているITツール以外のものを利用しているかどうか、利用している場合はその理由
• 現在の社内ICT環境について不便だと感じる点
• 社用デバイスを外部へ持ち出す頻度
• 社用デバイスを外部で利用する時のネットワーク接続方法
• 社内のシステムで欲しいと思う機能・ITツール
• 作業を効率化するために必要だと思う機能・ITツール

調査では、単にシャドーITの有無を確認するだけでなく、なぜシャドーITを行っているのか、その理由まで問うことが重要です。従業員の中には、現状のICT環境では、仕事がやりにくい、非効率であるという理由でシャドーITを行っている人もいるでしょう。

調査によって、従業員がやりづらさを感じている点を明らかにし、社内のICT環境改善や整備に取り組めば、シャドーITの防止だけでなく、業務効率や生産性アップも期待できます。

5-2.シャドーITの代替案を選定・導入する

シャドーITの代替案となるツールの選定や導入を検討します。導入するツールは、社内のシャドーITの現状や、従業員が抱えるICT環境への不満点に合わせて選定しましょう。

• 横にスクロールします

※料金は2023年12月時点の公式ページの情報を元に記載しています。より詳しく知りたい方は各サービスの公式ページをご確認ください。

また、シャドーITの代替案となるツールを選ぶ際は、「情報セキュリティの高さ」、「使いやすさ」、「コスト」についても事前によく確認しておきましょう。自社のシャドーITの現状や、解決したい問題、かけられるコスト等に合わせて、適切なサービスができれば、シャドーITの解消や防止に繋がります。

5-3.シャドーIT対策を含むガイドラインを制定する

個人所有のデバイスや個人向けシステムを業務利用したい場合の申請方法、使用時のルール、新しく利用したいITツールがある場合の申請方法など、シャドーITに関するルールやガイドラインを制定するのも効果的です。

ガイドラインを制定し、システム担当者に申請や問い合わせを行ってもらう仕組みを作ることで、「無許可で隠れて使う」シャドーITではなく、システム担当者が管理できる形へ変えていきます。

ガイドライン制定には、総務省が作成した「テレワークセキュリティガイドライン」等が参考になります。ぜひ目を通した上で自社に合ったガイドラインを制定してみてください。

【シャドーIT対策を含むガイドライン制定に参考となるサイト】

• 総務省「テレワークセキュリティガイドライン　第5版」
• 情報処理推進機構「テレワークを行う際のセキュリティ上の注意事項」
• 一般社団法人日本テレワーク協会「中小企業のテレワークに関するQ&A集」

5-4.シャドーITを制御できるシステムを導入する

社用のパソコンで有害サイトにアクセスすることを防ぐフィルタリングソフトや、クラウドサービスへのアクセス制御が行えるCASB（Cloud Application Security Broker）など、シャドーITを制御できるシステムにはさまざまなものがあります。

また、BYODを行う場合は、業務に使う個人用スマートフォンにセキュリティ制限をかけられるMDM（モバイル管理）ツールの活用も効果的です。

それぞれのツールや代表的なサービス、料金目安は以下の通りです。自社の状況や、導入の目的、予算に合わせて、適したシステムやツールを選択しましょう。

• 横にスクロールします

※料金は2023年12月時点の公式ページの情報を元に記載しています。より詳しく知りたい方は各サービスまたは販売店の公式ページをご確認ください。

5-5.シャドーITの危険性について定期的に社内教育を行う

シャドーIT対策をいくら行っても、現場で働く従業員の情報セキュリティ意識が低いままでは、「つい」「自分は大丈夫」という意識からシャドーITが繰り返される可能性があります。

現場で働く従業員の情報セキュリティ意識を高め、会社の定めたルールを厳守してもらうためにも、シャドーITの危険性やリスク、情報セキュリティ事故が起きた場合の損害の大きさ等、定期的に社内へ周知することが重要です。

従業員の情報セキュリティ意識を向上させる方法には具体的に以下のようなものが挙げられます。

【社内の情報セキュリティ意識を高めるために行うこと】

• 定期的に情報セキュリティについての講習会を開く
• 他社で起こった情報セキュリティ事故の事例を社内に通達し、注意喚起を行う
• 定期的に社内アンケートを行いシャドーITの現状を調査し、改善を図る

情報セキュリティに関するルールやガイドラインを設定すると同時に、ルールやガイドラインの重要性や必要性を繰り返し伝え、社内全体の情報セキュリティ意識を高めていくことが大切です。

【無料】「NTT東日本がおすすめするクラウド導入を成功させるためのお役立ちマニュアル」はこちらからダウンロード！

6.シャドーITの代替案としてクラウド導入を行うならNTT東日本のクラウド導入・運用サービスにお任せください

シャドーITを解消、防止するためには、情報セキュリティが高く使いやすいITツールを導入する必要があります。上述した通り、シャドーITの代替案にはさまざまものがありますが、特に、クラウドサービスの導入は有用な一手と言えるでしょう。

しかし、クラウドサービスを検討している企業の中には、導入方法がわからない、自社に合うサービスがどれかわからない、運用に不安があるという方も多いかもしれません。

NTT東日本では、要件定義から設計、構築、導入、運用、保守までワンストップで支援する「クラウド導入・運用サービス」を展開しています。

「クラウド導入・運用サービス」の大きな特徴は以下の通りです。

• 現場で使いやすいクラウドをプロが提案できる
• 情報セキュリティ対策も含めて相談できる

それぞれについて詳しく紹介します。

6-1.現場で使いやすいクラウドをプロが提案できる

シャドーITの代替案としてクラウドに興味があるものの、種類が多すぎてどのサービスを選べばよいかわからない、自社にどのようなサービスが適しているか判断できない等の悩みを抱えている方は多いのではないでしょうか。

NTT東日本には、世界的にシェアが高いAmazon社の「AWS」、マイクロソフト社の「Azure」の認定を受ける有識者が多数在籍しています。実績、経験豊富なクラウドのプロが揃っているため、クラウド導入の目的や希望要件に合わせた最適な提案が可能です。

6-2.情報セキュリティ対策も含めて相談できる

情報セキュリティ面を重視したシャドーIT対策を行いたいという方もぜひ、NTT東日本へご相談ください。多彩なサービスラインナップが揃ったNTT東日本のクラウド導入・運用サービスなら、情報セキュリティ対策も含めたトータル提案が可能です。

【NTT東日本のクラウド導入・運用サービスだからできる情報セキュリティ対策】

• 情報セキュリティの高いクラウドサービス（AWS・Azure）の提案
• セキュアな閉域接続環境
• 自宅や外部からも安全にアクセスできるクラウドVDI

NTT東日本のクラウド導入・運用サービスについてさらに詳しく知りたい方はぜひお気軽にお問い合わせください。

【無料】「NTT東日本がおすすめするクラウド導入を成功させるためのお役立ちマニュアル」はこちらからダウンロード！

シャドーITについてまとめ

働き方の多様化や従業員ニーズの変化、利便性の高いITツールの普及等の影響から、シャドーITは増加しつつあります。シャドーITは、特定の企業だけで起きるものではなく、全ての企業で起こり得る問題です。

なにも対策をとらないまま、放置してしまうと、情報漏えいやアカウントの乗っ取り、社内LANへの侵入など、さまざまな情報セキュリティリスクに繋がる可能性があります。

シャドーITの解消・防止に役立つ対策にはさまざまなものがありますが、自社で発生しているシャドーITの現状を正確に把握し、適切なツールやサービスの導入・ガイドラインの設定・従業員教育などを行うことが重要です。

大きな情報セキュリティ事故が起きる前に、自社に適した対策をとり、シャドーITの解消や防止に努めましょう。

【無料】「NTT東日本がおすすめするクラウド導入を成功させるためのお役立ちマニュアル」はこちらからダウンロード！

本記事に記載されている会社名、サービス名、商品名は、各社の商標または登録商標です。