COLUMN

シャドーITはなぜ危険なの?リスク・有効な対策・注意点を徹底解説

「シャドーITって何ですか?」

「シャドーITってなぜ危険なのでしょうか?」

シャドーITとは、一言で言うと「従業員が無許可で持ち込んだITツール」のことです。

具体的には、企業側が許可していない、または把握できていないスマートフォンやパソコンなどのモバイルや、クラウドサービス、フリーWi-Fiなど外部のネットワークに業務用パソコンを接続して利用することなどが挙げられます。

シャドーITと聞いて、「うちの会社には無い」「あっても平気では?」と感じた方もいるかもしれません。

しかし、シャドーIT対策はすべての企業や団体で必ず行うべきです。

シャドーITは対策を行っていない半数以上の企業や団体で使われており、既にシャドーITが原因で数億円もの大きな損害を被った企業も出ています。

【シャドーITが原因で不正アクセスを受けた事例】

事例 内容
地方自治体での不正アクセス事例 規約に反してフリーメールを業務使用したところ、不正アクセスを受けて個人情報の流出が起こり、中には補助金申請書や金融機関の口座情報も含まれていた。
翻訳サイトでの情報流出事例

インターネット上で無料で使える翻訳サービスに入力した文章が誰でも見られる状態で保管されていた。

翻訳サイトを利用した官公庁や企業でのやり取りも見られるようになっており、人事や給与情報などの情報もあった。

大学病院での事例 大学病院の医師がルールに反して個人で利用していたクラウドストレージサービスのアカウントとパスワードが盗み取られ、クラウドに保存していた患者の個人情報が盗まれてしまった。

シャドーITに対して何も対策を行わないままでは、どの企業も上記の事例のような大きな損害を被る可能性があるのです。

そこで、この記事ではシャドーITについて詳しく解説します。

【この記事を読めばわかること】

  • シャドーITとは
  • シャドーITを放置するリスクと事例
  • シャドーITを防ぐ効果的な対策ステップ

この記事を読めば、シャドーITのリスクや対策ステップについて知ることで、シャドーITに対して正しい対策を行うことができるようになります。

シャドーITに対する正しい対策を行うことで、シャドーITによる大きな損害を防ぐだけでなく、業務をより効率化できるようになることにも繋がるのです。

ぜひ最後までお読みください。

1.シャドーITとは

シャドーITとは、簡単に言うと「従業員が企業に無許可で持ち込んだITツール」のことです。

これだけではシャドーITが具体的にどんなものかイメージし、理解するのは難しいのではないでしょうか?

そこで、この章ではシャドーITについて理解するために、以下のことを解説します。

【この章で解説すること】

  • シャドーITの具体的な例
  • シャドーITの現状
  • シャドーITとBYODの違い

それでは詳しくみていきましょう。

1-1.シャドーITの具体的な例

シャドーITとはどんなものかを理解するために、シャドーITの具体的な例を紹介していきます。

先ほど紹介したように、シャドーITとは「従業員が企業に無許可で持ち込んだITツール」のことです。

具体的には次のようなものがシャドーITとして挙げられます。

【シャドーITの具体的な例】

  • 利用が許可されていないチャットツールやフリーメールサービスの利用
  • 個人用パソコンやスマートフォンなどのモバイル端末の業務利用
  • 利用が許可されていないクラウドサービスを利用する
  • フリーWi-Fiなど外部のネットワークに接続して業務用パソコンを利用する

それぞれ詳しくみていきましょう。

1-1-1.利用が許可されていないチャットツールやフリーメールサービスの利用

シャドーITの具体的な例の1つめは、利用が許可されていないチャットツールやフリーメールサービスの利用です。

仕事をより効率的に進めるために、一部の部署内だけで無許可でチャットツールを利用し、業務連絡を行う、フリーメールサービスを利用して業務用のデータを送るなどの行為はシャドーITです。

企業側では情報セキュリティ対策を考えた上でチャットツールやメールサービスを導入していますが、それらが使いにくかった場合など、より使いやすいツールで業務をスムーズに進めるため、勝手に利用してしまうことがあるのです。

従業員の間でのコミュニケーションには、業務上の機密となる情報が含まれていることがあります。

情報セキュリティ対策が十分ではないチャットツールやフリーメールサービスを利用することで、それらの機密情報が流出してしまう可能性があるのです。

1-1-2.個人用パソコンやスマートフォンなどのモバイル端末の業務利用

シャドーITの具体的な例の2つめは、個人用パソコンやスマートフォンなどのモバイル端末の業務利用です。

終わらなかった仕事を自宅に持ち帰って進めるためにデータを持ち帰り、個人用のパソコンやスマートフォンに入れて進めることがあります。

また、企業として導入を許可しているチャットツールを、個人端末にインストールし業務利用することもシャドーITとなります。

会社側が業務用のパソコンやスマートフォンを支給していない場合、特に起こる可能性が高くなる事例です。

企業が持つデータや、業務上のやり取りには、社外に出してはいけない機密情報が含まれています。

会社のデータを個人用のパソコンやスマートフォンに入れて保存してしまうことや、個人端末で業務上のやり取りを行うことで、情報流出などのリスクが高くなってしまうのです。

1-1-3.利用が許可されていないクラウドサービスを利用する

シャドーITの具体的な例の3つめは、利用が許可されていないクラウドサービスを利用することです。

クラウドサービスはアカウントとパスワードを入力すれば、いつでも簡単に利用ができて便利なサービスです。

しかし、クラウドサービスの中には情報セキュリティ対策が十分なものと、あまり対策が行われていないものがあります。

例えば自宅にて従業員同士でデータをやり取りするためにクラウドストレージサービスにデータを入れることがありますが、この時情報セキュリティ対策が甘いものを便利だからと利用してしまうと、データ流出の恐れがあるのです。

その他、業務効率化のために翻訳ツールやタスク管理ツールなどさまざまなツールが提供されていますが、会社側に利用許可を得ていないものはすべてシャドーITとなってしまいます。

便利なクラウドサービスですが、セキュリティの強弱はまちまちですから、使いたいツールがあれば情報セキュリティ対策をチェックした上で会社側の許可を得て利用する必要があるのです。

1-1-4.フリーWi-Fiなど外部のネットワークに接続して業務用パソコンを利用する

シャドーITの具体的な例の4つめは、フリーWi-Fiなど外部のネットワークに接続し、業務用パソコンを利用することです。

社外で仕事を進める際に、ついフリーWi-Fiなど外部のネットワークに接続し、業務用パソコンを利用してしまうことがあります。

しかし、フリーWi-Fiは通信が暗号化されておらず、他社から閲覧したサイトや、入力情報、メールのやり取りなどを覗かれてしまう可能性があるのです。

業務用パソコンであっても、接続するネットワークのセキュリティが低い場合は、情報セキュリティ事故を起こし、情報を流出させてしまう可能性があります。

また、「なりすましアクセスポイント」といって悪意ある第三者が情報を抜き取るために正規のWi-Fiを装って偽装されたものもあるのです。

社外でネットワークに接続したい場合は、会社に許可を得たポケットWi-Fiを利用する、ファイル共有機能をオフにする、VPN機能を使うなどの対策が必要なのです。

1-2.シャドーITは7割以上の企業で行われている

シャドーITは多くの企業で行われており、調査では7割近い企業で行われている現状がわかりました。

トレンドマイクロ社が2020年に行った世界27か国、1万3,200人のテレワーカーを対象に行った聞き取り調査では、企業データを認可のないアプリ上にアップロードしていると答えた人は66%と、6割以上になることがわかりました。

こちらの調査で分かったシャドーITの現状は次の通りです

【シャドーITの現状】

  • 企業データを認可のないアプリ上にアップロードしている66%
  • 業務用デバイス上で使用許可のないアプリを使用している  56%
  • 「頻繁に」または「常に」個人用デバイスから企業データにアクセスしている 39%

このように、7割近い企業でシャドーITが行われているのが調査でわかった現状です。

またキヤノンMJが運営する「サイバーセキュリティ情報局」が行った調査によれば、個人所有の端末を業務に利用していると答えた人は37.6%、その中の36.8%は無許可で個人端末を利用していると答えています。

シャドーIT対策を行わなければ様々なセキュリティリスクが起こりますが、そのリスクは対策を行っていないほぼすべての企業が抱えていると行っても過言ではないのです。

参考:Survey reveals users take security training seriously, but may still engage in risky behaviour

テレワークの意識調査:安全のためにセキュリティ教育が重要なワケ

情報セキュリティ意識に関する実態調査レポート2021~コロナ禍で高まる「シャドーIT」の情報セキュリティリスク~

1-3.シャドーITとBYODの違い

シャドーITと似ているものにBYODがあります。

シャドーITとBYODの違いは次の通りです。

【シャドーITとBYODの違い】

  • 横にスクロールします

 

シャドーIT BYOD
どんなものか 従業員が無許可で利用するITツール 個人所有のデバイスを会社の許可を得て業務に利用する
会社側の許可 無許可 許可している
主導する人 従業員個人 企業側
利用されるツール
  • 個人所有のパソコンやスマートフォン
  • 無許可のチャットツールやメールサービス
  • 無許可のクラウドサービス
  • 無許可のネットワーク接続
  • 個人所有のスマートフォンやパソコン
利用ルール ない ある
セキュリティ対策 されていない 企業主体で行う
リスク 高い 低い

シャドーITは先ほどから何度か紹介しているように、「従業員が無許可で利用するITツール」のことです。

それに対してBYODは、「Bring Your Own Device」を略した言葉で、日本語にすると「自分のデバイスを持ち込む」です。

これは、個人の所有するパソコンやスマートフォンを会社の許可を得た上で業務に利用することを意味します。

シャドーITとの大きな違いは、「会社の許可を得ているかどうか」です。

シャドーITは従業員が会社に無許可で個人用のパソコンやスマートフォンを業務に使うのに対して、BYODは事前に会社に申請し許可を受けた上で個人用のパソコンやスマートフォンを使います。

会社側が誰のどんな端末を業務に使用しているかということを把握した上で、業務に利用しているため、セキュリティリスクがシャドーITと違って低くなります。

また業務に利用する際のルール設定などを行うことも可能です。

個人所有の使い慣れたパソコンやスマートフォンを使うことで業務を効率化したい場合は、シャドーITではなくBYODにすることで情報セキュリティ対策を行うことが大切なのです。

2.実際に情報セキュリティ事件も起きている!シャドーITを放置するリスクと事例

シャドーITとはどんなものか理解できましたが、そのままにしていてはどんなリスクがあるのでしょうか?

シャドーITを放置してしまうと起こりうるリスクは次の通りです。

それぞれすでに情報セキュリティ事故も起きており、大きな損害が出てしまっているのです。

事例と共に詳しくみていきましょう。

2-1.情報漏えいが起こる可能性がある

シャドーITを放置した時に起こりうるリスクの1つめは、「情報漏えいが起こる可能性がある」です。

シャドーITは、企業側が管理していないITツールを使って業務を行ってしまっている状態です。

そのため企業として情報セキュリティ管理を行うことができず、対策が甘くなってしまうことがあるのです。

一例として、クラウドサービスをみてみましょう。クラウドサービスは便利なものですが、セキュリティの強弱は利用するサービスによって異なります。

法人向けクラウドサービスは有料な分、セキュリティが高いものが多いのですが、個人向けの無料クラウドサービスの中には情報セキュリティ対策が甘いものも混在しています。

例えば業務上必要なデータを個人向けのクラウドサービスに入れて、自宅で仕事を進めようとした場合、セキュリティが脆弱なクラウドサービスが悪意のある第三者によって攻撃され、企業の大切な情報が流出してしまうことがあるのです。

その他、企業として許可していないフリーWi-Fiを使って業務データをやり取りした情報が第三者に見られてしまう、情報セキュリティソフトが入っていない個人用パソコンに第三者が侵入し、保存してあった業務データが流出してしまうといった可能性もあります。

【シャドーITが原因で情報が流出してしまった例】

翻訳サービスに入力した文章が、他のユーザーからも見られる状態で保存してあったと情報処理推進機構が注意喚起を行いました。

インターネット上で無料で使える翻訳サイトに入力した原文と訳文が誰でも閲覧可能な状態になっており、実際にこの翻訳サイトを利用した官公庁や企業でのやり取りも見られるようになっていたというものです。

流出した情報の中には人事や給与情報なども含まれており、大きな問題となりました。

無料で利用できるサービスは便利で手軽ですが、セキュリティ面で不安があることがわかった事例です。

2-2.アカウントが乗っ取られる可能性がある

シャドーITを放置した時に起こりうるリスクの2つめは、アカウントが乗っ取られる可能性があることです。

シャドーITでは情報セキュリティ対策が甘く、IDやパスワードが漏れてしまう可能性があります。

例えば無許可で個人用クラウドストレージサービスに業務情報を入れて、会社のパソコンと自宅の個人用パソコンで共有していた場合に、セキュリティの甘い個人用パソコンに侵入され、IDやパスワードが漏れてしまう事があるのです。

IDとパスワードが漏れてしまうと、アカウントが乗っ取られ、クラウドストレージサービスに入れてあった業務情報がすべて相手の手に渡ってしまうことになります。

企業が許可している法人向けクラウドストレージサービスであっても、フリーWi-Fiを使ってアクセスすることで、IDとパスワードが漏れてしまえば、同じようにアカウントが乗っ取られ、大きな被害を被ることもあり得ます。

IDとパスワードが漏れてしまえば機密情報まで流出する可能性もありますから、特に注意が必要なのです。

【シャドーITが原因でアカウントが乗っ取られてしまった例】

大学病院の医師が個人で利用していたクラウドストレージサービスのアカウントとパスワードが盗み取られ、クラウドに保存していた患者の個人情報が盗まれる事件が起こりました。

この事例では、医師が大学側の規定に反して個人用のクラウドサービスに患者情報を保存する「シャドーIT」を行っていたことが大きな原因です。

フィッシング詐欺によってこのクラウドサービスのIDとパスワードを盗まれてしまったことで、アカウントが乗っ取られ、攻撃した相手にクラウドに入れた個人情報を利用される状態となってしまったのです。

攻撃相手にパスワードを変更されたことで、医師自身はクラウドサービスにアクセスできない状態となってしまいました。

情報の流出や悪用、電子カルテなど医療情報システムへの不正アクセスは起きなかったものの、より大きな損害に繋がる可能性があったことから、注意が必要な事例です。

2-3.LANへ侵入される可能性がある

シャドーITを放置した時に起こりうるリスクの3つめは、LANへ侵入される可能性があることです。

個人用のパソコンやスマートフォンは業務用に企業が用意しているデバイスと比べてセキュリティが甘く、マルウェア(悪意のあるソフトウェア)への感染の可能性が高くなってしまいます。

セキュリティの甘い個人用デバイスがマルウェアに感染し、感染していることを知らないまま業務利用することで、社内LANにマルウェアが感染し、社内に爆発的に広がってしまうことがあるのです。

社内LANにマルウェアが感染してしまうと、社内のデータに不正アクセスされ、大切な機密情報まで抜き取られたり、データをロックして使えない状態にされてしまうこともあります。

シャドーITが入口となり、社内LANへの侵入を許してしまうことを防ぐことが必要なのです。

【シャドーITが原因で不正アクセスを受けた例】

ある地方自治体がフリーメールアカウントの不正アクセスを受けた結果、個人情報が流出した可能性があると発表しました。

この自治体では、規約に反して一部の職員がフリーメールを業務使用していました。

このメールアカウントが不正アクセスを受けた結果、中国や台湾・米国など複数のアクセスポイントから、確認できるだけでも15回の不正アクセスが行われていたことがわかったのです。

その結果、個人情報の流出が起こり、中には補助金申請書や金融機関の口座情報も含まれていました。

シャドーITによる不正アクセスと、それによる情報流出の被害が大きいことがわかる事例です。

3.シャドーIT対策はどんな企業でも必ず行うべき!

シャドーIT対策は、どんな企業でも必ず行うべきです。

なぜなら、シャドーITに対して対策を行っていないすべての企業は、従業員がシャドーITを行う可能性があり、行ってしまったシャドーITによって大きなセキュリティリスクを抱えることになるからです。

シャドーITに対して対策を行っている企業はまだまだ少ないというのも現状です。

2021年4月7日に情報処理推進機構(IPA)セキュリティセンターが公表した調査によれば、テレワークの為、「会社が許可していないアプリケーション・ソフトウェア・クラウドサービスの業務利用」を一時的にやむを得ず認めて、そのまま使い続けている、と回答した企業が中小企業の2割以上あることがわかりました。

【会社が許可してないアプリケーション・ソフトウェア・クラウドサービスの業務利用】

出典:「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」

シャドーITは対策をしていない多くの企業で行われているという調査もあります。

1-2.シャドーITは7割以上の企業で行われている」で紹介したように、トレンドマイクロ社が行った調査では66%と7割近い人が業務データを認可のないアプリ上にアップロードしているという調査結果もあり、シャドーITは決して無視できる状況ではありません。

このままシャドーITに対して何の対策もとらないままでは、シャドーによるセキュリティリスクを抱えたままになってしまいます。

セキュリティリスクを少なくするためにも、シャドーIT対策は必ず行うべきなのです。

3-1.まずはシャドーITの現状把握を行うことが大切

シャドーITの対策を行うかどうかを判断するには、まずは自社でシャドーITがどれくらい行われているのか、どのようなものが行われているのかという現状把握を行うことが大切です。

シャドーITの対策を全く行っていない状態では、シャドーITが行われている可能性が多くあります。

「うちの会社は情報セキュリティやテレワークに関するルールを制定しているから大丈夫」

と思う企業担当者もいるかもしれませんが、それは間違いです。

2.実際に情報セキュリティ事件も起きている!シャドーITを放置するリスクと事例」で紹介した事例でも、社内ルールなどで禁止されているのにフリーメールサービスやクラウドサービスを利用してしまっている、ルール違反を行うことで、セキュリティ事故を起こしています

ルールをきちんと遵守し、シャドーITが行われていないのか、それともルールに反してシャドーITが行われてしまっているのかを把握していなくては、効果的な対策をとることはできません。

しかし、現状ではシャドーITについて調査や管理を行っていない企業も多く、先ほど紹介した情報処理推進機構(IPA)セキュリティセンターが公表した調査でも、テレワークに関する社内規定・規則・手順の遵守確認を実施していないと答えた企業が半数以上となっています。

【テレワークに関する社内規定・規則・手順等が守られていることの確認状況】

出典:「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」

いくらルールや手順が決められていても、それが守られていなければ意味はありません。

現状把握だけであれば、社内や関連企業への聞き取り調査を行うことで調べることができますから、コストはほとんどかかりません。

まずは自社が制定したルールがどれくらい守られており、シャドーITがどれくらい行われているかを調査することから始めてみましょう。

3-2.情報セキュリティ事故の損害はシャドーIT対策にかかるコストより大きい

シャドーIT対策にかかるコストよりも実際に情報セキュリティ事故が起きた場合の損害の方がかなり大きくなることもあります。

例えば令和2年度版情報通信白書によれば、情報セキュリティ事故による経済的損失は日本では1社あたり数億円の損失が生じるものと算出されているのです。

【サイバーセキュリティに関する問題が引き起こす経済的損失】

出典:令和2年 情報通信白書のポイント

トレンドマイクロが2019年に民間企業、官公庁及び自治体を対象に実施した調査でも、調査対象となった組織全体での年間平均被害総額は約2.4億円となっており、4年連続で2億円を超えるなど、大きな被害が生まれているのです。

【セキュリティインシデントによる年間平均被害総額】

出典:令和2年 情報通信白書のポイント

このような大きな損害を生まないために、企業としてはさまざまな情報セキュリティ対策を行っています。

しかし、シャドーITを放置してしまうと、せっかく行っているはずの情報セキュリティ対策に穴が開いてしまうのです。

その穴から、悪意のある第三者が侵入したり、情報を盗み取ることで、数億円という甚大な被害が生まれてしまう可能性があります。

シャドーIT対策には社員教育などのコストがかかります。

しかし、いくらコストがかかったとしても、数億円という大規模な物にはなりません。

このように大きな被害を出してしまうことを防ぐためにも、シャドーIT対策は必ず行うべきなのです。

4.シャドーITを防ぐ効果的な対策ステップ

シャドーIT対策は必ず行うべきであることがわかりましたが、それでは具体的にはどのように対策を行っていけばいいのでしょうか?

シャドーITを防ぐための対策は、次の5つのステップで進めていきましょう。

それぞれ詳しく見ていきましょう。

4-1.社内のシャドーITの現状を把握する

シャドーITを防ぐために最初に行うのは、社内のシャドーITの現状を把握することです。

現在社内でシャドーITが行われているか、行われている場合はどのようなITツールが利用されているのか、現状を把握していきましょう。

ここで注意したいのは、従業員は情報セキュリティ事故を起こそうとしてシャドーITを行っているのではなく、仕事を効率的に行うために便利なツールや方法を探した結果、シャドーITを行ってしまっているということです。

現在、企業側が提供しているIT環境では、仕事がやりにくい、非効率で使いにくいままでは、シャドーITを完全に無くすことはできないのです。

そこでシャドーITの現状を把握するために社内調査を行う場合は、シャドーITをしているか、していないかだけでなく、なぜシャドーITを使っているのかという理由についても聞き取ります。

なぜシャドーITを使っているのか、使ってしまっているのかという理由の中には、現在の会社のIT環境では効率的ではないポイントが潜んでいます。

この効率的でないポイントを見つけて、解消することで、次からシャドーITをする必要がなくなり防止できるだけでなく、より仕事を効率的にし、生産性を向上させることにもつながるのです。

また、シャドーITを行っていない場合でも、今後のシャドーITを防止するため、現在の社内のIT環境について使いにくさはないか、より仕事を効率的にするにはどのようなITツールや環境整備が必要かについても聞き取りましょう。

【シャドーITについて調査する時に聞き取りたいポイント】

  • 個人用デバイスを業務で使用しているか、どんな時に利用しているか、利用する理由
  • テレワークのためにデータを持ち出す必要はあるか、その方法は何を利用しているか
  • 会社として許可している以外のITツールを利用しているかどうか、利用している場合はその理由
  • 現在の社内IT環境について不便だと感じる点
  • 社用デバイスを外部へ持ち出す頻度
  • 社用デバイスを外部で利用する時のネットワーク接続
  • 社内のシステムで欲しいと思う機能・ITツール
  • 作業を効率化するために必要だと思う機能・ITツール

4-2.シャドーITの代替案を選定・導入する

シャドーITの現状や、現在のIT環境の足りない点がわかったら、シャドーITの代替案となるITツールを選定し、導入します。

導入するツールは、現在シャドーITが行われている、またはIT環境に対して不便だと従業員が感じているポイントに合わせて選びましょう。

【シャドーITの代替案】

  • 横にスクロールします
シャドーITや不満点 おすすめの代替案 費用の目安
テレワーク等のためにデータを社外で利用したい
  • セキュリティの高いクラウドストレージサービスを導入する
月額2,750円~(100GB / 5ID)
外でデータをやり取りするため個人スマートフォンを利用
  • 業務用スマートフォンを従業員に配布する
  • 個人スマートフォンをBYODとして登録しルールを決める
一台1,310円~
社内で利用するメールでは容量の大きいデータが送れず、フリーメールを利用している
  • セキュリティの高いクラウドストレージサービスを導入してデータをやり取りする
月額2,750円~(100GB / 5ID)
社内で利用するメールでは顧客に一斉メールが送れずフリーメールを利用している
  • AWSやAzureなどのセキュリティが高いクラウドサービスにあるメール機能を利用する
無料~(0〜62,000 件まで)
社外で社用パソコンを使う際フリーWi-Fiを接続している
  • セキュリティの高い法人向けポケットWi-Fiを配布する
月額3,573円

※クラウドのご利用にはインターネット接続環境が必要です。

※費用は目安で利用するサービスによって異なります。

参考:コワークストレージ

マイネオ

WiMAX

AWS Amazon SES 料金

シャドーITの代替案を選定する時は、「セキュリティの高さ」と「使いやすさ」の2つを重視して選ぶことが大切です。

いくらセキュリティが高くても、使いにくいITツールを導入してしまえば、従業員は仕事がやりにくいと感じてしまい、またシャドーITが生まれてしまいます。

操作が簡単で、使いやすい法人向けクラウドサービス等を選ぶことで、現場の不満が解消され、シャドーITを防ぐことができるのです。

シャドーITの代替案を導入することは、シャドーITを解消・防止するだけでなく、仕事を効率化することに繋がります。

なぜなら、シャドーITは現在のIT環境に足りないところがあり、仕事をよりやりやすくするために行われてしまうものだからです。

シャドーITの代替案を導入し、今まで仕事がやりにくい、不便だった部分を解消すれば、仕事がより効率的になり、生産性向上にも繋がっていくのです。

代替案導入にはコストがかかりますが、シャドーITによる損害を防ぐだけでなく、生産性を向上し、企業の利益を上げることに繋がりますから、ぜひ自社に合ったものを導入していきましょう。

4-3.シャドーIT対策を含むガイドラインを制定する

シャドーIT対策のステップ3つめは、「シャドーIT対策を含むガイドラインを制定する」ことです。

個人所有のデバイスや個人向けシステムを業務に使いたい場合の申請方法や、使う時のルール、新しく利用したいITツールがある場合の申請方法など、シャドーITに関するルールを決めておきます。

きちんとガイドラインを制定し、システム担当者に申請や問い合わせを行ってもらう仕組みを作ることで、「無許可で隠れて使う」シャドーITではなく、システム担当者が管理できる形へ変えていくのです。

ガイドライン制定には、総務省が作成した「テレワークセキュリティガイドライン」などが参考になりますから、ぜひ目を通した上で自社に合ったガイドラインを制定していきましょう

【シャドーIT対策を含むガイドライン制定に参考となるサイト】

4-4.シャドーITを制御できるシステムを導入する

シャドーIT対策のステップ4つめは、シャドーITを制御できるシステムを導入することです。

社用のパソコンで有害サイトにアクセスすることを防ぐフィルタリングソフトや、クラウドサービスへのアクセス制御が行えるCASB(Cloud Application Security Broker)など、現在ではさまざまなシステムが提供されています。

BYODを行う場合には、業務に使う個人用スマートフォンに入れてセキュリティ制限を行うことができるMDM(モバイル管理)ツールなどもあります。

自社の状況や予算に応じて適したシステムを選びましょう。

シャドーIT制御のために利用できるシステム】

システム名 目的 費用の目安
フィルタリングソフト データベースにある有害サイト(フィッシングサイト等)へのアクセスを防ぐ クラウド型の場合月額料金500円~
CASB 会社で利用するクラウドサービスの利用状況を監視・管理・アクセス権の制定を行う 1ユーザーあたり年間2万2000円
MDM BYODや社用スマートフォンのセキュリティ管理を行う 1台165円~

※クラウドのご利用にはインターネット接続環境が必要です。

※費用は目安で利用するサービスによって異なります。

参考:i-FILTER ブラウザー&クラウド 価格・ライセンス体系

NECソリューションイノベータ、CASBサービス「Netskope」のライセンスや導入支援を提供

mobiconnect

4-5.シャドーITの危険性について定期的に社内教育を行う

シャドーIT対策のステップ5つめは、シャドーITの危険性を含めたセキュリティ教育を行うことです。

シャドーIT対策の中で大切なのは、従業員のセキュリティ意識を高め、ルールをきちんと守ってもらうことです。

なぜならシャドーITは、悪意があって行うというものではなく、従業員が自分の仕事を効率的に、便利に進めるために行われてしまうものだからです。

例えば「2-2.アカウントが乗っ取られる可能性がある」「2-3.LANへ侵入される可能性がある」で紹介したシャドーITの事例では、どちらもルール上では禁止されているはずの個人用クラウドサービスやフリーメールサービスを業務で使うために無許可で利用したことで、情報セキュリティ事故が起きています。

【シャドーITを行った事例】

  • 横にスクロールします

 

大学病院の事例 地方自治体の事例
使われたITツール 個人向けクラウドストレージサービス フリーメールサービス
使った目的 患者情報を入れて事務作業する スキャナーで取り込んだ文章やデータを送る
セキュリティルール あり あり
起こった事故 患者情報が漏えい 個人情報が流出

どちらのケースも行ってしまった医師や自治体職員には悪意はなく、ただ仕事をやりやすくしたいと思ってサービスを利用しています。

しかし、その結果として大きな情報セキュリティ事故が起きているのです。

これを防ぐには、情報セキュリティルールを定めるだけでは不十分です。

ルールをきちんと守ってもらうためには、現場で働く従業員にルールの重要性や必要性を理解してもらい、セキュリティ意識を持ってもらうことが大切となります。

シャドーIT対策をいくら行ったとしても、現場で働く従業員の意識が低いままでは、「つい」「大丈夫だと思って」再度シャドーITが行われてしまいます。

それを防ぐためには、シャドーITがどのように危険なのか、もし情報セキュリティ事故が起きた場合にどれほど大きな損害がでるのかという啓蒙活動が必要なのです。

社内でセキュリティの大切さやシャドーITについての講習会を開く、他社で情報セキュリティ事故が起きた場合は社内に告知し、同様の事例を起こさないよう注意喚起を行うなど、定期的に社内のセキュリティ意識を高める活動を行っていきましょう。

【社内のセキュリティ意識を高めるために行うこと】

  • 定期的なセキュリティについての講習会を開く
  • 他社で起こった情報セキュリティ事故の事例を社内で通達し注意喚起を行う
  • 定期的に社内アンケートを行いシャドーITの現状を調査し、改善を行う

5.シャドーITの代替案としてクラウド導入を行うならNTT東日本のクラウド導入・運用サービスにお任せください!

シャドーITの代替案としてクラウドサービス導入を検討するなら、NTT東日本のクラウド導入・運用

サービスにぜひお任せください!

4-2.シャドーITの代替案を導入する」で紹介したように、シャドーITを解消し、今後も防止するには、「セキュリティが高く使いやすい」ITツールを導入することが必要です。

代替案のひとつとしておすすめできるのが、セキュリティが高く使いやすさにも定評があるクラウドサービスです。

クラウドサービスは様々なベンダーが提供していますが、セキュリティの高さやサービスの豊富さ、使いやすさで世界でも多くの企業が選んでいるのが、AWSとAzureです。

AWSとAzureは世界シェア1位と2位で、多くの企業が選んでいるだけあり、多彩なサービスと高いセキュリティを誇ります。

しかし、クラウド導入が始めての企業では、数多くあるAWSやAzureのどのクラウドサービスを選べばいいのか、どのようにクラウドを導入すればいいのかわからず、戸惑ってしまうこともあるのです。

そんな時、クラウド導入を徹底サポートし、スムーズに導入を行えるよう支援するのがNTT東日本のクラウド導入・運用サービスなのです。

5-1.現場で使いやすいクラウドをプロが提案できる

「クラウドはシャドーITの代替案として良さそうだけど、種類がありすぎてどれを選べばいいのかわからない」

そんなお悩みをお持ちの場合にも、NTT東日本のクラウド導入・運用サービスは役立ちます。

NTT東日本には、AWS・Azureの有資格者がおり、お客様の会社にはどのようなクラウドサービスが適しているのか、要件に合わせたご提案をさせていただきます。

ご都合に合わせて、オンラインまたはオフラインで実施でき、無料でご相談が可能です。

クラウドだけでなく、オンプレミスとも比較した上で、お客様に最も適したサービスをご提案できます。

5-2.セキュリティ対策も含めて相談できる

シャドーIT対策としてセキュリティ面の高さを重視する方にも、NTT東日本のクラウド導入・運用サービスは役立ちます。

NTT東日本のクラウド導入・運用サービスなら、セキュアな閉域接続環境や、自宅や外部での安全なアクセスを行うことができるクラウドVDIなど、NTT東日本の多彩なサービスと組み合わせて、情報セキュリティ対策も含めたご提案をさせていただくことが可能です。

【NTT東日本のクラウド導入・運用サービスだからできる情報セキュリティ対策】

  • セキュリティの高いクラウドサービス(AWS・Azure)のご提案
  • セキュアな閉域接続環境
  • 自宅でのテレワークもセキュリティを確保できるクラウドVDI

クラウド導入だけでなく、情報セキュリティ対策も含めてご相談いただけるNTT東日本のクラウド導入・運用サービスについてさらに詳しく知りたい方はぜひお問い合わせください。

クラウド導入・運用サービスの詳細はこちら

  • Amazon Web Services(AWS)は、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。
  • Microsoft Azureは、Microsoft Corporationの米国及びその他の国における登録商標または商標です。

6.まとめ

シャドーITについてご紹介しました。

シャドーITとは、一言で言うと「従業員が無許可で持ち込んだITツール」のことです。

具体的には、次のようなものがシャドーITとして行われています。

【シャドーITの具体的な例】

  • 情報漏えいが起こる可能性がある
  • 利用が許可されていないチャットツールやフリーメールサービスの利用
  • 個人用パソコンやスマートフォンなどのモバイル端末の業務利用
  • 利用が許可されていないクラウドサービスを利用する
  • フリーWi-Fiなど外部のネットワークに接続して業務用パソコンを利用する

現状では、多くの企業でシャドーITが行われているという調査結果もあります。

【シャドーITの現状】

  • 企業データを認可のないアプリ上にアップロードしている 66%
  • 業務用デバイス上で使用許可のないアプリを使用している  56%
  • 「頻繁に」または「常に」個人用デバイスから企業データにアクセスしている 39%

このようなシャドーITをそのまま放置してしまうと、様々なリスクが生じます。

シャドーITを放置するリスクは次の通りです。

【シャドーITを放置するリスク】

  • 情報漏えいが起こる可能性がある
  • LANへ侵入される可能性がある

このようなリスクを防ぐためにも、シャドーIT対策は必ず行うことをおすすめします。

この記事を参考に、シャドーIT対策を行い、情報セキュリティ事故を防ぎつつ、働きやすく効率的なIT環境を整備してください。

シャドーITの代替案として、セキュリティの高いクラウドサービスを検討したいなど、
クラウド導入に興味がある方はお気軽に無料のオンライン相談窓口へご連絡ください。

ページ上部へ戻る

無料ダウンロード

自社のクラウド導入に必要な知識、ポイントを
このに総まとめ!

あなたはクラウド化の
何の情報を知りたいですか?

  • そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
  • 【AWS・Azure・Google Cloud】
    どれが自社に最もマッチするの?
  • 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
  • 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?

初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。

NTT東日本では
そんなあなたにクラウド導入に必要な情報を

1冊の冊子にまとめました!

クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・

  • システムインフラの維持にかかるトータルコストがあまり変わらない。。
  • 情シス担当者の負担が減らない。。
  • セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
  • そもそも”クラウド化”とは?
    その本質的なメリット・デメリット
  • 自社にとって
    最適なクラウド環境構築のポイント
  • コストを抑えるため
    具体的なコツ
  • 既存環境からスムーズにクラウド化
    実現するためのロードマップ

など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。

クラウドのわからない・
面倒でお困りのあなたへ

クラウドのご相談できます!
無料オンライン相談窓口

NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!

NTT東日本が選ばれる5つの理由

  • クラウド導入を
    0からワンストップでサポート可能!
  • 全体最適におけるコスト効率・業務効率の改善
    中立的にご提案
  • クラウド環境に問題がないか、
    第3者目線でチェック
    してもらいたい
  • 安心の24時間・365日の対応・保守
  • NTT東日本が保有する豊富なサービスの組み合わせで
    ”課題解決”と”コスト軽減”を両立

特に以下に当てはまる方はお気軽に
ご相談ください。

  • さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
  • オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
  • オンプレミスとクラウド移行した際のコスト比較を行いたい
  • AWSとAzure、どちらのクラウドが自社に適切かわからない
  • クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
  • クラウド利用中、ネットワークの速度が遅くて業務に支障がでている

クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。

相談無料!プロが中立的にアドバイスいたします

クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。