シャドーITは企業にとってのセキュリティリスクです。スマホやタブレットなどのデバイスが普及したことや、テレワークによる社外での業務が増えたことにより、シャドーITへの対応に追われているシステム管理者も多いのではないでしょうか。本コラムでは、シャドーITとはなんなのか、利用されやすいデバイスやサービスを確認しながら、シャドーITによるセキュリティリスクとその対策について解説します。

シャドーITとは

シャドーITとは、企業が使用許可をしていない、あるいは従業員が利用していることを企業側が把握できていないデバイスや外部サービスのことを指します。つまり、管理対象外のデバイスやサービスのことです。

業務に使用するデバイスやサービスは、基本的にシステム管理者の管理下に置かなければなりません。なぜなら、シャドーITが企業全体のセキュリティ面に重大な影響を及ぼす可能性があるからです。

シャドーITとBYODの違い

シャドーITについて調べると、「BYOD」という用語がでてきます。シャドーITとBYOD（Bring Your Own Device）の違いは、業務で使用する個人のデバイスやサービスについて、企業が承認しているか否かです。簡単にまとめると以下のようになります。

• シャドーIT：企業が承認していないデバイスやサービス
• BYOD：企業が承認している個人のデバイスやサービス

シャドーITをなくすには、BYODを意識して管理しなければならないということです。

シャドーITが生まれる背景

シャドーITが生まれるのは、従業員が業務上で許可されているデバイスやサービスに不便を感じているからです。

パソコンやスマホ、タブレットなどの便利な機器が個人に普及し、かつ手軽で便利な無料のサービスも増えたことにより、個人が使いやすいデバイスやサービスを選べるようになりました。さらに、近年ではテレワークを導入する企業も増えたため、社外で業務を進めることも多くなり、より便利で効率的な「仕事のスタイル」を個人が追求しているのです。

例えば、業務にはファイル共有が必須ですが、そのための効率的な手段を企業側が整えていないと、シャドーITを利用して効率化をする動きがでてきます。つまり、従業員が業務に利便性と効率化を求めた結果がシャドーITを生む原因になっているのです。

特にファイル共有方法については、個人が無料で利用できるクラウドストレージも多く提供されているため、「とりあえず一時的に利用」したサービスをその後も使い続けてしまい、シャドーITになってしまう傾向もあります。そのため、効率的にファイル共有ができる環境を、企業があらかじめ用意することが重要です。

企業で利用するファイルの共有方法については、「在宅勤務に必要なIT環境と便利なファイル共有方法」で詳しく解説していますので、合わせてご覧ください。

シャドーITとして利用されやすいもの

それでは、シャドーITとして利用されやすいものを把握していきましょう。基本的には、普段利用するスマホやタブレット、無料のサービスが挙げられます。

私物のデバイス

企業側から仕事用のデバイスを支給していない場合、従業員が普段使うスマホやタブレット、自宅のパソコンなどがシャドーITの対象となりやすいものです。個人のデバイス管理は難しいため、あらかじめ企業からデバイスを支給するなどの対処が必要です。

チャットツール

個人で利用するチャットツールを、簡単な業務連絡に使うパターンも考えられます。特に、広く普及しているLINEなどのSNSツールは手軽に使えますので「ちょっとした連絡」に利用されやすいのです。管理者としては、個人のSNSを監視することはできませんので、法人が利用できるチャットツールなどの導入を検討しなければなりません。

フリーメール

フリーメールも、個人が無料で手軽に使えるツールで、GmailやYahoo!メールなどがシャドーITとして使われるケースがあります。アカウントが簡単に取得できますし、スマホなどのアプリも充実していて使い勝手がよいためです。

クラウドストレージ

クラウドストレージは、個人でも無料で利用できます。代表的なサービスにはDropboxやBoxなどがありますが、これらクラウドストレージもシャドーITとして利用されがちです。ちょっとしたファイルのやり取りには便利ですし、やはりスマホやタブレットなどのアプリも充実しているため使い勝手がよいのです。

例えば、テレワークで業務を進めているときに、急遽ファイル共有が必要になった場合です。あらかじめ決められたファイル共有方法がなければ「どうやってファイルを共有するか」を従業員が各自判断しなくてはなりません。このとき、より効率的で手軽に使える無料のクラウドストレージが選択されやすいのです。

シャドーITによるセキュリティリスク

それでは、シャドーITがどのような脅威となるのか、セキュリティリスクについてみていきましょう。

情報漏えい

シャドーITによるリスクでまず挙げられるのが、情報漏えいです。

例えば、チャットツールなどは、サービス提供事業者のサーバーへ内容が保存されていることがほとんどです。事業者のサーバーがハッキング被害などのサイバー攻撃を受けた場合、情報漏えいにつながる可能性があります。また、個人のチャットツールにはプライベートの知人など、企業からみれば部外者の連絡先が多数登録されているでしょう。万が一、個人が社外秘の内容を部外者に誤送信してしまった場合も重大な情報漏えいになります。

特に、シャドーITとしてクラウドストレージなどのファイルサーバーが利用されていた場合です。クラウドストレージには重要な情報を記載した多数のファイルが保存できるため、クラウドストレージのデータが漏えいすると大きなリスクになります。

このように、「ビジネス用途に適さない」と判断されるサービスを利用すると、情報漏えいリスクにつながる恐れがあるのです。

アカウントの乗っ取り

シャドーITに利用しているチャットやクラウドストレージなどのサービスのアカウントを乗っ取られることも想定されます。アカウントを乗っ取られると、情報を盗まれたり、連絡先に登録されている取引先などの各所に迷惑をかけたりすることもあるでしょう。このような事態は企業の信用に大きく関わることです。企業の管理下にないデバイスやサービスは、アカウントが乗っ取られたときに迅速な対処ができないというリスクがあります。

LANへの侵入

管理外のデバイス（私物）を企業内の無線LANなどに接続した際、ネットワーク全体が脅威にさらされる可能性があります。

例えば、私物のパソコンがマルウェアなどに感染していることを知らずに社内LANへ接続した場合、社内のネットワークに感染し、その後ネットワークに接続されている機器にも被害が広がります。これにより、データが盗まれたり破壊されたりといった被害も起こり得るのです。

シャドーITへの対策

それでは、シャドーITをなくすための対策をみていきましょう。

シャドーITを使わなくてもよい環境を作る

社内勤務やテレワークに関わらず、業務で利用するITデバイスやサービスについて、使いやすく効率的な環境を作ることが大切です。

例えば、チャットツールが使いやすいならば、業務利用を想定しているチャットサービスを用意したり、ファイル共有が必要な場合はビジネスプランのあるクラウドストレージを用意したりと、従業員が利便性を感じられる環境を作らなければなりません。

ガイドラインを設ける

業務環境を整えた上で、私物や無料サービスの業務利用に対するガイドラインを作ることも有効です。

どうしても私物のデバイスやサービスを利用しなければならない場合などは、システム管理者の許可を得ることを義務付けるワークフローを作成するとよいでしょう。

これにより、シャドーITを防ぎBYODを意識した管理が可能になります。

ツール利用の禁止・許可に対して柔軟に対応する

すべての私物、あるいはサービスを禁止するのではなく、従業員が利用しやすいもの（操作性やスマホアプリ対応サービスなど）を考慮して、従業員が使いたいものと企業が管理できるものの間で折衷案などを提示することも大切です。

つまり、要望に対しては柔軟に対応できる管理体制を整えることが解決への道だといえます。

アクセス監視を行う

デバイスやツールの利用に対して柔軟に対応するためにも、アクセス監視などの体制を整えておくことも必要です。

例えば、ファイル共有を行うならば、ビジネス用途を目的としたサービスを採用して、アクセス権限やログ管理のできるものを利用してもらうことで、ファイルがどのように扱われているかを把握できます。

シャドーITの危険性を教育する

シャドーITの危険性に関しては、企業全体に周知して教育を行いましょう。

シャドーITがなぜ危険なのか、企業にどのような損害を招くのかを、従業員をはじめ企業全体で意識できるようにしておくことが重要です。

まとめ

シャドーITは、企業にとってのセキュリティリスクになります。システム管理者が感知できない場所での情報漏えいやアカウントの乗っ取りなどが起きた場合には対処が困難です。特に、ファイル共有方法については情報漏えい時のリスクが高いため、業務利用を前提に提供されているクラウドストレージを企業として用意しておくことが大切です。業務利用を想定したクラウドストレージサービスとして、NTT東日本では「コワークストレージ」を提供しております。

テレワークなど社外での業務が増える中、シャドーITの存在をなくすためにも従業員が使いやすいデバイスやツールの業務インフラを整えましょう。