現代では誰もが簡単にデバイスやITサービスを利用できるようになりました。しかしそれに伴って、職場において従業員が独断で自分のデバイスを使ったり、クラウドサービスを勝手に導入したりする「シャドーIT」も増えています。
ここでは、シャドーITとは何か、そのリスクや対策についてわかりやすく説明します。
シャドーITとは?
そもそもシャドーITとは何でしょうか。まずはシャドーITの意味や、なぜこの問題が現在急増しているのか、そしてBYODとの違いについても解説します。
シャドーITとは社員が利用しているITサービスを企業が把握していないこと
シャドーITとは、企業によって管理・把握されずに業務で利用されているアプリケーション、ハードウェア、ソフトウェアのことを指します。逆に、企業が利用許可したIT機器は、サンクションITと呼ばれます。
企業内では業務遂行のために多くのデバイスやクラウドサービスなどが使われていますが、その全てをIT部門が把握しているとは限りません。社員としては、自分の仕事が効率的になるのであれば、どんどん新しいサービスやデバイスを利用したいものです。そして現在のICT社会は、そうした行為を容易に実現できる環境でもあります。
実際、最新のスマホ・タブレット・PC、あるいはRPAなどのSaaSアプリケーションの利用は、社員のタスクを効率化したり、同僚とコミュニケーションを簡単に取れるようにしたりする効果はあるかもしれません。しかし、企業の管理下で運用されていないそれらのデバイス・サービスの活用は、下記で詳述するように企業にとってさまざまなデメリットをはらむものです。
ICT活用が進む一方で機密情報の流出トラブルなども相次いでいる現在、企業にとってシャドーITへの対応は急務と言えるでしょう。シャドーITの問題は、エンドユーザーが自分自身でIT環境を運用管理するEUC(End-User Computing)というIT運用方法に内包される問題だという指摘もあります。
テレワークの普及でシャドーITが急増
現在、多くの企業がシャドーITへの警戒心を募らせている理由として、テレワークの普及が挙げられます。
コロナ禍の発生以降急速にテレワークが普及し、多くの社員が自宅から業務を行うようになりました。その結果、企業は従来のオフィス勤務時のように社員の業務状況を把握することが困難になっており、シャドーITの発生リスクが高まっています。実際、在宅勤務者同士で業務連絡を取るために、ZoomやSlack、LINEなど社内で規定されていないコミュニケーションツールやSNSを独自判断で利用する事例が急増しているようです。
あるいは、会社として想定していない通信ネットワークを用いた社内システムへのアクセスなども一種のシャドーITと言えるでしょう。たとえば、社員がカフェや駅などのセキュリティが脆弱な公衆回線を使ってリモートワークをしていた場合、盗聴などのセキュリティリスクは著しく増大してしまいます。
たとえば、IPA(独立行政法人 情報処理推進機構)が発表している『情報セキュリティ10大脅威 2021』においては、「テレワーク等のニューノーマルな働き方を狙った攻撃」が第3位にランクインしています。テレワーク下でよく行われがちなシャドーITは、企業にとって致命的なトラブルや事件に発展しかねません。
(引用元:https://www.ipa.go.jp/files/000089239.pdf)
BYODとの違い
シャドーITと混同しがちな言葉として、「BYOD」が挙げられます。これはBring Your Own Deviceの略称で、社員が個人所有している端末を業務利用することを指します。
BYODのメリットとしては、使い慣れている端末を利用することで業務効率を向上しやすくなることが挙げられます。「個人所有している端末を業務に利用する」という一点だけについて言えば、BYODとシャドーITは重なる部分もあります。しかし、BYODの場合、その利用はあくまでも会社が承認したことであり、シャドーIDと違って独断ではありません。
事前にBYODの申し出が社員からあれば、企業としてはその安全性を確認し、利用について制限を設けたり、指導・対策をしたりすることができますが、シャドーITのように黙って利用されてしまえばそれもできません。この点をしっかり区別していないと、社員はシャドーITを正当な行為(BYOD)だと誤解して、さらに問題が横行してしまう恐れがあります。
シャドーITがもたらすリスクやその原因
シャドーITは企業にどのようなリスクをもたらすのでしょうか。以下ではシャドーITによって起こりうる具体的な問題点について解説していきます。
情報漏えい
最初に挙げられるリスクは情報漏えいです。
たとえば普段使いしている個人用のチャットツールなどを業務利用している場合、そこには社外の知人なども登録されているはずです。もしかしたら、操作ミスによる誤送信などによって、そうした社外の人物に機密情報を漏えいしてしまうこともあるかもしれません。
また、GoogleドライブやBoxのようなクラウドストレージをシャドーITとして利用し、そこに業務用データなどを保存している場合、万一データが漏えいしてしまうと、自社に甚大な被害をもたらす可能性があります。
不正アクセス
シャドーITの第二のリスクは不正アクセスです。サービスやデバイスが適正に管理されていないと、アカウントが不正アクセスにより乗っ取られてしまう恐れがあります。しかも、シャドーITとして利用しているサービスは社内のセキュリティ監視下にないため、不正アクセスの発見・対処も遅れてしまう可能性が高まります。これはスマホやタブレット、PCなどのデバイスでも同様です。
ウィルス感染
第三のリスクはマルウェアやウィルスなどへの感染です。個人利用しているデバイスは、最新のセキュリティソフトを導入していないことも多く、マルウェア対策が十分になされていないことがあります。プライベートでも利用するため、マルウェアの感染経路も多くなるでしょう。
もしもマルウェアに感染したデバイスで社内のネットワークに接続してしまえば、そこから社内のシステムや他の同僚のデバイスへウィルスを広げてしまうリスクもあります。
シャドーITの対策とは
上記のように、シャドーITは企業のセキュリティに大きなリスクをもたらすため、対策が急務です。以下では、シャドーITへのセキュリティ対策を紹介します。
社員へのセキュリティ教育
まず重要になるのが、社員へのセキュリティ教育です。シャドーITを利用している多くの社員は、悪意があってそうしているわけではないでしょう。関連するセキュリティリスクを知らないか、軽視して利用している場合がほとんどと考えられます。したがって、シャドーITを利用するリスクに対する教育や研修を行い、社員のセキュリティ意識・コンプライアンス意識を高めることが大切です。
サービス利用状況の監視
実際にどのサービスをどの端末で利用しているのかというヒアリングを行い、自社のIT環境に占めるシャドーITの割合について実態調査をすることも効果的です。また、なぜそのシャドーITを利用することになったのか、その理由や原因も調査することで、自社のIT環境の課題も発見でき、次に説明するIT環境の整備にもつなげられます。
環境の整備
シャドーITを減らすにはIT環境の整備も重要です。冒頭で述べたように、シャドーITは社員がそのデバイスやサービスの必要を感じたことから利用が始まります。言い換えれば、自社の提供するIT環境だけでは満足できないため、シャドーITに手を出すのです。
それゆえ、シャドーITを長期的に減らしていくには、企業側で積極的に利便性の高いサービスやデバイスを導入し、それを社員に提供していくことが必要です。あるいは利用端末に柔軟に使用制限をかけられるMDMツールなども活用しつつ、BYODに柔軟に対応するのもよいでしょう。企業側が提供するIT環境だけで快適に業務が遂行できるようになれば、シャドーITは自然と減っていくことが期待できます。
セキュリティ強化
シャドーIT対策としては、純粋にセキュリティを強化することも不可欠です。テレワークが普及している昨今、いくら上記のような対策をしても社員の行動を完全に統制し、シャドーITを撲滅することは容易ではありません。したがって、何らかのトラブルが起こることを前提として、セキュリティを強化することも重要な施策となります。
最近ではこのような状況を反映して、CASBやゼロトラスト、SASE、EDRなどの新しいセキュリティ概念やソリューションが注目を集めています。これらは、オンプレミス環境を主に想定した情報漏えい対策DLPに比べ、より現在のクラウド環境に最適化されたセキュリティ対策です。
たとえばMicrosoftは、Microsoft Defender for Cloud Apps(旧Microsoft Cloud App Security)というシャドーITを見える化するツールを提供しています。また、同ツールをZscaler と統合することで、よりセキュアなシャドーIT対策を行うことが可能です。
まとめ
企業の管理下にないシャドーITの蔓延は、情報漏えいやウィルスへの感染など企業に重篤なセキュリティリスクを与えます。シャドーITを減らすためのIT環境の整備として、各種の業務を効率化するMicrosoft Azureや情報共有を円滑化するMicrosoft Teamsなどの導入・活用をおすすめします。
