モバイルツールを活用した自由なビジネススタイルの浸透とともに、その脅威の拡大が指摘されているのがシャドーITに起因するトラブルです。現代における情報漏洩対策の構築時には、念頭に置くべき重要な課題の一つとなっているシャドーITについて、発生する原因、対策時のポイント、シャドーIT対策としてのOffice 365の有用性を解説していきます。
善意が引き起こすケースもある!シャドーITの発生原因を理解する
業務において、企業のIT管理者が許可や把握をしていない状態で行われるIT活用をシャドーITと言います。ウイルス対策が万全とは言えない私物のパソコンで会社のクラウドサーバーにアクセスするなどトラブルの原因となることが予想しやすい行為だけでなく、取引先の連絡先を私物のスマホに入れて出先からも連絡をするといった多くの人が何気なく行っている行為も該当するなど、その範囲は広く、多岐に渡るITツールが関連するのが特徴です。
もう一つの大きな特徴となっているのが、悪意を持つ人物だけが引き起こす問題ではないということです。残ってしまった仕事を自宅に持ち帰り週末に片付ける、出先からも連絡を取ることで迅速な顧客対応を心がけるなど、良かれと思って行っている行為が結果的にシャドーITによるトラブルを増幅させるケースも少なくありません。悪意を持って不正な利用を行うケース、本人が意図していないが結果的に管理者が許可していない行為を行っているケースと2つの発生原因があることを理解しておくことは、シャドーITの対策を講じる上で非常に重要なポイントとなります。
ITリテラシーの浸透により「知らなかった」や「良かれと思って」を防ぐ
自覚のないままにシャドーITを行ってしまう最大の原因は、「シャドーITとされる行為が禁止されていることを知らなかった」というものです。また前述したように、より多くの業務をこなそうという善意から生じていることが多いのも特徴です。こうしたケースでその危険性を指摘された従業員は善意を否定されたと感じ、業務へのモチベーションやITツールの積極的な活用への意欲が低下するという問題も生じてきます。善意から生じるシャドーIT被害を防ぐには、「不正防止」の呼びかけや対策では十分とは言えないことを理解し、ITリテラシーの浸透、従業員の意識改革を図ることが必要です。
シャドーITによる被害も念頭に置いた上で明確な社内規定やルールを定め、告知や理解の徹底を図りましょう。ITツールによる業務の効率化を促進する際には、便利さのアピールやツールの提供だけでなく、ITに関する従業員の知識や意識の改革も行うことがシャドーITの防止につながります。
シャドーITの抑制に繋がる企業主導によるセキュアな環境作りにOffice 365が、シャドーITが貢献
禁止されていることは理解していても、「このくらいなら大丈夫だろう」「自社に損害を与えるつもりはない」「面倒だからつい…」といった意識で発生することがあるのもシャドーITです。
たとえばシャドーIT対策として私物のスマホへの顧客情報の保存を禁じた場合、紙のアドレス帳や名刺を持ち歩き、連絡の度に電話番号を入力するのでは大変不便です。「これまでは大丈夫だったから…」「電話番号を保存するくらいいいだろう」という考えから、実行する従業員が出てくることも想像に難くありません。
こうしたケースの場合、セキュリティ対策が十分に施された業務用のスマホを渡し、そちらへの顧客情報の保存を許可することでシャドーITの発生を抑えることができます。このように、従業員が不足や負担を感じずに業務を行えるセキュアな環境を企業側が提供することは、シャドーITの抑制に必要な要素の一つです。
Office 365持つ多彩な機能は、こうした環境の構築にも貢献します。重要データの端末への保存を禁じる代わりにクラウドサーバー上に保存し、どこからでもアクセスできるようにする、すべての端末において最新のバージョンのOfficeやセキュリティパッチが自動で更新されるようにするといったことが容易に行え、ITの生み出す利便性を保ちつつ安全を確保できるツールとして、不便さに起因するシャドーITの防止に活用できます。
IDとパスワードでは不十分!Office 365のデバイス管理機能でさらなるセキュリティを確保
IDとパスワードを設定した不正アクセスの防止は、企業のネットワークやサーバーを守る代表的な手法ですが、これらが有効となるのはIDを持たない部外者からのアクセスを禁じる場合です。正当なアクセス権を持つ自社の従業員が加害者となるシャドーITを防ぐことは、残念ながらできません。オフィス内でWi-Fiを使うため私物のスマホに社内ネットワーク接続用のIDとパスワードを入れる、出先から業務用のメールを読むため私物のタブレットにメール用のIDとパスワードを入れるといったことを防ぐ対策が求められているのです。
そこで有効となるのが、アクセスできるデバイスやIPアドレスを限定する手法です。IPアドレスの制限に比べてワークスタイルの自由度が保てるデバイス管理の果たす役割は、特に大きなものと言えます。デバイスアクセスルールの設定やデバイスの許可、ブロック、削除といった機能を擁するOffice 365は、管理者への負担の少ないデバイス管理体制の構築に貢献します。
また、さらに一歩進んだ対策として注目を集めているのが、ワンタイムパスワードや遠隔地からのデバイスのロック、情報の消去などより強固なセキュリティ対策を施したデバイスを配布し、それ以外の端末からのアクセス制限を設ける方法では、シャドーITに起因するトラブルに加え、端末の紛失などさまざまな問題への対応の強化にも繋がる施策として高い支持を得ています。
Office 365 では、こうしたデバイスのセットアップやセキュリティ対策を施したネットワークの提供必要な対策をトータルで提供することでそのニーズに応えています。高いセキュリティ対策を施したネットワークの提供に加え、事業内容や規模に応じた導入計画の策定、管理者を含む従業員へのトレーニングなどをトータルで提供することで、より強固なセキュリティレベルでのOffice 365の活用を実現しています。
まとめ
自社のネットワークやサーバーにアクセスする正当な権限があり、悪意を持たない従業員が加害者になるシャドーITは、外部からの攻撃に備える従来のセキュリティ対策だけでは対応できません。シャドーITの生じる原因をしっかりと理解し、対策を講じることが必要です。