昨今のコロナ禍において、在宅勤務やテレワークを採用する企業が増えており、それに伴いシャドーITによるトラブルのリスクが高まっています。
シャドーITとは、私用のスマートフォンやノートPC、個人的に利用しているクラウドサービスやアプリケーションを、会社に無断で業務利用することです。
シャドーITにはどんな種類があり、それぞれどのようなリスクをはらんでいるのか。具体的なトラブル事例を知った上で対策を講じることはとても大切です。
本記事では上記内容を理解した上で、6つのシャドーIT対策について解説します。
シャドーITとは
シャドーITはさまざまなシチュエーションで発生し得ます。たとえばよくあるケースが、私用のスマートフォンによるメールチェックです。ブラウザで起動できるメーラーを業務利用している場合、ネットワーク制限などがなされていないのであれば、従業員は私用スマホからメールをチェックする可能性があります。またブラウザ閲覧だけでなく、メールアプリをダウンロードし閲覧することも考えられます。
シャドーITが発生する原因はさまざまですが、冒頭にも記載したとおり、昨今のテレワーク増加によるSaaSサービス等の利用率向上が挙げられます。自宅で就業することから、どうしても私的なデバイスやサービスとの境が曖昧になり、結果としてシャドーITにつながるというケースが後を絶ちません。
シャドーITの種類
シャドーITには以下の種類が存在します。
● 従業員の私物デバイス(PC・スマートフォン・USBなど)
● 従業員が無断でインストールしたソフトウェアやアプリ(チャットツールなど)
● 従業員が私的に契約・登録したクラウドサービス(クラウドストレージ、オンライン翻訳サービス、メールソフトなど)
● 会社が契約していないインターネット回線(私用回線、カフェや街などの公衆Wi-Fi)etc…
ハードウェアによるシャドーITもあれば、アプリケーションや通信環境によるシャドーITもあることが分かります。
シャドーITに潜むリスク
そんなシャドーITには以下のようなリスクが潜んでいます。
● 情報漏えい
● メール誤送信
● 不正アクセス
● マルウェア・ウイルス等への感染
● デバイスの乗っ取り
● データ損失 etc…
上記は直接的な被害の一例となりますが、たとえば顧客情報の漏えい事故が発生した場合、会社の信頼が中長期的に落ちてしまうことが想定されます。このような企業の評判が悪化するリスクがあるからこそ、シャドーIT対策は欠かせないのです。
シャドーITによるトラブル事例の多様化
次に具体的なトラブル事例について、先述したシャドーITの種類に沿って解説します。
私物デバイスの利用時
シャドーITの中でも多発しているのが、私物デバイスの利用によるものです。キヤノンマーケティングジャパン株式会社が2021年7月に発表した「情報セキュリティ意識に関する実態調査レポート2021」によると、調査対象者の中で、個人所有の端末を業務利用している人のうち4割近くが勤務先の許可が不要、もしくは許可を得ていないことが判明しています。
特に注意すべき私物デバイスの業務利用としては、USBメモリ等の記録メディアがあります。USBメモリは気軽に持ち歩ける記録メディアであるが故に、飲み会の席でUSBメモリを紛失し、結果として自社とクライアントに多大な迷惑をかけるといった事例が多発していることから、特に注意が必要となります。
インストールしたソフトやアプリの利用時
会社支給のデバイスを利用していたとしても、そこに会社が承認していないソフトウェアをインストールしてシャドーITとなっているケースも存在します。
たとえばよく発生しているのがメッセンジャーアプリでしょう。昨今ではメッセンジャーを使ってビジネス上のやりとりをするケースが増えていますが、会社が正式に承認していない中でインストール・利用していることが多く、関係ない第三者のチャットルームに機密情報を添付・送付してしまうことが懸念されます。
私的に契約・登録したクラウドサービスの利用時
クラウドサービスのシャドーITには、特に注意が必要です。
個人プランのストレージサービスやメールサービスを業務利用する場合、法人プランよりもセキュリティが甘いケースがあります。事業者のサーバーがハッキング被害などのサイバー攻撃を受けた場合、クラウドストレージやメールサーバーに保存されていた業務関連情報が外部流出するリスクが考えられます。
さらに、オンライン翻訳サービスも、実は漏えい時の保証を一切していないものが多く、情報漏えいのリスクがあるので注意が必要です。
会社が契約していないインターネット回線の利用時
リモートワークによって増えているシャドーITが、会社が契約していないインターネット回線の利用です。特に多いのが、街中やカフェなどで利用できる、パスワード不要のWi-Fi、いわゆるフリーWi-Fiです。フリーWi-Fiの場合、悪意あるユーザーからの「のぞき見」や「盗聴」のリスクが生まれるので、業務利用としては絶対に繋げないことが大切です。
シャドーITを防ぐ6つの対策
最後に、シャドーITを防止するための対策についてお伝えします。
実態把握
まずはシャドーITの社内での実態を調査して可視化することが、シャドーIT防止に向けた第一歩となります。
最も簡単な可視化の方法は、従業員に対するヒアリングやアンケートです。たとえばクラウドサービスのシャドーITの実態は、通信のモニタリングとログの解析が最も正確に把握できる手段ですが、実施するハードルが高い手法となります。正確性は劣るものの、まずはヒアリング調査から着手すると良いでしょう。
従業員の情報セキュリティ意識の向上に向けた取り組みの実施
研修やeラーニング等を活用して、従業員の情報セキュリティ意識の向上を図ることも大切です。
シャドーITの危険性を認識せずに使っているケースもあるため、定期的にセキュリティ教育の機会を設け、現場レベルでのセキュリティ意識を高めましょう。
従業員用業務端末・ITサービスが快適であるように改善する
シャドーITが発生する要因は、会社支給の業務環境が従業員にとって「快適でない」ことも大きいです。
会社支給の環境の使い勝手が悪いからこそ、自分が慣れ親しんだデバイスやアプリケーション等を使おうという力学が働くのでしょう。
「何が使いにくいのか」「どんな時にシャドーITを使っているのか」を詳細にヒアリングし、従業員にとってのペインポイントを特定した上で、快適に業務遂行できるように、業務端末やITサービス、通信環境等を改善しましょう。
シャドーITを検知・制御できるCASB
クラウドサービスの利用状況を可視化しシャドーITを検知・制御できる、「CASB(Cloud Access Security Broker:キャスビー)」の導入も、シャドーIT対策として有効です。
関連記事:CASBとは?マルチクラウド時代のセキュリティ対策
ゼロトラストモデルの構築
より本質的な対応策として、自社のセキュリティモデルを「ゼロトラスト」へと切り替える方法もあります。
ゼロトラストとは、「すべてのトラフィックが信頼できないものである」という前提に立って、社内の全トラフィックを対象に、社内システムの検査やログ取得等を行う次世代のネットワークセキュリティモデルを指します。
関連記事:ゼロトラストとは? クラウド普及で変わる新しいセキュリティ対策
MDMの活用
ゼロトラストモデルの構築が難しい場合は、従業員が使用するデバイス端末をシステムで把握・管理するMDM(モバイル端末管理)の導入を検討しましょう。
性悪説に基づいて従業員の全端末を管理することになるので、私用デバイスを業務利用する場合は検知対象となり、必然的にシャドーITの防止に貢献します。
関連記事:MDM(モバイルデバイス管理)とは?機能やメリットをわかりやすく解説
セキュリティも含めた全体的なUXがシャドーITを撲滅させる
ここまでシャドーITにまつわるさまざまなリスクとそれに対する対策をご紹介しましたが、その中でも「会社支給のデバイスやITサービスが快適であること」は、恒久的なシャドーIT対策として非常に重要です。
その際に、ただ使い勝手が優れているだけでなく、セキュリティも含めた全体的なユーザー体験を意識してシステムを構築することで、結果として従業員および会社の課題を解決し、シャドーITの撲滅に貢献すると言えます。
昨今では、各社からセキュリティと快適性どちらも優れたPCやサービスが登場しています。シャドーITのリスクを防ぐためにも、従業員と会社の双方に寄り添った端末・サービスへの乗り換えを検討してみてはいかがでしょうか。
