目次クリックで該当箇所に移動します
ここ数年でビジネスチャットやファイル共有サービスなどが、業務では欠かせないものになり、コロナ禍をきっかけとするテレワーク実施のトレンドによって、その動きは加速しています。
一方で「シャドーIT」、つまりは個人利用の情報端末や外部サービスを会社の許可なく業務で使用することが、企業活動における大きなリスクになっています。シャドーITが蔓延すると、いざ何か重大インシデントが発生したとしても、問題把握に時間がかかってしまいます。企業にとっては、事態を把握できていないこと自体が脅威だといえます。
本記事では、シャドーITが起きる背景やその脅威について整理し、対策も含めてご紹介していきます。
シャドーITとは? BYODとの違い
シャドーITとは、先ほどもお伝えした通り、私用のスマートフォンやノートパソコンといったITデバイス、クラウドサービスやインストール型ソフトウェアなどのアプリケーションを、会社が把握していない形で利用し業務を行うことです。
よくあるケースが、私用のスマートフォンでのメールチェック。ブラウザで起動できるクラウド型メールソフトを業務で使っている場合、ネットワーク制限などのセキュリティ設定が甘いと、このようなシャドーITが発生するリスクが高まります。
シャドーITが発生する要因
シャドーITが発生する要因として最も大きなものが、昨今のテレワークの増加によるSaaSサービス等の利用が挙げられるでしょう。
テレワークの推進によって自宅で業務をする場合、私的なデバイスもしくはサービスと、業務利用のデバイスもしくはサービスの区別が曖昧になりがちです。特に自宅という空間なので、業務で渡されたノートパソコンを使うよりも、自分が気に入って購入したノートパソコンを使った方が使い勝手もよく、必要なアプリケーションも自由な設定のもとで利用できます。
このように、悪意があって使うわけではなく、意識しないままでシャドーITになってしまうケースが非常に多い状況です。
BYODとの違い
似たような概念として、BYODという施策があります。
BYODとは「Bring Your Own Device」の頭文字を繋げた言葉で、個人が所有するデバイスを、会社承認のもとで利用することを示します。端末の所有者やデバイス情報などを会社がしっかりと把握できている点で、そもそも会社が把握していないシャドーITとは異なる概念であることがわかります。
◎BYODとは? 企業が知っておくべきメリット・デメリット、セキュリティ対策やガイドラインを解説
シャドーITの発生事例
シャドーITが蔓延すると、以下のようなリスクが増大することになります。
- 情報漏洩
- 不正アクセス
- ウイルス感染
- クラッキング
具体的にはどのようなケースで発生するのでしょうか? 以下、何点かの発生事例を見ていきましょう。
業務の持ち帰り、USB利用による情報漏洩
たとえば業務を持ち帰る場合に、シャドーITが起きやすくなります。具体的には、私用のオンラインストレージに仕事で使うドキュメントデータなどのファイルをアップロードし、帰宅後に私用パソコンでダウンロードし作業するといったケースです。
私用パソコンに業務用のデータが残ることになるため、万が一私用パソコンがウイルスに感染していた場合、情報漏洩のリスクを伴います。
また、同様のケースでUSBにデータを入れて自宅に持ち帰る場合、そのUSBをどこかに落とす・盗まれる危険性があり、第三者による情報漏洩の危険性が非常に高まります。
特に多いのが、コンビニ印刷です。コンビニのコピー機でUSB内のファイルデータを印刷し、印刷終了後にうっかりUSBをさしたまま出てしまい、そのまま盗難されるといったケースが散見されます。
クラウドメールサービスを利用
クラウドのメールサービスは、IDとパスワードがあればどのブラウザであってもログインできるので、カフェなどのオープンスペースでログイン情報を盗み見され悪用される可能性があります。
また、ブラウザにログイン情報を保存するケースも多いので、例えばオープンスペースでパソコンロックをかけずにお手洗いなどで席を外すと、第三者がブラウザを起動し情報を盗み見るリスクがあります。
チャットやSNSによる情報漏洩
チャットやSNSにまつわる発生ケースも多いです。
特にLINEやメッセンジャーなどのチャットツールは、会社メンバーと気軽に連絡がとりあえるので、つい業務に関するやりとりも私用アカウントで済ませてしまいがちに。その場合、私用アカウントの乗っ取りが発生すると、そのままやり取りの情報も漏洩してしまうことになります。
またSNSについても、会社の機密情報と認識せずに、うっかり私用アカウントで公開情報として投稿してしまうケースもあるでしょう。
フリーWi-Fiの利用
パスワード入力なしで接続できるフリーWi-Fiは、情報漏洩のリスクがあるシャドーITのひとつです。不特定多数のユーザーが利用するため、悪意あるユーザーからの「のぞき見」「盗聴」のリスクが生まれます。フリーWi-Fiの中には携帯電話会社などが提供するdocomo Wi-Fi、au Wi-Fi SPOT、ソフトバンクWi-Fiスポットといった付帯サービスもありますが、こちらも注意が必要です。SIM認証を使用する「WPA2」というセキュリティ方式の接続先であれば、通信の暗号化がなされるので安心ですが、暗号化されていないアクセスポイントであったり、暗号化されていてもWEPのように解読可能な暗号化形式であれば、危険にさらされるでしょう。携帯電話会社が提供するフリーWi-Fiしか使っていないという方も、今一度、ご自身のスマートフォンの設定を確認してみてはいかがでしょうか。
さらに、SNS連動での登録型Wi-Fiは注意が必要です。接続用ユーザー登録と称して「Twitterで登録する」などといった動線からログインIDとパスワードの入力を促されて登録した場合、そのままTwitterログイン情報の漏洩に繋がる可能性があります。
先ほどの例と連動して、もしもTwitterのダイレクトメール等で業務のやり取りをしていた場合、業務情報の漏洩にもつながることになります。
Wi-Fiの中には、盗聴や不正侵入を目的にした悪意あるアクセスポイントも存在します。フリーWi-Fiと同じSSIDを偽装する場合もあるので、安易にフリーWi-Fiに接続しないことが重要です。
なぜシャドーITが起きてしまうのか
テレワークの普及がシャドーITを誘引する要因として挙げられますが、より根源的な要因は、会社から支給されるデバイスやサービスに「不便」や「不満」を感じている点です。
もし会社パソコンを起動するのに毎回5分以上かかっていたり、会社指定のネットワークになかなか接続できないのだとしたら。はたまた、キーボードのタッチ具合が感覚的に合っていなかったり、処理スピードに不満があったり、使いやすく設定変更できる範囲が極端に限られてしまっているのかもしれません。
このような、会社デバイスやサービスの使い手である従業員の不便・不満の感情が、一定の閾値を超えると、そのままシャドーITへとつながることになります。
シャドーITへの対策
それでは、このようなシャドーITを防ぐためにはどうすれば良いのでしょうか。最後に、シャドーITへの対策を4点お伝えします。
社員への教育とセキュリティポリシーの策定
従業員へのセキュリティ教育は、非常に重要な対策の一つです。なぜシャドーITがダメなのか、どんなリスクが潜んでいるのかを、研修やeラーニング等でしっかりと説明するようにしましょう。
その際に重要なことが、定期的に認知する仕組みを作ることです。半年に一回のペースでeラーニングを受講させるなどが考えられます。
また、会社としてセキュリティポリシーを策定することも大切です。組織全体のルールはもちろん、情報セキュリティに対する基本的な考え方や体制、運用規定、対策基準などを明確化しておくことで、重大インシデントなど有事の際にもきちんと対応できるようになるでしょう。
一点、大切なこととして、一方的に押し付けて業務効率が低下したりモチベーションが下がったりすると、本末転倒になります。あくまで従業員が運用しやすい形で、セキュリティポリシーを策定するようにしましょう。
クラウドサービス利用の監視と制御
先ほどから何度も登場している、メールをはじめとする各種クラウドサービスの利用を監視したり、一定の制御を施すことも、シャドーITおよびそれに伴うセキュリティ事故の未然防止に有効です。
例えば、会社が管理していないIPアドレスから業務用クラウドサービスへアクセスがあった場合にアラートが立つよう設定していれば、誰がどのタイミングでシャドーITを使っているかを明確に判断することができるでしょう。
脆弱なセキュリティのため盗聴される可能性が高いフリーWi-Fiを使ったとしても、業務情報にアクセスできないので、情報漏洩のリスクが大きく下がることになります。
サービス利用の監視と制御は、企業のセキュリティ対策として実施すべきですが、まずは前述した社員のセキュリティ意識の教育と浸透が重要です。
ゼロトラストモデルの構築
抜本的な施策として、セキュリティを「ゼロトラストモデル」に切り替える、という施策もあります。費用がかかる方法となりますが、その分、シャドーIT対策としても有効に機能します。
そもそもゼロトラストとは、「全てのトラフィックは信頼できない」ことを前提に、全トラフィックについて社内システムの検査やログ取得等を行う次世代のネットワークセキュリティ概念です。
ゼロトラストを導入することで情報漏洩のリスクは圧倒的に下がりますし、シングルサインオンや多要素認証といった仕組みを通じて複雑なパスワード運用の必要がなくなるため、従業員の利便性向上につながり、結果としてシャドーITの削減も期待できます。
◎ゼロトラストとは? クラウド普及で変わる新しいセキュリティ対策
MDMの活用
従業員が使用する端末を企業側が把握して管理するMDM(モバイル端末管理)の導入も、シャドーIT対策としては良いでしょう。
要するに、会社が該当デバイスを監視してコントロールするというものです。
性悪説に基づいて、従業員の全端末を管理することで、セキュリティ事故などの発生を未然に防止できるようになるでしょう。
◎MDM(モバイルデバイス管理)とは?機能やメリットをわかりやすく解説
一番の対策は、従業員の潜在的なニーズを把握・理解すること
以上、今回はシャドーITが起きる背景やその脅威について整理し、対策も含めて解説しました。情報漏洩や不正アクセス、ウイルス感染といったリスクが潜んでいるからこそ、シャドーITは根絶すべき事案です。
さまざまな対策を講じる必要があると同時に、利用者が不便に感じていることや潜在的なニーズを把握・理解し、それに対する解決策を講ずるのが、最も有効なシャドーIT対策だと言えます。
ぜひ、従業員の働きやすい環境を提供し、シャドーITのない業務運用を目指しましょう。