シャドーITとは? 問題点やリスク、対策方法なども解説
企業が把握していないIT機器・サービスを利用して従業員が業務を行う「シャドーIT」。シャドーITを放置すると、情報漏えいや不正アクセスなどにつながる危険性があります。そこで今回は、シャドーITのセキュリティリスクや対策方法について解説します。
- 目次
シャドーITとは
「シャドーIT」は、従業員が業務に使用するIT機器・サービスのうち、企業が把握していないものを指します。具体的には、普段プライベートで使用しているSNSなどのSaaS、オンラインストレージといったクラウドサービス、個人所有のデバイスなどを企業側の許可なく業務に使用している状態を指します。
そして近年、このシャドーITが主に情報セキュリティの観点から問題となっているのです。
シャドーITとBYODの関係
BYOD(Bring Your Own Device、私的デバイスの活用)は、従業員個人の私用デバイスを業務で利用することを指します。企業にとってはデバイスの購入コストを削減でき、従業員にとっては使い慣れたデバイスで業務にあたれるといったメリットがあるため、2010年代ころから欧米を中心に広がりました。
ただし、BYODを行う際には事前に必要なセキュリティ対策を実施し、企業側の許可を受ける必要があります。許可を受けずに個人所有のデバイスを業務で利用する行為は「勝手BYOD」と呼ばれ、シャドーITにつながる危険性があります。
シャドーITの問題点
とはいえ、外出先から同僚にちょっとした連絡をする際に自分のスマートフォンを使用してしまったり、大容量のファイルをやり取りする際に個人アカウントのクラウドストレージを利用してしまったりという場面は容易に想像できます。では、シャドーITの何が問題なのでしょうか。
一番の問題は、業務で使用するIT機器・サービスを企業側が認知・管理できないところにあります。もし従業員が知らず知らずのうちにセキュリティリスクのあるSaaS、クラウドサービスを使用してしまうと、後述するような大きなトラブルに発展してしまう危険性があります。
ひとたびトラブルが発生すればその影響は企業内外へと広がる可能性がありますから、企業側としても社内のシャドーITを放置するわけにはいかないという事情があります。
シャドーITが発生する背景
悪意を持ってシャドーITを利用している従業員はごく少数でしょう。多くの場合、シャドーITは様々な理由からある意味「やむを得ず」使用されているという背景もあります。主なものを2つ紹介します。
従業員のニーズや意識
1つめは自身の業務効率や生産性を高めるためにシャドーITを利用するケースです。近年、個人向けの各種SaaS、クラウドサービスは高度化・多様化し、業務使用に耐えうるものも登場しています。個人で偶然に知ったツールを業務に役立てようとしてシャドーITが発生するわけです。
また、情報セキュリティに対する意識が低く、何気なくシャドーITを利用しているケースもあるでしょう。
勤務場所の多様化
シャドーIT発生の背景には、テレワークの普及によりオフィス外で業務を行うことが増えた点も影響しています。
オフィスで一堂に会して業務にあたるのとは違い、各従業員が多様な場所で業務にあたる環境では管理部門の目が行き届かなかったり、ツールの使用を従業員自身で判断する余地が生じたりします。テレワークには通勤の負担がなくなる、育児や介護などと仕事との両立が実現できる、など数多くのメリットがありますが、シャドーITにつながりやすいという側面もありそうです。
シャドーITのセキュリティリスク例
続いて、シャドーITにはどのようなセキュリティリスクがあるのか、具体的な例をあげて紹介します。
システム環境を構築する際のリスク
システム開発環境を構築するにあたり、IaaS、PaaSなどのクラウドサービスを利用すると、セキュリティリスクが生じる場合があります。従業員による不適切なサービスの無断利用はもちろん、許可を受けたサービスを利用している場合にも、例えばIDやパスワードの不適切な管理やアクセス権限の不適切な設定などによりデータの漏えいや不正アクセスにつながる危険性があります。
チャットツールを利用する際のリスク
メールよりも簡単に素早く意思疎通ができるチャットツールですが、企業として契約したものではない従業員の私的なチャットツールを使用するとセキュリティリスクが生じる場合があります。企業側ではチャットの内容を把握できませんし、従業員が退職する際にも機密情報の消去が困難になります。また、喫茶店や空港などで使用すると、第三者に覗き見されるなどして機密情報が漏えいする可能性もあります。
Wi-Fi・無線LAN・ルーターに接続する際のリスク
オフィス外で業務をする際、不適切なWi-Fi・無線LAN・ルーターに接続するとセキュリティリスクが生じる場合があります。悪意を持って設置されたWi-Fiスポットを使用した場合はもちろん、例えば、強度の低い暗号を使用した旧型の無線LANルーターや、セキュリティ対策のレベルが低いフリーWi-Fiを使用した場合にも、盗聴により業務に使用するID・パスワードなどが漏えいする危険性があります。
オンラインストレージでデータを管理する際のリスク
大容量のファイルをやり取りしたり、多人数でファイルを共有したりする際に便利なオンラインストレージですが、特に個人向けの無料オンラインストレージを使用するとセキュリティリスクが生じる場合があります。
個人向けの無料オンラインストレージの中にはセキュリティ対策が弱いものもあるため、例えば自宅に業務を持ち帰るために企業で使っているストレージから個人で使っているストレージにデータをコピーしたりすると、コピーした情報が漏えいする危険性があります。
私用デバイスを使用する際のリスク
セキュリティ対策の十分でない私用デバイスを業務に使用するとセキュリティリスクが生じる場合があります。例えば安全対策はアンチウイルスソフトのみ、といった、普段は自宅で使用しているノートPCを社内ネットワークへ接続すると、マルウェアなどの感染などにつながる危険性があります。また、機密情報を私用デバイスに保存した場合には、デバイスの盗難や紛失などにより情報の漏えいにつながる危険性もあります。
フリーメールで連絡をする際のリスク
気軽にアカウントを作成できる便利なフリーメールですが、業務に使用するとセキュリティリスクが生じる場合があります。例えば個人で使用しているフリーメールから取引先にメールを送信しようとする場合、通常とは異なるアドレス帳やメーラーを利用するため誤送信による情報漏えいにつながる危険性があります。
シャドーITへの対策方法
では、シャドーITに起因するセキュリティリスクにはどのような対策を取れば良いのでしょうか。
実態を把握する
まずは社内におけるシャドーITの実態を把握することが第一歩です。アンケートや聞き取りなどを通じて、シャドーITの利用の有無を調査します。調査の結果、もしシャドーITの利用が発覚した場合には利用者、利用しているIT機器またはサービス、そして利用している理由を特定し、実態の可視化に努めます。中には業務に必要不可欠なもの、業務の効率を向上できるものなどもあるかもしれません。それぞれ個別に適切な対策を取ることが重要です。
MDMを導入する
BYODやリモートワークを導入している場合にはMDM(Mobile Device Management、モバイル端末管理)による対策も有効です。MDMを導入すると、遠隔地にあるモバイル端末をリモートで管理することができます。例えば紛失時に端末をロックまたは情報を消去したり、機能制限を付与したり、万一ウイルスに感染した場合などに端末を復旧させたりすることができるため、自宅など社外でも安心・安全に業務を進めることができます。
CASBを利用する
業務にクラウドサービスを利用している場合には、特にCASB(Cloud Access Security Broker、キャスビー)による対策が有効です。CASBを導入すると、社内でのクラウドサービスの利用状況を可視化したり、マルウェアなどの脅威を検出して適切に対処したり、好ましくないクラウドサービスの利用を遮断するなどアクセスを制御したりできます。社外からクラウドにアクセスするような場合にも安心・安全に業務を進めることができます。
社内教育を実施する
MDMやCASBなどのツールはありますが、シャドーITのリスクを軽減する上で重要なのはやはり従業員のセキュリティに関する意識やリテラシーを高めることでしょう。社内教育を実施し、従業員がシャドーITの問題点やリスクについての理解を深める機会を設けましょう。また、クラウド利用、リモートワーク、BYODなどを行う際のガイドラインやトラブル発生時のマニュアルなども策定しておくとさらに良いでしょう。
NTTPCコミュニケーションズの「Secure Access Gateway」で安全・快適な業務実現
NTTPCの「Secure Access Gateway」は、SASE(Secure Access Service Edge、サシー)のコンセプトにもとづき、ネットワーク機能とセキュリティ機能とを一元的に提供するサービスです。自宅など社外からのアクセスに対しても安全・安心・快適なネットワーク環境を構築できる数々の機能を備えています。
DNSセキュリティ(Cisco Umbrella:DNS Security Essentials)は、DNSの名前解決を利用して、フィッシング / 有害サイトなど不正なサイトへのアクセスを遮断するサービスです。BYODにも対応し、自宅や外出先など場所を問わず、不正なサイトへのアクセスをブロックすることでマルウェアなどへの感染を未然に防ぎます。また、簡易CASB機能により社内で利用しているSaaS、クラウドサービスと利用者の可視化も可能です。
セキュアWebゲートウェイ(Cisco Umbrella: SIG Essentials)は、オフィス、自宅などの場所を問わず、安全にインターネットを利用することができるクラウド型プロキシサーバーです。不正なサイトへのアクセス遮断に加え、高度なマルウェア検知、URLフィルターを提供します。もちろん、CASB機能により社内ポリシーで利用を禁じているSaaS、クラウドサービスへのアクセスを簡単にブロックすることも可能です。
DNSセキュリティは月額500円(税込) / ユーザーから、セキュアWebゲートウェイは月額800円(税込) / ユーザーから利用可能。まずはお気軽にお問い合わせください。
まとめ
今回は「シャドーIT」について解説し、シャドーITが生じる背景として「従業員のニーズや意識」「勤務場所の多様化」などがあることを説明しました。また、具体的には「システム環境を構築する際のリスク」「チャットツールを利用する際のリスク」「Wi-Fi・無線LAN・ルーターに接続する際のリスク」「オンラインストレージでデータを管理する際のリスク」「私用デバイスを使用する際のリスク」「フリーメールで連絡をする際のリスク」などのセキュリティリスクがあり、対策として「実態を把握する」「MDMを導入する」「CASBを利用する」「社内教育を実施する」などが有効であることを紹介しました。
シャドーITを放置すると、情報漏えいや不正アクセス、マルウェア感染などにつながる危険性があります。今後、BYODやリモートワークなど、働き方改革を進めていく上で、シャドーITの利用が発生する機会はますます増加するでしょう。まずは社内のシャドーITの現状について調査してみてはいかがでしょうか。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
