トレンド解説

シャドーITとは? セキュリティリスクと企業がとるべき対策

アイキャッチ
目次

企業のセキュリティにおける課題の一つとして挙げられることの多いシャドーIT。用語として聞いたことはあっても、その内容は詳しくわからないという方も多いのではないでしょうか。シャドーIT(によるリスク)は誰もが当事者になり得るものの一つであり、しっかりとした対策が必要です。

この記事では、シャドーITの概要から、シャドーITによりもたらされるセキュリティリスクとその対策方法などについて解説します。

シャドーITとは

シャドーITとは、企業による許可のないITシステム、サービス、ソフトウェア、デバイスなどを表します。代表的な例としては、従業員が勝手に業務利用した、私物スマートフォンや各種クラウドサービスが挙げられるでしょう。

それ自体に善悪はありませんが、企業の情報部門にとっては把握できていないサービスなどが利用されているため、事故を防ぐ対策や、事故が起こったときの対応について十分な準備がない点が問題です。知らないうちにセキュリティリスクを抱えてしまい、セキュリティ事故に繋がる可能性が大きくなってしまいます。


シャドーITのセキュリティリスク

企業の許可無く使用されるサービスなどは、セキュリティポリシーに則った対策が行われていません。そのため、情報漏えいや不正アクセス、アカウントの乗っ取りなどの被害に遭う可能性が高まります。

例えば、業務データを個人が利用するメールアドレスやクラウドストレージに保存することで、情報漏えいにつながるケースもあります。インターネット上には安全性の低いサービスも存在している可能性があるため、不用意にアクセスすることでマルウェアに感染して不正アクセスなどの被害に発展することもあるでしょう。

なぜシャドーITが発生するのか

近年、テレワークの普及やクラウドサービスの業務利用の機会が増え、時間や場所にとらわれない働き方が浸透してきています。加えて、スマートフォンをはじめとするモバイルデバイスの普及もあり、多くの従業員はこれらのサービスやデバイスを活用しやすい状況です。

スマートフォンであればほとんどの従業員が保有しており、無料で利用できる便利なクラウドサービスも豊富です。そのため、業務をより効率的に進めるためにこれらのサービス類を従業員側も「活用したい」と考えることは多いでしょう。

しかし、企業側で即座に対応できるとは限らず、タイムラグを嫌って勝手に利用し始めるケースや、そもそも許可されていないサービス類を利用してはいけない、という理解が足りていないケースも考えられます。

シャドーITとBYODの違い

モバイルデバイスの普及により、BYOD(Bring Your own Device)という考え方も広がっています。BYODは従業員の私物パソコンやスマートフォンなどを業務利用する考え方です。

従業員の私物パソコンやスマートフォンがシャドーITとみなされるケースがありますが、BYODとの違いは企業側で許可(管理)しているかどうかです。シャドーITでは企業の管理者側が把握できない状態にあるためセキュリティリスクが発生します。対して、BYODでは私物デバイスなどの利用を前提としたセキュリティ対策が行われるため、シャドーITのようなセキュリティリスクは発生しづらくなります。

BYODの導入はシャドーITを防ぐための対策にもなりえます。ただし、そのためには社内システムにアクセス可能なデバイスの管理や、クラウドサービスなどへのアクセスも一元的に管理するための環境構築が必要です。

企業がとるべき「シャドーIT」への対策

企業が実施するべきシャドーIT対策としては、おもに次のようなものが考えられます。

  • デバイスの管理、制限
  • クラウドサービスに対するアクセス制限
  • 社内環境の整備
  • ルールの策定と従業員教育

社内ネットワークへのアクセスに対しては特定のデバイスのみ許可し、接続しているデバイスは一元的に管理することでシャドーITの対策になります。また、CASB(Cloud Access Security Broker)などのソリューションを導入し、クラウドサービスに対するアクセス制限も実施しましょう。クラウドサービスごとに利用可否だけでなく、情報のアップロード制限や利用状況なども一元的に管理できます。

一方で、制限するだけでなく従業員にとって利便性の高い環境を構築することも重要です。シャドーITは利便性を求めて行われるケースが多いため、そもそも勝手に私物デバイス等を使用する必要がないような環境を構築することも重要です。

加えて、デバイスやサービス類の利用に関するルールを定め、しっかりと従業員に周知徹底して教育を施すことも重要になります。システム的な対策と併せて、人的な教育もシャドーIT対策として有効です。

この記事のまとめ

シャドーITの対策をしておきましょう。

企業側が許可していないシステム、サービス、ソフトウェア、デバイスを利用するシャドーITには、さまざまなセキュリティリスクが潜んでいるため対策が必要です。シャドーITをそのままにしていると、重大なセキュリティ事故に発展しかねません。

デバイスやクラウドサービスに対する制限、管理と併せて、社内環境を整備してルールの策定と従業員教育を行なうことで対策できます。この機会に、シャドーITの対策をしてみてはいかがでしょうか。

記事を書いた人

ソリトンシステムズ・マーケティングチーム