あなたの私物が会社のセキュリティを脅かす!?
「シャドーIT」のリスクとは。

シャドーITとは、企業の管理や承認を得ずに、従業員が私的に業務に利用しているITリソース（デバイス、ソフトウエア、クラウドサービスなど）を指します。従業員が個人的に利用する場合もあれば、各部門が独自の判断で導入する場合もあります。

具体的には、私用デバイスの業務利用、クラウドストレージの非公式使用、非公式のコミュニケーションツール、未承認のアプリケーションやソフトウエアのダウンロード、業務用データの個人デバイスへの保存、フリーWi-Fiへの接続などがシャドーITにあたります。いずれにしても、企業が使用状況を把握することができないことが、さまざまな問題をもたらします。

シャドーITとは

シャドーIT発生の大きな背景となっているのが、テクノロジーの進歩と新型コロナウイルスによるパンデミックだといわれています。

テクノロジーの進歩によって、プロジェクト管理ツールやチーム内コミュニケーションツール、ワークフロー管理サービスなど、個人で簡単に導入できる便利なクラウドサービスが生み出されています。会社の承認なく、それらを個人的に業務に利用して効率化や生産性向上に役立てようとすると、図らずもシャドーITとなってしまいます。

また、パンデミックに対応するため、多くの企業がテレワークを導入し、従業員が個人で所有するITデバイス（スマートフォン、タブレット、ノートパソコンなど）や、個人アカウントで利用しているクラウドサービス、自宅やカフェなどでのWi-Fiなどを業務で使うケースが増えました。ポストコロナの時代になると、企業の管理外にあるシャドーITのリスクが顕在化し、注目されるようになりました。

さまざまな調査からうかがえるのは、多くの企業ではシャドーITが存在していることは把握しているものの、対策が追いついていないという実情です。また、対策を予定している企業は半数に満たないという調査結果もあります。

シャドーITと似た言葉に、BYOD（Bring Your Own Device）があります。BYODも従業員の個人所有のデバイスを業務に利用することを指しますが、シャドーITとの決定的な違いは、企業が使用を許可している点です。BYODは私物の利用を前提としていることから、企業はあらかじめ必要なセキュリティ対策を行うことができます。

上場企業の個人情報漏えい事故は年々増加し、その原因の半数以上が「ウイルス感染・不正アクセス」だと考えられています。一方、2022年4月に施行された改正個人情報保護法により、情報漏えいなどが発生した際の企業へのペナルティーは重くなっています。企業の許可を得ずに私用デバイスや個人アカウントでクラウドサービスなどを使用するシャドーITは、ウイルス感染や不正アクセスのリスクを高め、情報漏えいの原因となる可能性をはらんでいます。

具体的なセキュリティリスクの例をいくつか挙げてみましょう。

私用デバイスの利用

私用のデバイスは、社用のものに比べてセキュリティ対策が不十分な場合があります。万が一マルウエアに感染していた場合、社内ネットワークに接続すると社内に感染が広がる可能性があります。また私用デバイスの紛失・盗難により、重要な情報が漏えいしてしまうリスクも考えられます。

チャットツールの利用

社内のコミュニケーションには、社外秘の機密情報も少なくありません。メールよりも使いやすいからと個人チャットツールを業務に利用することも大きなリスクです。万が一私用アカウントが乗っ取られた場合、やり取りしていた情報が漏えいしてしまいます。

クラウドストレージの利用

自宅などで仕事をするために、業務に使用するデータをクラウドストレージに保存するケースもあるでしょう。大容量ファイルのやり取りや、チームでファイルを共有する場合にも便利なクラウドストレージですが、個人向けの無料サービスの中にはセキュリティ強度が低いものもあるため、情報が漏えいするリスクがあります。

フリーメールの利用

多くのフリーメールは、インターネット環境とブラウザさえあれば簡単にログインができます。ブラウザにログイン情報を保存している場合、デバイスをロックせずに離席すると、第三者にデバイスを操作され盗み見られる可能性があります。

フリーWi-Fiへの接続

テレワークなどオフィス以外で仕事をする場合のWi-Fi環境が問題となることがあります。フリーWi-Fiの中には悪意を持って設置されたスポットも存在するため、セキュリティレベルが低い場合、情報が抜き取られる恐れがあります。

生成AIサービスの利用

急速に普及する生成AIを業務に取り入れる動きが広がっていますが、生成AIサービスの中にはオプトアウト（入力情報をAIの学習データとして使用させないこと）できないサービスもあり、情報が漏えいする可能性があります。

企業にとって悩みの種であるシャドーIT。しかしそこには、手軽で使いやすいアプリケーションやツールを活用することで、自発的に業務効率を向上させようとした従業員の意欲の表れという一面もあります。もちろん、従業員のリテラシー不足に起因する場合もあるでしょう。いずれにしても組織全体のIT管理を効果的に行うための対策が不可欠です。

具体的な対策としては、まずは現状の把握です。従業員が現在のITリソースに満足していないためにシャドーITが発生するケースもあります。どんな不便を感じているのか、作業の効率化には何が必要なのかなど、従業員からヒアリングする必要があります。場合によっては、ルールに則った私用ITリソースの導入（BYOD）が有効な対策となるかもしれません。

現状の把握には、クラウドサービスの利用状況を可視化し制御するCASB（キャスビー：Cloud Access Security Broker）と呼ばれるサービスの導入も役立つでしょう。自社に存在するクラウドサービスとシャドーITを可視化できるため、状況の正確な把握が可能になります。

また、ガイドラインの策定も有効だとされています。私用のITデバイスや私的に登録したクラウドサービスなどを業務に利用する際はIT部門の許可を得るなど、ガイドラインを策定し、適切に運用します。また、シャドーITのリスクについて、従業員に周知徹底することも重要です。

さらに、業務で使うモバイル端末を一元管理し、紛失・盗難時にリモートロックできるツールや、専用のクラウドストレージの導入も有効だとされています。

シャドーITは、企業の情報セキュリティにとって危険な要素です。しかし、うまく取り組めば業務効率化や生産性向上に貢献できる可能性もあります。セキュリティリスクと業務効率とのバランスを図りながら最大限の効果を発揮できるよう、従業員が働きやすい環境の構築を模索していく必要がありそうです。