03-5946-8400
HOME
目次
シャドー IT の具体例、発生する原因も解説
「このツールは誰が契約したんだろう」
「管理外の利用がこれ以上増えても問題はないのだろうか」
インフラ運用の担当者として、このような不安を感じたことはないでしょうか。
近年、生産性向上や業務効率化を目的に、さまざまなデバイスやクラウドサービスを業務で利用する企業が増えています。その一方で、 IT 部門の管理外でデバイスが利用される「シャドー IT 」は、重大なセキュリティリスクを招くおそれがあり、無視できない課題です。
本記事では、シャドー IT の概要やセキュリティリスク、対策、運用設計のポイントを解説します。
1. シャドーITとは
シャドー IT とは、 企業や組織の IT 部門が把握・管理していない状態で、従業員や各部署が業務に利用しているデバイスやクラウドサービスを指します。
本来、業務で利用するデバイスやサービスは、セキュリティガバナンスを維持するためにシステム管理者の統制下にあるべきものです。しかし、 管理者の許可を得ずに独断で導入・利用されているものは、すべてシャドー IT に該当します。
BYODとの違い
BYOD ( Bring Your Own Device )とは、従業員が私物のスマートフォンや PC などのデバイスを業務に利用することです。シャドー IT との大きな違いは、企業の許可と管理の有無にあります。企業が正式に利用を承認し、セキュリティ対策や運用ルールなどの管理が実施されている場合、シャドー IT には該当しません。
サンクションドITとの違い
サンクションド IT とは、情報システム部門などの管理部門が正式に利用を許可し、一定の管理下で利用されているデバイスやクラウドサービスです。サンクション( Sanction )には、認可・承認という意味があります。
つまり、企業の公式な認可済み IT がサンクションドITであり、その対極にある未認可 IT がシャドー IT です。
シャドーITの具体例
以下のケースは、すべてシャドー IT に該当します。
- 会社が契約していないクラウドストレージやオンライン共有ツールを業務で使用する
- 個人のスマートフォンで業務に関する写真を撮影し、そのまま自宅で管理する
- 会社で作成途中のファイルを USB メモリに保存して持ち帰り、許可されていない自宅の PC で開く
シャドーITが発生する主な原因
シャドー IT が拡大している背景には、働き方や IT 環境の変化があります。テレワークの普及により、業務に必要なツールや環境を従業員が個人の判断で補う場面が増えたことで、 IT 部門の承認を経ずに私物デバイスや外部のクラウドサービスが利用されやすくなりました。
また、無料で利用できるクラウドサービスが急増し、ツール導入のハードルが下がっている点も、シャドー IT が拡大し続けている要因の一つです。
2. シャドーITとしてよく利用されるもの
ここでは、シャドー IT としてよく利用されるものを 4 つ紹介します。
ハードウェア
私物の PC やスマートフォン、タブレットなどのデバイス本体がシャドー IT として挙げられます。これらは企業のセキュリティポリシーの対象外となっているケースが多く、 OS の更新状況やウイルス対策ソフトの導入有無、パスワード設定の強度などを IT 部門で把握するのが困難です。管理の目が届かないデバイスが業務ネットワークやデータに接触することで、情報漏えいや不正アクセスのリスクが高まります。
フリーメール
個人向けのフリーメール( Gmail や Yahoo! メールなど)も、シャドー IT としてよく利用されます。無料で簡単にアカウントを作成でき、場所やデバイスを問わず利用できるため、業務連絡やファイルの送受信に転用されるケースが後を絶ちません。しかし、これらは組織の統制外にあるため、トラブルが発生した際、企業側で事後調査を行うことが困難です。
クラウドストレージ
Google Drive や Dropbox 、 OneDrive といった個人向けのクラウドストレージも、シャドー IT 化しやすいサービスです。特にテレワーク環境下では、急にファイル共有が必要となった際に、個人のストレージへデータをアップロードしてしまうケースが見られます。これは、機密情報の流出につながる危険な行為です。
チャットツール
個人利用のLINEや、企業の管理外にあるワークスペース( Slack など)もシャドー IT に該当します。簡単な業務連絡のつもりで使用した場合でも、やり取りの内容が組織として把握されません。その結果、情報管理や監査の観点から問題となるケースがあるため注意が必要です。
3. シャドーITによるセキュリティリスク
シャドー IT が企業にもたらす主なセキュリティリスクを 3 つ紹介します。
不正アクセス
シャドー IT として利用されるデバイスやサービスは、企業のセキュリティ対策の対象外です。そのため、悪意のある第三者から脆弱性を突かれ、不正にアクセスされるリスクが高くなります。たとえば、私物デバイスを公共のフリー Wi-Fi に接続した場合、通信の盗聴や不正侵入を招く要因となり得ます。
情報漏えい
個人向けのチャットツールには、企業から見れば部外者にあたる知人や友人の連絡先が多数登録されています。公私の境界が曖昧な環境で業務情報をやり取りしていると、社外秘の内容を誤って送信してしまい、重大な情報漏えいにつながるおそれがあるため注意が必要です。
マルウェア感染
企業の管理外にある私物デバイスがマルウェアに感染していた場合、気付かないまま社内LANへ接続すると、ネットワーク全体に感染が拡大するリスクがあります。
その結果、データの窃取や破壊、業務システムの停止などが発生し、企業活動に深刻な影響を及ぼしかねません。
4. シャドーITへの対策と運用設計のポイント
ここでは、シャドー IT への対策と、運用設計のポイントについて解説します。
アクセス制御・ログ管理を実施する
シャドー IT によるリスクを低減するためには、まずアクセス制御とログ管理の仕組みを整えることが重要です。「誰が・いつ・どのデータにアクセスしたのか」を把握できる体制を構築する必要があります。
たとえば、ファイルを共有する際は、個人向けの無料サービスではなく、ビジネス用途を前提としたクラウドストレージを採用し、アクセス権限の制御とログ管理を徹底しましょう。
代替手段を用意する
業務利用を前提とした、正規の代替手段をあらかじめ用意することもシャドー IT 対策の一つです。単に利用を禁止するだけでは業務効率が低下し、結果として従業員が再び管理外のデバイスやサービスを利用する可能性が高まります。
具体的には、業務用のチャットツールや、法人向けプランのクラウドストレージなどを導入・提供するのが効果的です。これにより、従業員の利便性を損なうことなく、安全に業務を進められる環境を整備できるでしょう。
従業員への教育を実施する
定期的なセキュリティ教育を通じて、従業員一人ひとりの危機意識を高める取り組みもおすすめです。シャドー IT がなぜ危険なのか、企業にどのような損害をもたらすのかを従業員に正しく理解してもらうことで、無断利用の抑止につながります。
デバイス利用のルール・ガイドラインを策定する
業務環境を整備したうえで、私物デバイスや無料サービスの利用に関するルール・ガイドラインを明確に定めることも有効です。やむを得ず私物のデバイスや外部のクラウドサービスを利用する場合は、事前にシステム管理者の承認を得るためのワークフローを確立しておきましょう。
5. まとめ
シャドー IT は、不正アクセスや情報漏えい、マルウェア感染といったセキュリティリスクを伴います。しかし、単に私物デバイスやクラウドサービスの利用を禁止するだけでは、根本的な解決にはなりません。アクセス制御やログ管理、代替手段の提供、従業員教育などを通じて、安全かつ現実的な IT 環境を整備することが重要です。
Rworks のシステム運用代行サービスでは、IT環境の最適化やガバナンスの強化、運用負荷の軽減を支援いたします。シャドー IT 対策に課題を感じている方は、ぜひお気軽にご相談ください。
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。