シャドーITがもたらすリスクとは?
対策方法と共に詳しく解説!

2020年以降、新型コロナウイルス感染症の拡大により、リモートワークが広がっています。
また、働き方改革の推進もあり、働く場所は社内にとどまらず、自宅やカフェなどさまざまな場所で仕事をしている人が増えました。
このような働き方を支えているのは多様なデバイスやITツールですが、便利であるがゆえの問題が発生しています。

今回は、シャドーITとは何か、生じるリスクやその対策方法について詳しく解説します。

1.シャドーITとは

概念

従業員が会社から承認されていないパソコンやモバイル端末を使用し、会社から承認されていないクラウドサービスなどを活用して業務を行うことをシャドーITと言います。
例えば、プライベートで使っているGoogleドライブに、業務で使用する資料をアップした場合や、個人所有のパソコンやタブレットで会社のクラウドメーラーを立ち上げメールを送った場合がシャドーITに該当します。
社内で勤務することが当たり前だった頃、このようなケースはあまりなかったのではないでしょうか。
シャドーITは、コロナ禍によるリモートワークや働き方改革の推進から多様な働き方が広まったことで、生じるようになったと思われます。

シャドーITが起こる原因

最も大きな原因として考えられるのは、普段使っているデバイスの方が便利であるということです。
例えば、メール返信をする場合、会社用のノートパソコンでは起動してログインをしなければなりませんが、普段使用しているスマートフォンなどではそのような手間がかからず、素早くメールを返信できます。
このようにシャドーITは、特に悪意なく、リスク(後述します)を知らずに、個人所有のデバイスの方が便利であるために起こっていることが多いようです。

BYODとの違い

BYODは、Bring Your Own Deviceの略で、個人で所有しているデバイスを業務で使用することを意味します。「シャドーITとどこが違うの?」と思われるかもしれません。
シャドーITは会社から承認されていないパソコンやモバイル端末を使用しますが、BYODは会社から承認したものを使います。
ただし、個人で所有しているデバイスの利用を認めるためには、会社は安全面を把握し管理する必要があります。 

2.シャドーITに該当するケース

ここでは、シャドーITに該当するケースを紹介します。
普段何げなく行っていることも、シャドーITになっているかもしれません。

チャットサービス

個人所有のスマートフォンからチャットツールを使えば、同僚やチームメンバー、取引先とスムーズにコミュニケーションをとることができます。
しかし、これはシャドーITに該当し、機密事項などをうっかり送信してしまい、情報を漏洩してしまうリスクがあります。

無料のクラウドストレージサービス

GoogleドライブやDropboxなどの無料で使えるクラウドストレージサービスは、複数のデバイスを同期してデータを管理でき、社外からでもデータを確認できるため、とても便利です。
しかし無料の場合、セキュリティ強度が弱いため、情報漏洩の危険性が高いです。

フリーメール

IDとパスワードがあれば、どこにいてもメールでやりとりができ、大変便利です。
しかし、カフェなど多くの人が集まる場所で使用した場合、目を離した隙に盗み見され、IDやパスワードを盗まれてしまうリスクがあります、もしそうなった場合、アカウントが乗っ取られ、メールの情報を悪用される可能性があります。

フリーWi-Fi

パスワードが不要なフリーWi-Fiには、情報を盗む目的で設定されたものもあります。
そのようなWi-Fiでは、SNSアカウントのIDやパスワードの入力を求めてくるかもしれません。
さらに、SNSで仕事のやりとりをしていた場合、個人のSNSログイン情報が漏洩するリスクが発生します。
たとえパスワードが設定されたフリーWi-Fiであっても、セキュリティが弱い可能性がありますので、十分注意する必要があります。

3.シャドーITによるリスク

では、シャドーITにはどのようなリスクがあるでしょうか。
次に3つ示しますが、いずれのケースも発生してしまうと社内だけでなく、取引先にも被害が及び、自社の信頼が失墜しかねません。

情報漏洩

前項で述べたように、シャドーITによりIDやパスワードが盗まれたり、機密情報をうっかり送信したり、個人で所有しているデバイスを紛失したりしてしまうことにより、情報漏洩のリスクがあります。
個人所有のデバイスを紛失すると、業務に関することだけでなく、個人情報も漏洩してしまうため、その従業員が受ける被害は2倍になります。

ウイルス感染

個人所有のデバイスは、セキュリティ対策ソフトをインストールしていないことが多いと思います。
そのため、知らないうちにウイルスに感染し、その状態のままほかのデバイスやクラウドサービスに接続することで、ウイルスをばらまいてしまうことがあります。

不正アクセス

フリーWi-Fiやセキュリティ強度の低いWi-Fiに接続したり、IDやパスワードを盗まれたりすると、不正アクセスの被害に遭い、アカウントを乗っ取られることがあります。
そうなると、個人情報や機密情報の漏洩やウイルス感染などが起こりかねません。保存場所や接続方法など、情報の取り扱いには十分注意が必要です。

4.シャドーITの対策方法

シャドーITには、さまざまなリスクがあることがわかりました。
それでは、具体的にどのような対策を行えばよいのでしょうか。

実態把握

対策を考えるに当たって、まずは社内でシャドーITがどれくらい行われているか、実態を把握する必要があります。
例えば、業務に使用しているデバイスは何か、個人所有のデバイスを使用している場合は、その理由と社用のデバイスの不便な点などを調査・分析し、対策を考えます。

セキュリティ意識の向上

先述したように、シャドーITは、特に悪意なく、リスクを知らずに、個人所有のデバイスの方が便利であるために起こっていることが多いようです。
そのため、どのようなリスクや影響があるかを説明する機会を設け、従業員のセキュリティ意識を向上させる取り組みを行う必要があります。

BYODの導入

もし社用のデバイスの不便さがシャドーITにつながっているのであれば、BYODを導入することを検討してみましょう。
導入する際は、シャドーITのリスクを軽減するため、BYODのルールやガイドラインを策定し、運用することが大切です。

管理システムの導入

BYODを導入した後、ルールやガイドラインを設けてもシャドーITがなくならない場合、モバイル端末管理(Mobile Device Management:MDM)システムの導入が有効です。該当するデバイスを監視してコントロールすることができます。

社用携帯の導入

コストがかかりますが、社用携帯を導入することもシャドーIT対策の一つです。
導入する際は、使用するアプリケーションやネットワークを限定する、社内の情報は社内だけで取り扱うなどのルールを設定します。
ただし、使いやすいかどうかの検証が必須です。
使いやすくなければ対策にならず、かえってシャドーITを助長しかねません。

5.まとめ

現代の働き方は日々変化し、ITツールはめざましく進化していきます。
これらの変化に伴い、発生するリスクも変化していきますので、セキュリティにも目を向けて対応していく姿勢が大切です。