シャドーITとは？情報漏えいリスクにどう対策すればいい？

通信インフラの発達や、便利なクラウドサービスの普及により近年問題となっているのが「シャドーIT」です。シャドーITにはどのようなリスクが潜んでいるのか、また、どのように対応すべきなのか解説します。

シャドーITとは？

企業が利用を認めていないアプリケーションやソフトウェア、私用の端末（PC、スマートフォン、タブレット）を従業員が業務で無断利用することを「シャドーIT（Shadow IT）」と呼びます。ネットワークを介して利用できるクラウドサービスが増加したことや、在宅勤務やリモートワークなどの場所を選ばない働き方が浸透しつつあることにより、シャドーITが増えています。

シャドーITは情報漏えいリスクを高める

シャドーITは、企業の情報漏えいリスクを高めます。セキュリティ対策が万全ではないクラウドサービスやOSを更新していない私用端末はセキュリティ上の脆弱性（セキュリティホール）となります。それらが不正アクセスやウイルス感染などのサイバー攻撃の被害に遭った場合、顧客情報や財務情報が外部に漏えいするリスクがあります。さらに、企業の管理下にないがゆえに侵入経路の把握に時間がかかり、対応が遅れ、被害が拡大しやすいという特徴もあります。

サンクションITやBYODとの違い

シャドーITと似た言葉に「サンクションIT（Sanctioned IT）」と「BYOD」があります。

サンクションITは企業が利用を承認・把握しているIT機器やアプリケーションのことです。会社支給の端末や、メーラーやスケジューラー、ファイルサーバーなど、企業が利用環境を整えている業務上必要なツールがこれに当たります。

BYODはBring Your Own Deviceの略で、業務に私用端末を利用することです。利用対象が端末ではなくアプリケーションの場合は、BYOA（Bring Your Own Application）と呼びます。端末やアプリケーションの購入費用を削減できることはもちろん、使い慣れた端末をそのまま業務に利用できることから、生産性向上に貢献すると近年注目を集めている手法です。

両者とも、企業が利用を承認・把握している点においてシャドーITと異なります。このことから、シャドーITを「勝手BYOD」と呼ぶこともあります。

シャドーITのリスクをパターン別に解説

会社が利用を認めていないアプリケーションや端末を業務で利用することにどんなリスクが潜んでいるのか、よくある例を挙げながら解説します。

チャットアプリ｜なりすまし

MessengerやSkype、LINEなどのチャットアプリは個人間やグループ内でスムーズにコミュニケーションを取りたいときに便利ですが、業務で利用すると誤送信やなりすまし（アカウント乗っ取り）によって業務に関する情報が外部に漏えいするリスクがあります。業務とプライベートの線引きが曖昧になることからも、プライベート用の個人アカウントを業務に利用することはおすすめできません。業務上必要であれば、ビジネス用チャットアプリの導入がおすすめです。

クラウドサービス｜不正アクセス

場所を選ばずにシームレスにアクセスできるクラウドサービス（SaaS、PaaS、IaaS）は、外出中や在宅勤務時に非常に便利ですが、業務で無断利用すると、不正アクセスを受けた際に会社がその侵入経路を特定し、迅速な対応を行うための障害となります。クラウドサービスはネットワークに接続して利用するという性格上、常に不正アクセスのリスクにさらされています。会社が安全性を確認し、承認したサービスのみを利用しましょう。

モバイルルーター｜通信内容の流出

社外で仕事をするため、外出の多い営業職の人などが個人で安価なモバイルルーターを購入して使用しているケースがあります。しかし、暗号化方式の古いルーターでは、通信内容を傍受されたときに簡単に解読されてしまうリスクがあります。同様の理由で、外出先でのフリーWi-Fiへの接続も避けたほうがいいでしょう。

USBメモリ｜紛失

USBメモリに業務に必要なデータをコピーし、自宅に仕事を持ち帰っている社員はいませんか。USBメモリに機密情報を保存する行為は紛失などによる情報漏えいリスクが高いため、多くの企業で禁止されています。たとえ悪意がなかったとしても、被害がなかったとしても、データをコピーした時点で処分の対象となる場合もあります。

シャドーIT対策、禁止するだけでは不十分？

実態がつかみにくいシャドーITに対し、企業はどのような対策を講じればよいのでしょうか。

実態を把握し、代案を用意する

シャドーITの利用目的や頻度を把握し、代案を用意することが重要です。シャドーITを利用するのには「時間や場所を選ばずに仕事がしたい」「スムーズに情報共有したい」といった理由が必ずあります。理由がある以上、むやみに禁止したところで効果はあまり期待できません。何のために必要なのか把握し、きちんと代案を示すことで本質的な業務改善につながります。

新しいサービス・機器導入時のルールを整える

シャドーITを減らすには、新しいサービスや機器を導入する時のルールを整備し、従業員に周知する必要があります。そもそも「どこに申請すればいいのか分からない」「申請から承認まで時間がかかる」「導入時に確認すべき項目や判断基準があいまい」といったサービス導入時のハードルの高さが、シャドーITを増やす温床となっているためです。

また、導入時に確認すべき項目として重要なのが情報セキュリティです。導入の判断基準には必ず、情報の安全性が担保されているかどうかを含めましょう。

例えば、オンラインストレージを導入する際は以下の点を確認しましょう。

• 利用サーバー
• データのバックアップ（頻度、保存場所、方法）
• 通信方式（暗号化通信に対応しているか、強度は充分か）
• 権限管理機能（閲覧可、編集可、ダウンロード可など）
• 各種認証機能（IPアドレス認証、端末認証、生体認証など）
• アクセス・操作ログの取得（取得できるログの種類、保存期間など）

モニタリング・フィルタリングを行う

従業員のクラウドサービスの利用状況を監視（モニタリング）したり、利用を許可していないサービスへの接続やデータのアップロードを遮断（フィルタリング）したりすることで、シャドーITの抑止、無効化を図ることができます。

情報リテラシー教育を行う

従業員に対して情報リテラシー教育を行い、シャドーITがいかにリスクの高い行為か、認識を共有することも有効です。新入社員研修のカリキュラムに「情報セキュリティ」を含めることはもちろん、定期的な勉強会の開催やe-learningの導入など、学び直しの場を提供し続けることで、情報セキュリティに対する意識の高い状態を維持しましょう。

通信環境が整備され、便利なクラウドサービスが数多く登場し、スマ―トフォンなどのモバイル端末も普及している以上、より便利な方法、効率的な方法を選ぶのは当然のことです。テクノロジーの力を活用し「企業の生産性を高めること」と「大切な情報を守ること」を両立させるために、会社と従業員の協力関係を築くことが重要です。

コラボ特化型のオンラインストレージ「eTra COLLABO」なら、生体認証など高い安全性を誇る認証機能で、不正アクセスからデータを守ります。さらに、操作ログを記録しているため、管理者が必要に応じて「いつ、誰が、どのような」操作を行ったのかを確認することができます。操作ログの取得はセキュリティインシデント発生時の調査・追跡が容易になるだけでなく、不正利用の抑止力としての効果も期待できます。「eTra COLLABO」の機能について詳しくはこちらのページをご覧ください。