シャドーITとは?
シャドーITとは、企業が抱えるセキュリティリスクです。具体的には、従業員たちが利用している、企業が把握していないデバイスやサービスのことを指しています。
ここでは、シャドーITとはどのようなリスクなのかをご説明します。
従業員が業務に使用しているITシステムで、企業側が許可や把握をしていないもの
シャドーITとは、従業員が業務に使用しているITシステムのうち、企業側が許可や把握をしていないものを指します。
IPA(独立行政法人情報処理推進機構)の『IPA news vpl.55』によると、次のように定義されています。
シャドーIT
従業員が私的に利用しているクラウドサービスを業務でも利用し、会社の知らない影のITシステム(シャドーIT)
具体的には、次のようなツールやサービスなどが該当します。
・従業員の個人使用のスマホやタブレット、USBメモリなど
・クラウドサービス(Googleドキュメントなど)
・オンラインストレージサービス(Dropboxなど)
・フリーメール(GmailやYahoo!メールなど)
・メッセージアプリ(LINEやInstagramなど)
無料で利用できるこれらのサービスやツールは便利ですが、セキュリティ面で十分な対策が行われていないこともあります。そのため、これらのサービスやツールを利用する際に、企業の機密情報や個人情報などが流出したり、不正アクセスが発生したりするリスクがあります。
企業側は、従業員が利用するサービスやツールを把握していれば対策も可能ですが、把握していないシャドーITについては、手の出しようがありません。シャドーITの利用が原因で、社内の個人情報が流出するなどのセキュリティインシデントが発生するリスクもあります。そのため、企業が把握していないシャドーITの存在は、企業にとって大きな脅威となるのです。
BYODとの違い
BYOD(Bring Your Own Device)は従業員の私用デバイスですが、企業が把握して承認しているという点で、シャドーITと異なります。
業務の効率化のために、従業員が私用デバイスを使うことを企業が認めることもあります。適切なルールや運用方法を定めることで、安全に使用することが可能です。
サンクションITとの違い
サンクションITとは、シャドーITとは真逆のものです。業務を遂行するために、企業が許可したツールやサービスのことを指しています。企業が把握して適切に管理し、アップデートを定期的に行うなどをすることで、安全に利用できます。
関連サービスについて
シャドーITが発生する原因
シャドーITは、なぜ発生してしまうのでしょうか。企業がシャドーITを禁止しても、従業員が使用してしまうこともあります。ここでは、シャドーITが発生する原因について、ご説明します。
許可されているITシステムへの不満
企業内で従業員が業務に使うことを許されているツールやサービスなどのITシステムに対して、従業員が不満を感じていることがあります。
たとえば、社内の備品として割り当てられているタブレットの性能が悪すぎて動作が重い、ツールの使い勝手が悪いなどです。企業側が十分な予算を割り当てていない、新しいツールやサービスを貸与してくれないなどの理由で、従業員の業務効率が落ちているのかもしれません。
このような場合、従業員は自前で企業が認めていないデバイスやツール、サービスを使ってしまい、シャドーITになってしまいます。
働き方の多様化
新型コロナによる影響により、働き方の多様化が進みました。自宅でテレワークをする際に自宅のデバイスを利用するなど、私用のデバイスやツールを使う機会が増えています。
それにともない、企業が認めていないシャドーITを使う機会が増えてしまったことも、原因として考えられます。
シャドーITになりやすいもの
シャドーITとして使われやすいデバイスやツール、メッセージもあります。シャドーITの利用を防ぐために、企業はシャドーITになりやすいものを把握しておく必要があるでしょう。
私物のITデバイス
私物のITデバイス、たとえばスマホ、タブレット、USBメモリなどは、シャドーITになりやすいでしょう。
会社にタブレットやノートパソコンを置いてきたので、自宅のスマホやタブレットから社内ネットワークにアクセスするなどは、よくあることです。また、データを自宅にもち帰る際に、自前のUSBメモリを使ってしまうことも考えられます。
私物のデバイスは適切にアップデートされていない場合もあり、脆弱性が潜んでいる可能性があります。その脆弱性をついて、マルウェア感染や不正アクセスなどが発生しないとも限りません。
メッセージアプリ
メッセージアプリとは、たとえばLINE、Facebook、Instagramなどがあります。これらのアプリは無料であり、自分で使っているアプリを使うことで、手軽に業務のやりとりができます。
たとえば、客先の担当者と連絡先交換をしたい場合、個人のLINEアカウントでさっとすませてしまうこともあるでしょう。しかし、個人のスマホやLINEアカウントが乗っとり被害にあい、客先の担当者にウイルスをばらまいたり、詐欺メッセージを送信したりする可能性もないとはいえません。
フリーメール
フリーメールには、たとえばGmail、Yahoo!メールなどがあります。
自前で取得しているこれらのフリーメールアカウントから、取引先の担当者などとやりとりをしてしまうこともあるかもしれません。しかし、上記のメッセージアプリの例と同様に、メールアカウントの乗っとりにあった場合などに、客先に被害がおよぶ可能性もあります。
オンラインストレージ
業務でクラウドサービスのオンラインストレージを利用する場合もあるでしょう。しかし、企業が承認していない無料のストレージサービスなどを利用すると、セキュリティ対策が万全ではないこともあります。サービス運営者が連絡もなしにサービスを終了してしまう、データの管理がずさんで外部に流出してしまうなどもないとはいえません。
企業の重要なデータを預ける際には、有料でセキュリティ面が充実し、補償制度もあって信頼できる、企業が認めたストレージサービスを利用すべきです。
クラウドサービス
企業が認めていないクラウドサービスを使うことで、データの流出やアカウントの侵害などが起こっても、企業側は対応できません。とくに、無料サービスや料金が安いサービスなどは、セキュリティ面が手薄になりがちです。社内の重要データや個人データが流出したり、アカウントが乗っとられてなりすまし被害にあったりするリスクもあります。
関連サービスについて
シャドーITによって起こりうるインシデント
従業員がシャドーITを利用することで起こるインシデントには、以下のようなものがあります。
情報漏洩
私物のスマホやタブレットなどを利用した際に、社内の重要なデータや個人情報などを誤って、無関係な人にメールで送ってしまうなどのインシデントが起こることがあります。また、セキュリティ面の対策が不十分なストレージサービスなどを利用することで、情報が漏洩するケースも考えられます。
不正アクセス
アカウントの乗っとり
セキュリティソフトなどにより、十分に守られていないスマホやタブレットなどから社内システムにログインした際に、認証情報を盗まれるケースもあります。その結果、アカウントが乗っとられて、社内システムにサイバー犯罪者の侵入を許してしまいます。
マルウェア感染
セキュリティソフトがインストールされていない、またはアップデートが十分に行われていないデバイスを利用することで、マルウェア感染してしまうことがあります。そして、マルウェア感染したデバイスで社内ネットワークにアクセスすることにより、侵入を許して、マルウェア感染が社内ネットワーク内に広がってしまうのです。
また、デバイス内のメールアドレス情報などを勝手に利用され、無作為にメールが送信されるなどの被害も考えられます。実在する従業員のメールアカウントから届いたメールなので、顧客や取引先、関係者などは疑わずに、そのメールを開封してしまうでしょう。その結果、マルウェア感染がさらに広がるリスクがあります。
マルウェアに関してはこちらもご覧ください。
>>マルウェアとは?特徴や種類、感染経路を理解し、事前・事後対策する方法を紹介のページへ
端末やデータの紛失
私物のスマホやデバイスに、社内の重要なデータを保管したまま、紛失してしまうリスクがあります。
社内のデバイスであれば、ほぼ通勤にしか使わないでしょう。しかし、私物のデバイスはプライベートでもち歩くため、紛失のリスクが高まります。
シャドーITへの対策
企業内のシャドーITへ対策する際のステップについて、ご説明します。
現状を把握する
まずは、従業員たちがどのようなシャドーITを使っているのか、現状を把握します。スマホやタブレットなどの私物のデバイス、LINEなどのメッセージアプリなどを使っていないかヒアリングしましょう。
ヒアリングする際には、私物ツールやサービスを使うことは禁じるというスタンスではなく、改善していきたいというスタンスで聞く方がよいでしょう。そうしないと、シャドーITの存在を隠されてしまう可能性もあり、把握がむずかしくなります。
企業が現状シャドーITとなってしまっているものを認めて、適正に管理する方向で進めることを前提に、確認することをおすすめします。
業務で使用するITシステムの利便性を上げる
現状の把握ができたら、企業が使用を認めるもの、認められないため別で用意するものなどに分類します。
従業員が私物を使っているということは、企業側が用意したツールやサービスでは不十分である可能性が高いです。そのため、従業員側の細かい要望を確認し、不足している部分について、柔軟に補う必要があるでしょう。
CASBでシャドーITを可視化する
CASB(キャスビー)とは、クラウドサービスのセキュリティ対策に役立つ仕組みのひとつです。CASBで従業員のクラウドサービスの利用状況を監視し、セキュリティ対策を行います。
CASBを導入することで、従業員が安全にクラウドサービスを利用できるでしょう。
CASBについてはこちらもご覧ください。
>>CASBとは?SWGとの違いや機能、導入するメリット・注意点を解説のページへ
ガイドラインを作成する
従業員のITシステムの利用に関して、ガイドラインを作成します。社内でルールや運用方法を定め、企業が承認していないツール類を使用しないように周知しましょう。
アクセス管理を強化する
システム的に、私物のツールやデバイスなどを利用できないようなアクセス管理方法に、変える必要もあります。
たとえば、承認されていないUSBメモリを社内の端末に挿すと管理者に通知が行く、データを外部にコピーできないようにするなどです。企業が承認していないデバイスやツールを使えないように、システム的にガードすることで、意図せずにシャドーITの利用が発生しないようにすることも可能です。
セキュリティ教育を実施する
企業が承認しないツールやシステムを利用することで起こる問題などについて、セキュリティ教育を行い、従業員のセキュリティ意識を高める必要があります。
シャドーITをただ禁止するのではなく、なぜ使うべきではないのか、使うとどのような問題が起こるのかを詳しく説明します。そうすることで、従業員一人ひとりの意識が高まり、企業全体のセキュリティレベルを高められるでしょう。
まとめ
この記事では、シャドーITとは何か、シャドーITが発生する原因やシャドーITになりやすいもの、対策などについて解説しました。
企業内で、従業員によるシャドーITの利用状況を把握できていない場合、まずは正確に状況を把握する必要があります。シャドーITを放置すると、大きなセキュリティインシデントが発生する可能性が高いので、早急に対処することをおすすめします。
SHIFTでは、セキュリティソリューションの導入支援を行っています。シャドーITによる重大なセキュリティインシデントが発生する前に、適切な対応を行っておきましょう。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ