シャドーITとは?リスクと対策について解説

情報システム部門や総務部が認知せず、ユーザー部門が独自で導入したIT機器やクラウドサービスを「シャドーIT」と呼び、これらの存在によるセキュリティリスクが問題となっています。シャドーITを放置すると情報漏えいや不正アクセスなどが発生しやすくなるため、迅速にシャドーIT対策を進めることが重要です。本記事では、シャドーITとはどういったものなのか整理したうえで、シャドーITとして利用されやすいツールやそのリスク、対策について解説します。
お役立ち資料
管理工数を削減!IT資産管理ツールの選定ポイント
管理工数を削減!
IT資産管理ツールの選定ポイント
資料ダウンロード

シャドーITとは

シャドーITとは、企業内で用いられているIT機器やソフトウェア、クラウドサービスなどのうち、企業が承認しておらず社員が自らの判断で利用しているものを指します。つまり、本来の管理対象には入っていない機器やサービスのことです。多くの場合、「効率的に業務を進めたいから」「利便性が高いから」といった理由で利用されます。

シャドーITと似た概念としてBYODがあります。これは”Bring Your Own Device”の略で、社員が個人的に所有しているデバイス(スマートフォン、タブレット、PCなど)を業務で利用することです。
BYODは企業側から使用が承認された個人デバイスを活用することであり、シャドーITは企業が把握していない非公認のサービスや機器を利用するという違いがあります。

こうしたことから、企業としては効率的な業務遂行のために、BYODは活用をしつつシャドーITの利用を防止する必要があります。

BYODの詳細についてはこちらの記事で解説しています。

シャドーITとして利用されやすいツール

以下のように、無料で使えるサービスや社員個人のデバイスなどがシャドーITとしてよく利用されます。

・個人所有のデバイス
社員がプライベートで使用しているスマートフォン、タブレット、自宅のPCなどです。管理者の目が届きにくく、セキュリティ対策が不十分な場合があります。

・フリーメール
GmailやYahoo!メールなど、無料で簡単に利用できるメールアドレスです。アカウントが簡単に取得できるため、企業の管理下に置かれないままシャドーITとして利用されるケースが多くあります。

・オンラインストレージサービス
Google ドライブやDropbox、OneDrive、iCloudなど、オンライン上でファイルを共有・保存できるサービスを指します。大容量のファイル共有が可能で利便性が高いため、例えばテレワーク中に大容量ファイルのやり取りが必要になったときに利用されることがあります。

・チャットツール
ChatworkやSlack、Microsoft Teamsのようなビジネスでよく利用されるチャットツールのほか、LINEやSNSのDM(ダイレクトメッセージ)機能など、プライベートでよく使用する連絡手段も含まれます。プライベートでも利用しているツールを業務に用いると、業務上知り得た重要な情報が履歴に残り、情報漏えいにつながる恐れがあります。

シャドーITが広まった背景

シャドーITは、社員が悪意なく軽い気持ちで利用してしまうケースがほとんどですが、広まった背景としては以下の2つの要因が挙げられます。

1つ目は業務効率を高めるツールが多様化し、それらを利用するハードルが低下したことです。
近年は前述のオンラインストレージサービスやチャットツールをはじめとする多様なクラウドサービスが普及し、多くの企業が導入しています。無料で簡単に登録・利用できるものも多く、企業側の許可を得ずに「便利だから」という理由で勝手に使ってしまうことがよくあるのです。

2つ目はテレワークが普及したことです。
自宅をはじめオフィス以外で働く機会が増えたことで、現在はかつてよりも管理部門の目が届きにくい業務環境になりつつあります。多様な働き方が可能となった反面、自宅のPCや私用のスマホ、タブレットを業務で使用したり、あるいはそうしたデバイス経由でクラウドサービスを無断で利用したりするなど、シャドーITが広まる原因にもなっています。

シャドーITによるセキュリティリスク

シャドーITには、以下でご紹介するようにさまざまなセキュリティ上のリスクがあります。

情報漏えい

非常によくあるリスクのひとつが情報漏えいです。具体的には、私用のデバイスやUSBメモリ等の紛失、チャットツールやオンラインストレージへのハッキングおよび設定・管理ミス、フリーメールでの誤送信などが挙げられます。
企業が利用実態を把握していないため、原因の特定や対処に時間がかかることも大きな問題です。

不正アクセス

シャドーITで利用されているサービスのアカウントが不正に乗っ取られると、攻撃者が機密情報に容易にアクセスできてしまいます。
特にフリーWi-Fiは暗号化されていないものが多く、部外者が情報に不正アクセスしやすいので注意が必要です。例えば、カフェなどのフリーWi-Fi環境において、私用のデバイスでテレワークを行うことは、リスクが大きいので避けるべきでしょう。

アカウントの乗っ取り

シャドーITとして利用しているサービスのアカウントが脆弱なパスワードで保護されている場合、アカウントが乗っ取られるリスクが高まります。

社用に比べ私用のデバイスはセキュリティ対策が不十分なものも少なくありません。そのため、例えば無許可のクラウドストレージサービスに社用と私用両方のデバイスからアクセスして利用していると、私用のデバイスから侵入されIDやパスワードが漏えいし、アカウントが乗っ取られる可能性があります。

マルウェア感染

前述のように、私用のデバイスはセキュリティ対策が万全でないことが多いため、不正なファイルのダウンロードや不審なサイトへのアクセスなどを通じてマルウェアに感染しやすいことも問題です。

マルウェアに感染すると情報の漏えいやデータの破壊、アカウントの乗っ取りなどのリスクが生じます。例えばマルウェアに感染した状態の私用PCで社内LANにアクセスすると、ネットワーク全体が脅威にさらされ、社内の機器も含め深刻な影響が出る可能性もあります。

シャドーITへの対策方法

前章でご紹介したようなリスクを低減するためには、以下の対策をとることが効果的です。

ガイドラインの策定

ガイドラインを策定していないのであれば、早急に策定することが重要です。
ガイドラインにはシャドーITのリスクや禁止事項を記載したうえで、許可されているサービスと利用ルールを明記します。例えば、「私用のデバイスやUSBメモリ等を社内のIT機器に接続しない」、「許可なく社内のデータや機器を持ち出さない」といったルールを記載すると良いでしょう。

ただし、業務に必要なサービスまで禁止してしまうと利便性や効率性の低下を招くため、社内でのツールの利用実態などをヒアリングしたうえで、利用を認めるサービスやその運用方法を整理することがおすすめです。

社内教育の実施

シャドーITのリスクを認識していない社員や、シャドーITという概念そのものを知らない社員もいることが考えられます。そこで、社員に対しシャドーITの問題点や対策に関する教育を定期的に実施することが重要です。
情報セキュリティ研修を通じてガイドラインの内容を周知徹底し、セキュリティ意識を高める必要があります。

代替案の検討

シャドーITが利用される背景や社内のニーズを踏まえ、チャットツールやクラウドストレージサービスなどの利用を会社として承認したり、BYODを認めたりするなど、代替案を積極的に検討・導入することも効果的です。私用のスマートフォンを使うことが常態化しているのであれば、社用のスマートフォンを支給することも選択肢となります。

新たなサービスの導入やBYODを実施する際には、運用ルールや禁止事項などをガイドラインに明記し、周知することが大切です。

アクセス監視の体制整備

シャドーITの不正利用を検知するため、ネットワークアクセスやデータ転送を常時監視する体制を整備することも必要な対策のひとつです。情シス部門の担当者がシャドーITを監視できる状態を作ることができれば、社員がシャドーITを利用する動機を低減できます。

シャドーIT対策を実施し、セキュリティリスクに備えよう

さまざまなクラウドサービスの登場やテレワークの普及を背景としてシャドーITが利用される場面が増えていますが、適切に管理しないと情報漏えいや不正アクセスなどのセキュリティリスクが増大します。リスクを減らすためには、ガイドラインの策定や社員教育の徹底など基本的な対策が重要となりますが、企業規模が大きくなり、社員数が増えるほどシャドーITの対策は難しくなります。

そうした場合には、PCをはじめとしたデバイスの管理・対策をアウトソーシングすることが有効な選択肢となります。

Wave PC Mateは、PCの調達から処分まで、セキュリティ対策を含めたPCの管理トータルでアウトソーシングできるサービスです。最新のマルウェアの脅威への対策はもちろん、セキュリティ対策のPDCAサイクルを徹底することで、全社的なセキュリティレベルを高い状態で維持することが可能となります。

▶ Wave PC Mateのサービス資料はこちら


Wave PC Mateによるセキュリティ対策の詳細については、下記のページをご覧ください。

VDIからFAT回帰へ ~これからのクライアント端末環境とは~

お役立ち資料
管理工数を削減!IT資産管理ツールの選定ポイント
管理工数を削減!
IT資産管理ツールの選定ポイント
資料ダウンロード
このコラムを書いたライター
Wave PC Mate 運営事務局
Wave PC Mate 運営事務局
Wave PC Mateは、NTTデータ ウェーブが提供するハードウェアの調達から導入、運用管理、撤去・廃棄までのPCライフサイクルマネジメントのトータルアウトソーシングサービスです。本サイトでは、法人企業のPC運用管理業務の課題解決に役立つ様々な情報をお届けします。