シャドーITとは？リスクと対策について解説

シャドーITとは、企業内で用いられているIT機器やソフトウェア、クラウドサービスなどのうち、企業が承認しておらず社員が自らの判断で利用しているものを指します。つまり、本来の管理対象には入っていない機器やサービスのことです。多くの場合、「効率的に業務を進めたいから」「利便性が高いから」といった理由で利用されます。

シャドーITと似た概念としてBYODがあります。これは”Bring Your Own Device”の略で、社員が個人的に所有しているデバイス（スマートフォン、タブレット、PCなど）を業務で利用することです。
BYODは企業側から使用が承認された個人デバイスを活用することであり、シャドーITは企業が把握していない非公認のサービスや機器を利用するという違いがあります。

こうしたことから、企業としては効率的な業務遂行のために、BYODは活用をしつつシャドーITの利用を防止する必要があります。

BYODの詳細についてはこちらの記事で解説しています。

BYODとは？メリットやデメリット、導入時の注意点を解説

社員が個人で所有するスマートフォンやノートパソコンなどの端末を業務に活用する「BYOD」が注目されています。BYODはリモートワークの普及などで身近になりましたが、セキュリティの面で課題もあります。そこで本記事では、BYODのメリットやデメリット、導入時に注意すべきポイントなどを解説します。

以下のように、無料で使えるサービスや社員個人のデバイスなどがシャドーITとしてよく利用されます。

・個人所有のデバイス
社員がプライベートで使用しているスマートフォン、タブレット、自宅のPCなどです。管理者の目が届きにくく、セキュリティ対策が不十分な場合があります。

・フリーメール
GmailやYahoo!メールなど、無料で簡単に利用できるメールアドレスです。アカウントが簡単に取得できるため、企業の管理下に置かれないままシャドーITとして利用されるケースが多くあります。

・オンラインストレージサービス
Google ドライブやDropbox、OneDrive、iCloudなど、オンライン上でファイルを共有・保存できるサービスを指します。大容量のファイル共有が可能で利便性が高いため、例えばテレワーク中に大容量ファイルのやり取りが必要になったときに利用されることがあります。

・チャットツール
ChatworkやSlack、Microsoft Teamsのようなビジネスでよく利用されるチャットツールのほか、LINEやSNSのDM（ダイレクトメッセージ）機能など、プライベートでよく使用する連絡手段も含まれます。プライベートでも利用しているツールを業務に用いると、業務上知り得た重要な情報が履歴に残り、情報漏えいにつながる恐れがあります。

シャドーITは、社員が悪意なく軽い気持ちで利用してしまうケースがほとんどですが、広まった背景としては以下の２つの要因が挙げられます。

1つ目は業務効率を高めるツールが多様化し、それらを利用するハードルが低下したことです。
近年は前述のオンラインストレージサービスやチャットツールをはじめとする多様なクラウドサービスが普及し、多くの企業が導入しています。無料で簡単に登録・利用できるものも多く、企業側の許可を得ずに「便利だから」という理由で勝手に使ってしまうことがよくあるのです。

2つ目はテレワークが普及したことです。
自宅をはじめオフィス以外で働く機会が増えたことで、現在はかつてよりも管理部門の目が届きにくい業務環境になりつつあります。多様な働き方が可能となった反面、自宅のPCや私用のスマホ、タブレットを業務で使用したり、あるいはそうしたデバイス経由でクラウドサービスを無断で利用したりするなど、シャドーITが広まる原因にもなっています。

シャドーITには、以下でご紹介するようにさまざまなセキュリティ上のリスクがあります。

非常によくあるリスクのひとつが情報漏えいです。具体的には、私用のデバイスやUSBメモリ等の紛失、チャットツールやオンラインストレージへのハッキングおよび設定・管理ミス、フリーメールでの誤送信などが挙げられます。
企業が利用実態を把握していないため、原因の特定や対処に時間がかかることも大きな問題です。

シャドーITで利用されているサービスのアカウントが不正に乗っ取られると、攻撃者が機密情報に容易にアクセスできてしまいます。
特にフリーWi-Fiは暗号化されていないものが多く、部外者が情報に不正アクセスしやすいので注意が必要です。例えば、カフェなどのフリーWi-Fi環境において、私用のデバイスでテレワークを行うことは、リスクが大きいので避けるべきでしょう。

シャドーITとして利用しているサービスのアカウントが脆弱なパスワードで保護されている場合、アカウントが乗っ取られるリスクが高まります。

社用に比べ私用のデバイスはセキュリティ対策が不十分なものも少なくありません。そのため、例えば無許可のクラウドストレージサービスに社用と私用両方のデバイスからアクセスして利用していると、私用のデバイスから侵入されIDやパスワードが漏えいし、アカウントが乗っ取られる可能性があります。

前述のように、私用のデバイスはセキュリティ対策が万全でないことが多いため、不正なファイルのダウンロードや不審なサイトへのアクセスなどを通じてマルウェアに感染しやすいことも問題です。

マルウェアに感染すると情報の漏えいやデータの破壊、アカウントの乗っ取りなどのリスクが生じます。例えばマルウェアに感染した状態の私用PCで社内LANにアクセスすると、ネットワーク全体が脅威にさらされ、社内の機器も含め深刻な影響が出る可能性もあります。

前章でご紹介したようなリスクを低減するためには、以下の対策をとることが効果的です。

ガイドラインを策定していないのであれば、早急に策定することが重要です。
ガイドラインにはシャドーITのリスクや禁止事項を記載したうえで、許可されているサービスと利用ルールを明記します。例えば、「私用のデバイスやUSBメモリ等を社内のIT機器に接続しない」、「許可なく社内のデータや機器を持ち出さない」といったルールを記載すると良いでしょう。

ただし、業務に必要なサービスまで禁止してしまうと利便性や効率性の低下を招くため、社内でのツールの利用実態などをヒアリングしたうえで、利用を認めるサービスやその運用方法を整理することがおすすめです。

シャドーITのリスクを認識していない社員や、シャドーITという概念そのものを知らない社員もいることが考えられます。そこで、社員に対しシャドーITの問題点や対策に関する教育を定期的に実施することが重要です。
情報セキュリティ研修を通じてガイドラインの内容を周知徹底し、セキュリティ意識を高める必要があります。

シャドーITが利用される背景や社内のニーズを踏まえ、チャットツールやクラウドストレージサービスなどの利用を会社として承認したり、BYODを認めたりするなど、代替案を積極的に検討・導入することも効果的です。私用のスマートフォンを使うことが常態化しているのであれば、社用のスマートフォンを支給することも選択肢となります。

新たなサービスの導入やBYODを実施する際には、運用ルールや禁止事項などをガイドラインに明記し、周知することが大切です。

シャドーITの不正利用を検知するため、ネットワークアクセスやデータ転送を常時監視する体制を整備することも必要な対策のひとつです。情シス部門の担当者がシャドーITを監視できる状態を作ることができれば、社員がシャドーITを利用する動機を低減できます。

さまざまなクラウドサービスの登場やテレワークの普及を背景としてシャドーITが利用される場面が増えていますが、適切に管理しないと情報漏えいや不正アクセスなどのセキュリティリスクが増大します。リスクを減らすためには、ガイドラインの策定や社員教育の徹底など基本的な対策が重要となりますが、企業規模が大きくなり、社員数が増えるほどシャドーITの対策は難しくなります。

そうした場合には、PCをはじめとしたデバイスの管理・対策をアウトソーシングすることが有効な選択肢となります。

Wave PC Mateは、PCの調達から処分まで、セキュリティ対策を含めたPCの管理トータルでアウトソーシングできるサービスです。最新のマルウェアの脅威への対策はもちろん、セキュリティ対策のPDCAサイクルを徹底することで、全社的なセキュリティレベルを高い状態で維持することが可能となります。

Wave PC Mateによるセキュリティ対策の詳細については、下記のページをご覧ください。