シャドーitとは|トラブル事例から学ぶ原因と対策方法は?

シャドーitとは|トラブル事例から学ぶ原因と対策方法は?

記事更新日: 2021/07/08

執筆: 河野亜希

コロナ禍によるテレワークの普及により、話題となっているシャドーIT。言葉は聞いたことがあるけれど、実態を良く知らない人も多いのではないでしょうか。

シャドーITとは個人所有のタブレットやPC、Webサービスを企業の許可を得ずに業務に利用する行為です。

今回はシャドーITについて、トラブル事例や発生する原因を踏まえながら解説していきます。

またシャドーITの防止策やセキュリティ対策についてもご紹介しているので、ぜひご覧ください。

シャドーITとは?

シャドーITとは企業が把握していない、従業員個人が所有しているスマホやタブレット、Webサービスを使用して業務を行う行為を指します。

普段使い慣れている端末やサービスは、より効率的に業務が進められるのでシャドーITを行っている従業員も少なくないでしょう。

しかし、個人所有の端末にはセキュリティ対策が不十分な場合もあるため、企業としてはリスクとなります。

ここではシャドーITの何が問題なのか、同じ個人所有の端末を使用するBYODとの違いについて解説します。

シャドーITの問題点

シャドーITとは個人所有のタブレットやPC、クラウドサービスなどWebサービスを企業の使用許可を得ずに業務に利用する行為です。

近年多くの人に親しまれるようになったIT機器やクラウドサービスは、個人の生活を豊かにしてくれるだけでなく業務効率も高めてくれます。

しかし、業務を効率的に進められる高性能な端末やサービスであっても、万全なセキュリティ対策を行わなければ、さまざまなトラブルの原因になりかねません

ITに強い社員であっても個人でできるセキュリティ対策には限度があり、機密情報の流出や重要なデータの損失など企業にとって大きな被害が起こる可能性があります。

テレワークの普及によりシャドーITの問題は深刻化しており、企業のIT担当者は大切な企業情報を守るために従業員へ適切な指導・管理が求められています

BYODとの違い

シャドーITと同じく、個人所有の端末を使用する「BYOD(Bring Your Own Device)」があります。

シャドーITとBYODの違いは、企業から承認を得ている端末であるかという点です。

BYODもトラブルリスクはありますが、承認時にモバイル管理ツールの利用を条件にすれば、トラブルを回避できる可能性があります。

シャドーITはトラブルが起きてしまってから発覚することが多いため、BYODよりもトラブルへの対処が遅れやすい傾向にあります。

やりがち!シャドーITに当てはまる行為

特に忙しい従業員は業務効率を高めるために、シャドーITをやりがちです。ここでシャドーITに当てはまる行為について、3つ紹介します。

  • 業務の持ち帰り
  • 無料のチャットサービスなどコミュニケーションツール
  • セキュリティが万全でないネット環境

 

具体例1. 業務の持ち帰り

忙しい従業員が特にやりがちなシャドーITの一つに、業務の持ち帰りがあります。

多くの企業が取り組んでいる働き方改革によって、溜まってしまった業務を自宅で行っているケースです。

USBやクラウドサービスを利用して業務データを持ち出す従業員が増加しており、情報漏えいやデータ損失につながっている事例も散見されます。

従業員としては残った業務を遂行するために悪意なく行っているケースが多く、企業のIT担当者を悩ませている例でもあります。

具体例2. チャットサービスなどコミュニケーションツール

メールよりも素早く手軽にコミュニケーションが取れるチャットは、多くのサービスが提供されています。

実はシャドーITと知らずに利用されているケースが多く、その手軽さからうっかり重要なデータを漏えいさせてしまうトラブルも。

また同僚や上司、取引先になりすまして機密情報を奪う、なりすまし被害も確認されています。

具体例3. セキュリティが万全でないネット環境

カフェやレンタルオフィスなどで提供されている無料Wi-Fiは、暗号化強度や認証方法に問題がある場合があります。

無料Wi-Fiは誰でも利用できるメリットがありますが、企業が把握していないネットワークではどんな通信やデータを利用しているか、覗かれてしまう危険性があります。

不正アクセスされる可能性もある接続方法のため、外出先で業務を行うことが多い従業員には、特に注意してもらわなければなりません。

また個人所有のスマホでテザリングを行う場合も、スマホがウイルス感染していないとは限らないため、セキュリティリスクは高いと言えます。

シャドーITのトラブル事例

知らぬ内に従業員が行っているシャドーITは、トラブルが起きた時とても重大な情報事故が起きやすい傾向があります。

ここではシャドーITで多いトラブル事例をご紹介します。

事例1. オンラインストレージの利用で情報漏えい

GoogleやDropboxなど、ストレージサービスを利用されている方も多いのではないでしょうか。

大きなデータのやり取りも簡単にできるオンラインストレージは、シャドーITで利用されているケースがとても多いです。

大手のストレージサービスはセキュリティレベルが高く設定されていますが、無料のサービスの中には脆弱なものもあります。

トラブル事例では、ストレージサーバーの問題で公開設定が変更されてしまい、誰でも見られる状態にされていたケースも。

またアカウント情報が流出し、企業の機密情報が盗み取られてしまったトラブルも発生しています。

事例2. コミュニケーションツールのなりすまし被害

スピーディーなやり取りができるチャットサービスでは、同僚や上司になりすましてフォロー申請されるなりすまし被害が横行しています。

なりすまし被害で起こるトラブルは、機密情報の流出やウイルス感染が多いです。

なりすましだと気づかずに従業員が情報のやり取りをしていても、企業はログが確認できないためトラブルの発生に気づけません。

従業員や企業が気づいたときには、大きな損失になっている可能性もあるでしょう。

シャドーITが発生する原因

これだけのリスクがあるのに、なぜシャドーITが起きてしまうのでしょうか。考えられるシャドーITの原因について、確認してみましょう。

業務効率が上がるサービスがある

従業員がシャドーITを行ってしまう原因の一つに、普段から利用しているツールやサービスが業務効率化につながると考えている可能性があります。

特に企業が提供しているシステムが利用しにくい場合、企業に黙って使いやすいツールを使用してしまう可能性があります。

例えばオンラインストレージサービスは、いちいちUSBなどにデータを移さなくても外部でデータが取り扱える手軽さが魅力です。

またチャットサービスもビジネス向けに特化したものより手軽なものを利用しているケースが多く、業務には手軽さを重視したサービスを利用したいニーズがあるのかもしれません。

従業員のセキュリティ意識が低さが原因であることも

危険性を理解せずにシャドーITを行っている、セキュリティ意識の低い従業員もいます。ただ決して悪気があるわけでなく、質の高い業務を行うことを目的に使用しているケースが多いでしょう。

セキュリティ意識はシャドーITに限らず業務を行う上で必要なスキルなので、十分な教育、ガイドラインさえ設ければ解消できる問題でもあります。

シャドーITの具体的な対策方法

企業としてはシャドーITによるトラブルを防ぐため、適した対策を行わなければなりません。

ここからは具体的な対策方法を4つご紹介します。ぜひ自社で導入できそうなものから、積極的に取り入れてみてください。

現場のニーズを確認するし、導入を検討する

ただシャドーITを禁止させるよりも、実際に業務に携わっている従業員にどういったツールがほしいのか確認し、自社で導入できないのか一度検討してみるのもおすすめです。

ツールをうまく導入できれば、トラブル発生時にも素早い対処が行なえます。

従業員全員にニーズを確認するのは難しいですが、導入を検討してもらえるとわかれば従業員から導入してほしいツールの提案があるかもしれません。

シャドーITは社内全体の問題なので、まずは社内アンケートなどから取り組んでみてはいかがでしょうか

導入ガイドラインを用意する

新しいツールを導入する場合は一定のガイドラインを設け、禁則事項を行ったときには罰則などの規定を設けておきましょう。

自社で承認したツールであっても適した使用方法でなければ、トラブルの原因になりかねません。

ガイドラインの選定は社内IT担当者だけでなく、導入ツールに詳しい従業員など実際に使用する従業員目線に立って行うといいでしょう。

セキュリティの向上を目的とした研修を行う

シャドーITの原因の一つに、従業員のセキュリティ意識が問題であるケースがありました。

どんなトラブルが起こるか、安全に業務効率化させるために必要なことについて社内全体で検討するためには、セキュリティ向上を目的とした研修は必須と言えます。

正しくITを理解することでセキュリティ意識が高まり、シャドーITを食い止められるかもしれません。また、普段セキュリティに不安がある従業員へ、安全に業務を行う方法を直接伝えられる機会でもあります。

社員PCを監視するサービスを利用する

シャドーIT対策として注目されてきているのが、社員PCを管理できるCASB(Cloud Access Security Broker)です。

CASBは、クラウドサービスの利用状況や機密情報のデータ保護といった機能があります。また、社内ネットワークのゲートウェイに設置したり、クラウド上に設置ができたりと面倒な設定もなく、社員の増減にも対応しやすい便利な監視ツールです。

初期費用やランニングコスト、CASBを運用する機器管理が必要となりますが、シャドーITの把握や抑止につながりやすいので、ぜひ導入を検討してみてくださいね。

まとめ

テレワークを推奨している企業の悩みのタネでもあるシャドーITは、セキュリティリスクの高い問題です。

企業としてはトラブルが発生してしまう前に、早急な対処が求められます。

シャドーITを完全に防ぐことは難しいかもしれません。しかし、うまく業務効率化できるようなツールを導入できれば、シャドーITの抑止だけでなく社内の生産性を高めることができます

ぜひ今回ご紹介している対策方法を参考に、シャドーIT対策に取り組んでみてください。

画像出典元:写真AC、pixabay

最新の記事

ページトップへ