• 更新日 : 2024年7月16日

シャドーITとは?該当するものや原因・リスク・企業の対策をわかりやすく解説

シャドーITとは、企業内での利用が認められていないITサービスやIT機器を無断で使用することです。これらのサービスやIT機器は適切に管理されない傾向にあり、セキュリティ上のリスクになることがあります。シャドーITの利用で想定されるリスクや、企業側が実施すべき対策をまとめました。また、インシデントの具体例も紹介します。

シャドーITとは?


シャドーITとは、企業内での利用が許可されていないITサービスやIT機器を無断使用することです。これらのITサービスやIT機器は適切に管理されない傾向にあるため、セキュリティ上のリスクになることも少なくありません。

たとえば、社内で利用するチャットサービスではなく別のチャットサービスで社員と連絡を取ること、企業で支給されたもの以外のスマートフォンを社内で使用することなどは、シャドーITの行為といえます。後述しますが、シャドーITによってセキュリティリスクが引き起こされることもあり、決して推奨される行為とはいえません。

内部統制は、企業経営において重要な役割を果たしています。まずリスク管理の面では、企業が直面する様々なリスクを特定し適切に管理することで、業務の効率化や不正行為の防止に貢献します。また法令遵守の観点からも、内部統制は企業が法律や規制を守るための基盤となり、法的リスクを軽減し企業の信頼性向上につながるものです。

一方でIT統制は、企業の重要なデータを保護する仕組みとして機能し、データの漏洩や不正アクセスを防止します。情報セキュリティに関する法令や規制を遵守するための基盤を提供することで、法的リスクを軽減し、企業の信頼性向上に寄与します。

こういった理由から、シャドーITへの対策を講じることが求められています。具体的には、ITポリシーを策定して全社員に周知を徹底したり、すべてのITリソースを一元管理し、使用状況を監視したりなどの取り組みです。

なお、IT統制に関しては下記の記事で解説しているので、ぜひあわせてご覧ください。

シャドーITとBYODの違い

BYOD(Bring Your Own Device)とは、個人のIT機器を業務において使用することです。企業側がIT機器を支給せず、個々のIT機器を使うように指示している場合を指します。

通常、会社はシャドーITまで管理することはできませんが、BYODの場合は個人デバイスであっても管理が可能です。そのため、会社でデバイスを支給せずに個人の所有物を利用する場合、BYODはセキュリティ対策として有効と言えます。ただし、BYODにおいても個人がルールを守らなければセキュリティリスクに関わるので、教育を徹底するなど注意が必要です。

シャドーITに該当するもの

「便利だから」「つい習慣で……」などの理由から、企業で許可を得ていないIT機器やITサービスを業務で使用することがあるかもしれません。よくあるシャドーITの例としては、次のものが挙げられます。

  • 私用デバイス
  • メッセージアプリ
  • フリーメール
  • オンラインストレージサービス
  • クラウドサービス

それぞれを利用するケースについて見ていきましょう。

私用デバイス

社員個々に据付のパソコンが支給されている場合、社内での業務には使用できても、出先や移動中には使えません。ちょっとしたスキマ時間に私用のスマートフォンやタブレットを取り出し、書類作成や報告書提出などの業務の続きを行うことがあるかもしれません。

メッセージアプリ

企業で指定されているメッセージアプリやチャットサービスではなく、個人的に利用しているメッセージアプリなどで業務連絡を取り合うことがあります。社内指定のサービスが使いにくいときや、プライベートでも連絡をしている相手に対しては、つい指定外のサービスを使ってしまうかもしれません。

フリーメール

企業から支給されたメールアドレスを使わず、個人的に利用しているフリーメールでデータを送信することもあるかもしれません。たとえば、業務中のファイルをフリーメールを使って自分宛てに送り、自宅で作業をするケースが想定されます。

オンラインストレージサービス

私的に利用しているオンラインストレージサービスに業務中のファイルを預け、自宅で作業をするケースも想定されます。手間をかけずに一時的に保存できる点は便利ですが、権限設定によっては情報漏えいのリスクがあります。

クラウドサービス

ストレージサービス以外にも、さまざまなクラウドサービスがあります。たとえば、企業の許可を得ずに、一致率や誤字脱字をチェックするクラウドサービスを利用して業務を遂行するケースも想定されるでしょう。

シャドーITは何が問題か?

シャドーITの問題点はさまざまです。非承認のシステムはセキュリティ対策が不十分な場合が多く、外部からの攻撃に脆弱となり、企業全体のセキュリティリスクを高めます。そのため、データ漏洩や不正アクセスといったインシデント発生のリスクも高まります。

また、企業が把握していないIT機器類やクラウドサービスなどを利用することによって情報漏洩の原因を把握することが遅れたりし、対応が遅れ、被害が拡大しやすくなります。IT部門による管理が及ばないため、ITシステム全体の統制が難しくなり、ガバナンスが弱体化します。

シャドーITが発生する原因

トラブルやリスク回避のためにも、企業で使用を許可されたIT機器・ITサービス以外を業務に使用するのは望ましいことではありません。

しかし、次のような原因により、シャドーITが発生しやすくなることがあります。

  • 業務に必要なIT機器・ITサービスが提供されていない
  • 企業から支給されているIT機器や使用を許可されているITサービスが使いにくい
  • 社員個々のセキュリティ意識が低い
  • 社外での業務に対応したIT機器・ITサービスが提供されていない

後述しますが、シャドーITはセキュリティリスクを生む可能性があります。上記の原因に該当する要素があるときは、早期改善が必要です。

シャドーITに潜むセキュリティリスク

シャドーITにより、以下のセキュリティリスクが発生しやすくなります。

  • 情報漏えい
  • メール誤送信
  • 不正アクセス
  • マルウェア・ウイルス等への感染
  • データ損失

それぞれのリスクについて見ていきましょう。

情報漏えい

使用を許可されていないクラウドサービスやオンラインストレージサービスに機密情報をアップロードすると、外部から情報にアクセスできる状態が生まれ、情報漏えいにつながることがあります。また、メッセージアプリやフリーメールに業務関連のファイルを添付するケースや、すでに退職した人がメッセージアプリや社内メールのグループに残っているケースでも、情報が漏えいすることがあります。

メール誤送信

メールに機密情報を添付して間違ったアドレスに送信することで、情報漏えいにつながることがあります。また、メールに直接機密情報を添付していない場合でも、送受信を何度か繰り返した状態で誤送信すると、過去に添付したファイルが閲覧できる状態になるため注意しましょう。

不正アクセス

出先や移動中に個人のスマートフォンでテザリングをして、業務用のパソコンやタブレットを使用することがあるかもしれません。テザリングしたネットワークが不正アクセスされ、業務用パソコンや企業全体のネットワークがサイバー攻撃されることもあるため、注意が必要です。また、フリーWi-Fiで業務用のIT機器を利用したときにも、同様のリスクが想定されます。

マルウェア・ウイルス等への感染

企業が使用を許可していないインターネット通信を利用することで、マルウェアやウイルスに感染するケースもあります。また、ウイルス感染したメールを開封すること、なりすましで社内チャットサービスを利用しているユーザーとコンタクトを取ることでも、感染リスクは高まります。

データ損失

業務用に指定されていないチャットサービスやメールを使ってデータを送受信する場合、何らかの事情でデータを損失しても探せなくなることがあります。誤ってデータを削除する場合に備えるためにも、指定されたITサービスを使って業務上のやり取りを行うことが大切です。

シャドーITのインシデント事例

シャドーITにより深刻なトラブルを招くこともあります。場合によっては、企業の信頼性を著しく損なうこともあるかもしれません。いくつか事例を紹介します。

不正アクセスによる顧客情報の漏えい

株式会社オージス総研では、サーバー内に社内や委託先事業者により作成されていない不審なファイルが見つかったことから、悪意のある第三者による不正アクセスが起こったと判断しました。直ちに調査を開始したところ、悪意のある第三者によって特定の顧客情報の持ち出しが行われていることが判明しました。

他の顧客情報や一時預かりサービスについては、被害がなかったと発表されています。また、原因としては、サーバーに一部脆弱性があり、外部からサーバーにアクセスできる状態にあったことが挙げられています。

参考:「宅ふぁいる便」サービスにおける不正アクセスについて ~お客さま情報の漏洩について(お詫びとご報告)~|株式会社オージス総研

クラウドサーバー経由の患者情報漏えい

岡山大学病院の医師が個人的に使用していたクラウドサービスのIDとパスワードが、フィッシング詐欺により窃取されました。この事件により、医師個人が当該クラウドサービス上で管理していた保存データへはアクセスができなくなっています。
保存データには、大学病院側で禁じていた患者の個人情報関連のファイルが含まれており、攻撃者側にとって閲覧可能な状態になりました。情報の悪用は確認されていませんが、今後、悪用される可能性や、個人情報を通じて大学の基幹システムや他の電子カルテへの不正アクセスが起こる可能性が指摘されています。

参考:フィッシング詐欺による患者情報漏洩インシデントの発生について|岡山大学病院

シャドーITへの企業の対策

シャドーITが起こらない環境を構築するためにも、企業は次の対策を実施できます。

  • 利用状況を把握する
  • ガイドラインを定める
  • 社員教育を行う
  • シャドーITを検知する仕組みを作る

各対策を解説します。

利用状況を把握する

まずは社員のIT機器やITサービスの利用状況を把握します。業務遂行においてどのような機器・サービスを利用しているのか、社内だけでなく出先、自宅なども含めてチェックしましょう。なお、個人を特定する必要はないため、無記名のアンケート調査などが適切です。

ガイドラインを定める

利用状況の結果を踏まえ、ガイドラインを定めます。たとえば、個人のスマートフォンで業務を遂行していることが多いのであれば、利用ルールを周知したうえで、業務用のスマートフォンを支給できるでしょう。また、社内で個人のデバイスを使うときは、社内Wi-Fiの利用を条件にできるかもしれません。

社員教育を行う

どのような行為がシャドーITに該当するのか、また、シャドーITを行うことでどのようなセキュリティリスクがあるのかについて社員教育を実施します。リスクについての理解が深まると、より安全に利用できるようになります。セキュリティリスクについての知識がある社員が講師となってセミナーを開催したり、社内教育を専門的に実施する社外サービスを利用したりできるでしょう。

社員が使いやすいデバイスやサービスを用意する

社員が使いやすいデバイスやサービスを用意することは、シャドーIT対策として有効です。社員が簡単に操作できるデバイスやサービスを提供することで、公式のITリソースを利用するハードルを下げます。

また、社員がどこからでも安全にアクセスできるようにリモートアクセスをサポートすることで、非公式なツールの使用を減らすことができます。

MDMの導入を検討する

MDM(Mobile Device Management)とは「モバイルデバイス管理」のことで、企業や組織が所有するスマートフォン、タブレットなどのモバイル端末を一元的に管理するためのシステムやソフトウェアのことです。

MDMを使用すると、企業はリモートでデバイスを管理し、必要に応じてデバイスをロックしたり、データを消去したりすることができます。これにより、紛失や盗難時のリスクが軽減します。またMDMを通じて、意図しないアプリケーションの利用を阻止するなど企業のセキュリティポリシーをすべてのデバイスに一貫して適用することが可能です。デバイスのセキュリティレベルを統一できるので、シャドーITのリスクを減少させます。

シャドーITを検知する仕組みを作る

シャドーITを実施しにくい仕組み作りも検討しましょう。たとえば、IT機器の持ち込みを制限する、社外Wi-Fiの利用を検知するなどにより、シャドーITを回避しやすくなります。

シャドーITを実施しにくい仕組みを構築しよう

意図的にシャドーITを実施することはなくても、社内のIT環境に問題がある場合や、社外で対応する業務が多い場合は、シャドーITが起こる可能性があります。シャドーITが起こると、社内のシステムや社内で管理している機密情報が危機的状況に晒されることもあり、場合によっては企業の信頼性を著しく損なう恐れもあります。

シャドーITが起こらないように監視体制を強化するだけでなく、実施しにくい仕組み作りも大切です。紹介した情報も参考に、シャドーITに対する危機意識を高めていきましょう。


※ 掲載している情報は記事更新時点のものです。

※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。

関連記事