- 更新日 : 2024年3月22日
シャドーITとは?セキュリティリスクや原因、企業の対策について解説
シャドーITとは、企業内での利用が認められていないITサービスやIT機器を無断で使用することです。これらのサービスやIT機器は適切に管理されない傾向にあり、セキュリティ上のリスクになることがあります。シャドーITの利用で想定されるリスクや、企業側が実施すべき対策をまとめました。また、インシデントの具体例も紹介します。
目次
シャドーITとは?
シャドーITとは、企業内での利用が許可されていないITサービスやIT機器を無断使用することです。これらのITサービスやIT機器は適切に管理されない傾向にあるため、セキュリティ上のリスクになることも少なくありません。
たとえば、社内で利用するチャットサービスではなく別のチャットサービスで社員と連絡を取ること、企業で支給されたPHS以外の携帯電話を社内で使用することなどは、シャドーITの行為といえます。後述しますが、シャドーITによってセキュリティリスクが引き起こされることもあり、決して推奨される行為とはいえません。
シャドーITとBYODの違い
BYOD(Bring Your Own Device)とは、個人のIT機器を業務において使用することです。企業側がIT機器を支給せず、個々のIT機器を使うように指示している場合を指します。
BYODでは企業側が社員各自のIT機器の使用を許可しているため、セキュリティリスクが脅かされる場合であっても問題視されることは少ないと考えられます。しかしシャドーITでは、社員個人が私的に使用したIT機器やITサービスにより引き起こされるリスクは、社員個人に責任が問われる可能性があり、注意が必要です。
シャドーITに該当するもの
「便利だから」「つい習慣で……」などの理由から、企業で許可を得ていないIT機器やITサービスを業務で使用することがあるかもしれません。よくあるシャドーITの例としては、次のものが挙げられます。
- 私用デバイス
- メッセージアプリ
- フリーメール
- オンラインストレージサービス
- クラウドサービス
それぞれを利用するケースについて見ていきましょう。
私用デバイス
社員個々に据付のパソコンが支給されている場合、社内での業務には使用できても、出先や移動中には使えません。ちょっとしたスキマ時間に私用のスマートフォンやタブレットを取り出し、書類作成や報告書提出などの業務の続きを行うことがあるかもしれません。
メッセージアプリ
企業で指定されているメッセージアプリやチャットサービスではなく、個人的に利用しているメッセージアプリなどで業務連絡を取り合うことがあります。社内指定のサービスが使いにくいときや、プライベートでも連絡をしている相手に対しては、つい指定外のサービスを使ってしまうかもしれません。
フリーメール
企業から支給されたメールアドレスを使わず、個人的に利用しているフリーメールでデータを送信することもあるかもしれません。たとえば、業務中のファイルをフリーメールを使って自分宛てに送り、自宅で作業をするケースが想定されます。
オンラインストレージサービス
私的に利用しているオンラインストレージサービスに業務中のファイルを預け、自宅で作業をするケースも想定されます。手間をかけずに一時的に保存できる点は便利ですが、権限設定によっては情報漏えいのリスクがあります。
クラウドサービス
ストレージサービス以外にも、さまざまなクラウドサービスがあります。たとえば、企業の許可を得ずに、一致率や誤字脱字をチェックするクラウドサービスを利用して業務を遂行するケースも想定されるでしょう。
シャドーITが発生する原因
トラブルやリスク回避のためにも、企業で使用を許可されたIT機器・ITサービス以外を業務に使用するのは望ましいことではありません。しかし、次のような原因により、シャドーITが発生しやすくなることがあります。
- 業務に必要なIT機器・ITサービスが提供されていない
- 企業から支給されているIT機器や使用を許可されているITサービスが使いにくい
- 社員個々のセキュリティ意識が低い
- 社外での業務に対応したIT機器・ITサービスが提供されていない
後述しますが、シャドーITはセキュリティリスクを生む可能性があります。上記の原因に該当する要素があるときは、早期改善が必要です。
シャドーITに潜むセキュリティリスク
シャドーITにより、以下のセキュリティリスクが発生しやすくなります。
- 情報漏えい
- メール誤送信
- 不正アクセス
- マルウェア・ウイルス等への感染
- データ損失
それぞれのリスクについて見ていきましょう。
情報漏えい
使用を許可されていないクラウドサービスやオンラインストレージサービスに機密情報をアップロードすると、外部から情報にアクセスできる状態が生まれ、情報漏えいにつながることがあります。また、メッセージアプリやフリーメールに業務関連のファイルを添付するケースや、すでに退職した人がメッセージアプリや社内メールのグループに残っているケースでも、情報が漏えいすることがあります。
メール誤送信
メールに機密情報を添付して間違ったアドレスに送信することで、情報漏えいにつながることがあります。また、メールに直接機密情報を添付していない場合でも、送受信を何度か繰り返した状態で誤送信すると、過去に添付したファイルが閲覧できる状態になるため注意しましょう。
不正アクセス
出先や移動中に個人のスマートフォンでテザリングをして、業務用のパソコンやタブレットを使用することがあるかもしれません。テザリングしたネットワークが不正アクセスされ、業務用パソコンや企業全体のネットワークがサイバー攻撃されることもあるため、注意が必要です。また、フリーWi-Fiで業務用のIT機器を利用したときにも、同様のリスクが想定されます。
マルウェア・ウイルス等への感染
企業が使用を許可していないインターネット通信を利用することで、マルウェアやウイルスに感染するケースもあります。また、ウイルス感染したメールを開封すること、なりすましで社内チャットサービスを利用しているユーザーとコンタクトを取ることでも、感染リスクは高まります。
データ損失
業務用に指定されていないチャットサービスやメールを使ってデータを送受信する場合、何らかの事情でデータを損失しても探せなくなることがあります。誤ってデータを削除する場合に備えるためにも、指定されたITサービスを使って業務上のやり取りを行うことが大切です。
シャドーITへの企業の対策
シャドーITが起こらない環境を構築するためにも、企業は次の対策を実施できます。
- 利用状況を把握する
- ガイドラインを定める
- 社員教育を行う
- シャドーITを検知する仕組みを作る
各対策を解説します。
利用状況を把握する
まずは社員のIT機器やITサービスの利用状況を把握します。業務遂行においてどのような機器・サービスを利用しているのか、社内だけでなく出先、自宅なども含めてチェックしましょう。なお、個人を特定する必要はないため、無記名のアンケート調査などが適切です。
ガイドラインを定める
利用状況の結果を踏まえ、ガイドラインを定めます。たとえば、個人のスマートフォンで業務を遂行していることが多いのであれば、利用ルールを周知したうえで、業務用のスマートフォンを支給できるでしょう。また、社内で個人のデバイスを使うときは、社内Wi-Fiの利用を条件にできるかもしれません。
社員教育を行う
どのような行為がシャドーITに該当するのか、また、シャドーITを行うことでどのようなセキュリティリスクがあるのかについて社員教育を実施します。リスクについての理解が深まると、より安全に利用できるようになります。セキュリティリスクについての知識がある社員が講師となってセミナーを開催したり、社内教育を専門的に実施する社外サービスを利用したりできるでしょう。
シャドーITを検知する仕組みを作る
シャドーITを実施しにくい仕組み作りも検討しましょう。たとえば、IT機器の持ち込みを制限する、社外Wi-Fiの利用を検知するなどにより、シャドーITを回避しやすくなります。
シャドーITのインシデント事例
シャドーITにより深刻なトラブルを招くこともあります。場合によっては、企業の信頼性を著しく損なうこともあるかもしれません。いくつか事例を紹介します。
不正アクセスによる顧客情報の漏えい
株式会社オージス総研では、サーバー内に社内や委託先事業者により作成されていない不審なファイルが見つかったことから、悪意のある第三者による不正アクセスが起こったと判断しました。直ちに調査を開始したところ、悪意のある第三者によって特定の顧客情報の持ち出しが行われていることが判明しました。
他の顧客情報や一時預かりサービスについては、被害がなかったと発表されています。また、原因としては、サーバーに一部脆弱性があり、外部からサーバーにアクセスできる状態にあったことが挙げられています。
参考:「宅ふぁいる便」サービスにおける不正アクセスについて ~お客さま情報の漏洩について(お詫びとご報告)~|株式会社オージス総研
クラウドサーバー経由の患者情報漏えい
岡山大学病院の医師が個人的に使用していたクラウドサービスのIDとパスワードが、フィッシング詐欺により窃取されました。この事件により、医師個人が当該クラウドサービス上で管理していた保存データへはアクセスができなくなっています。
保存データには、大学病院側で禁じていた患者の個人情報関連のファイルが含まれており、攻撃者側にとって閲覧可能な状態になりました。情報の悪用は確認されていませんが、今後、悪用される可能性や、個人情報を通じて大学の基幹システムや他の電子カルテへの不正アクセスが起こる可能性が指摘されています。
参考:フィッシング詐欺による患者情報漏洩インシデントの発生について|岡山大学病院
シャドーITを実施しにくい仕組みを構築しよう
意図的にシャドーITを実施することはなくても、社内のIT環境に問題がある場合や、社外で対応する業務が多い場合は、シャドーITが起こる可能性があります。シャドーITが起こると、社内のシステムや社内で管理している機密情報が危機的状況に晒されることもあり、場合によっては企業の信頼性を著しく損なう恐れもあります。
シャドーITが起こらないように監視体制を強化するだけでなく、実施しにくい仕組み作りも大切です。紹介した情報も参考に、シャドーITに対する危機意識を高めていきましょう。
※ 掲載している情報は記事更新時点のものです。
人事労務の知識をさらに深めるなら
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談していただくなど、ご自身の判断でご利用ください。