新型コロナウイルスの感染拡大により、リモートワーク(テレワーク)が一気に定着しました。
働き方改革が進んだ一方、企業の管理下にないデバイスやクラウドツールを無断利用する「シャドーIT」対策が企業のセキュリティ課題となっています。
社内にシャドーITが横行すると、情報漏洩やマルウェア感染の危険が高くなるばかりか、セキュリティインシデントが発生した場合、原因究明と回復に多大な時間と労力がかかる可能性があります。
そこで、シャドーITが起きる理由と、セキュリティリスクを紹介しながら、企業側が取り組むべきシャドーIT対策について、わかりやすく解説します。
シャドーITの概要を紹介
まず、シャドーIT対策を紹介する前に、あらためて「シャドーIT」とは何かを解説し、同一視されやすい「BYOD」との違いを明らかにします。
そして、ビジネス現場でシャドーITが起きてしまう背景も解明します。
シャドーITとは?
シャドーITとは、会社が使用を許可していない、または把握していない無管理状態にあるPC(パソコン)やスマホといったデバイスや機器、外部サービスを従業員が使い、業務用として使っている状態を指します。
例として、私的なアカウントを利用してフリーのクラウドストレージへ業務ファイルをアップロードする行為や、私用のモバイル端末を使って会社のクラウドサーバーへアクセスしたり、業務メールを送信したりする行為などがシャドーITにあたります。
このシャドーITが横行する状態を放置すると、結果として企業のセキュリティ面に重大な影響を及ぼす可能性があります。
シャドーITとBYODの違いは?
「シャドーIT」と混同されがちなものに「BYOD」があります。BYODとは「Bring Your Own Device」の頭文字を取った言葉です。私用のデバイスを業務使用することを指しますが、シャドーITと大きく異なるのは、会社が業務利用を承認していること。
そのため、会社が許可していないデバイスで業務を行ってしまうと、シャドーITとなってしまいます。
関連の記事をご用意しております。ぜひご覧ください。
▼コロナ禍により見直される「BYOD」。メリット・デメリットの解説と効率的な導入ポイント
なぜシャドーITが起こるのか? その背景は?
シャドーITが起こる背景には、近年、便利な機能を持った無料ツールやサービスが普及していることで、これらを使って少しでも仕事の効率を上げたいという従業員の意欲があると考えられます。
逆にいえば、現状の業務ツールやシステムに問題がある、不便で生産性の低い社内IT環境である証しともいえそうです。
また、リモートワークの普及によりカフェや自宅などの社外で業務を進めることが多くなった現在。ツールを取り入れるための承認手続きが以前よりしづらくなり、なし崩し的に利用している状態なのかもしれません。
企業にとってセキュリティリスクとなるシャドーITですが、利用者は悪意なく使っているというのが実態といえそうです。
シャドーITとなりがちなサービス
では、シャドーITとして利用されやすいのはどんなものがあるのでしょうか。以下では、私用のデバイスの他に、利用されやすいサービスや環境、そのリスクについて解説します。
それぞれのリスクに該当するという方は注意が必要です。
フリーWi-Fiへの接続
フリーWi-Fiとは、公共の場所やカフェの店内などで、パスワードなしで人を問わず誰でも無料で利用できるWi-Fiスポットのことです。外出先で社内メールをチェックしたり、業務の資料作成のため、インターネットで情報を検索したり、便利に使っている人も多いように感じます。
ところが、パスワード入力なしで接続できるフリーWi-Fiの利用は情報漏洩につながるリスクが非常に高い行為なのです。
暗号化されていないフリーWi-Fiでは、利用者が閲覧しているWebサイトのURLや履歴、メールの内容などを、同じフリーWi-Fiに接続している第三者が簡単に取得できるため、通信を盗聴、のぞき見される恐れがあります。
また、実在のフリーWi-Fiに似せたネットワーク名で、なりすましアクセスポイントを仕掛け、利用者がアクセスポイントに接続したら、端末に侵入して情報を盗まれるなどの被害も発生しています。
チャットツールやSNS
社内で許可されていないチャットツールを利用して、同僚宛に簡単な業務連絡を行う人も多いようです。また、日常に浸透しているLINEなどのSNSツールも業務外のプライベートなやり取りのついでに、ちょっとした業務連絡をしがちです。
しかし、会社の管理外のチャットツールやSNSはアカウントの乗っ取りも頻発しており、利用者になりすまして同僚などから企業情報を引き出そうとするなど、セキュリティリスクは極めて高いようです。
クラウドメールサービス
業務上のメールのやり取りは社用アカウントで行うべきですが、Gmailやyahoo!メールのようなフリーのクラウドメールの私的アカウントを利用してしまうケースもあります。
実際に、フリーメールはすぐに登録しアカウントを作成することができる上、ブラウザでIDとパスワードを入力すれば、どこからでもログインできる手軽さから業務利用してしまう人が多いようです。逆に手軽だからこそ、情報を盗み取られるハードルも低いものと認識しておきましょう。
関連の記事をご用意しております。ぜひご覧ください。
▼ランサムウェアの注意すべき感染経路は? 感染被害や対策方法を徹底解説!
ファイル共有サービス
デバイスをまたいで同期可能なファイル共有サービスはアプリも充実しており、利便性の高いツールです。このため、個人的なファイルのやり取りには非常に便利といえます。しかし一方で、個人利用のアカウントはセキュリティ対策が万全ではないことが多く、サイバー攻撃などを受ければ、簡単に情報漏洩してしまう危険性があります。
シャドーITによるリスク
IPA(独立行政法人情報処理推進機構)が発表している情報セキュリティ10大脅威 2024[組織]でも、シャドーITを含む「内部不正による情報漏えい等の被害」が3位にランクインしています。このことからも、シャドーITの放置は、企業を脅かす大きなリスクとして理解しなければなりません。
では、シャドーITは企業にどのようなセキュリティリスクをもたらすのでしょうか。リスクや注意点を具体的に理解しておきましょう。
不正アクセス
暗号化されていないフリーWi-Fiを利用した場合は、同じフリーWi-Fiに接続している悪意ある第三者による盗聴や情報の盗み取りが容易にできることが知られています。
この情報をもとに社内ネットワークやデータへ不正アクセスが起こり、ウイルス感染や、企業が持つ機密情報の漏洩によって取引先などにも影響が広がるため、注意が必要です。
関連の記事をご用意しております。ぜひご覧ください。
▼不正アクセスを防ぐには? 手口や被害事例、対策を徹底解説!
ウイルス感染
私用のデバイスは強固なセキュリティ対策ソフトを入れていない場合が多いようです。このため私用デバイスでシャドーITを行っている場合、不正サイトへのアクセスや不審なメールの開封などによって、気づかないうちにデバイスをウイルス感染させてしまえば防御できません。
この感染を自覚せずにデバイスを社内LANへ接続した場合、自社内に感染を広げ、ネットワークに接続している機器にも被害が広がります。さらに取引先へのメールを介して、社外へもあっという間にウイルスを広げ大きな損害が生じる可能性があるのです。
関連の記事をご用意しております。ぜひご覧ください。
▼マルウェアの被害を防ぐには? 対策方法と感染時の対処法を解説
情報漏洩
シャドーITで懸念される第一のリスクは情報漏洩です。シャドーITとなりがちな環境やサービスすべてで情報漏洩のリスクがあります。
暗号化されていないフリーWi-Fiを利用した場合は、同じフリーWi-Fiに接続している第三者が簡単に取得できるため、通信内容のすべててが漏洩してしまう可能性があります。
また、オンラインストレージなどのファイル共有サービスやチャットツールでは、ダウンロード用URLの設定ミスや宛先間違いなどによって、アプロードして保存されたデータが丸裸になる危険があります。
また、私用デバイスを業務使用している場合は、紛失したり盗難されたりすれば、簡単に情報漏洩してしまうでしょう。
関連の記事をご用意しております。ぜひご覧ください。
▼SASEとゼロトラストの違いとは? 双方の特徴や導入メリットを紹介
シャドーIT撲滅で取るべき対策とは
未知の脅威によって築き上げてきた信頼が崩れ、企業として存続することすら危うくするシャドーITによるセキュリティリスク。ではこれを食い止めるには、どのような対策が有効でしょうか。
ここでは4つのステップで対応策を紹介します。
関連の記事をご用意しております。ぜひご覧ください。
▼情報セキュリティ3要素のCIAとは? 基礎知識から具体的な対策まで徹底解説
1.シャドーITの実態把握
まず取り組むべきことは、社内のシャドーITを検知し、実態把握することです。
シャドーITとならざるを得ない社内環境や、どのようなツールやサービスを利用しているかについて、従業員に調査し可視化します。そこにはシャドーITの撲滅という目的だけでなく、業務効率化や生産性向上のヒントがあるはずです。表面的なアンケート調査以外に、ヒアリングで業務環境の不満も丁寧に聞き取ってみるとよいでしょう。
2.環境やガイドラインの整備
シャドーIT対策として、使いやすい業務デバイスの導入や新たなクラウドサービスを取り入れるなど、柔軟に環境を整えて改善することが大切です。
そして業務環境を整備した上で、私用スマホやタブレットなどのモバイル端末や、無料サービスといった業務利用に対するガイドラインを策定するべきです。状況によっては、どうしても私用デバイスや無料アプリを業務利用しなければならない場合もあるでしょう。その際、利用要望があった場合に柔軟な対応が可能なルールや仕組みがあれば、「シャドーIT」の根絶につながるはずです。
3.アクセス監視
ガイドラインによって私用デバイスやアプリ、サービスの業務利用を制限した上で、アクセス監視することもシャドーIT対策として有効です。社内のシャドーITを監視する環境を構築して従業員に周知させることでシャドー ITを避ける意識が働き、結果的に許可のないデバイスの使用やサービスの利用をさせないこともできるはずです。
従業員のIT利用状況を可視化・管理するために有効なのがCASB(Cloud Access Security Broker)です。CASBとは、従業員のクラウドサービス利用状況を可視化し、適切なセキュリティ対策をするためのソリューションの総称です。詳しい記事もご用意しております。
▼CASBとSWGの違いは? 機能やメリット、必要性を解説
テクバンではCASB機能を備えた下記のサービスを提供しております。ご興味がありましたら、ご確認ください。
Techvan SASE
4.従業員教育
業務遂行のため、悪意なくシャドーITを行っていた従業員もおり、シャドーITの危険性について全社的に研修を行うことが有効です。
どんな対策より、まず従業員自身のセキュリティ意識が高める教育には効果があります。そして定期的にこういった研修を行うことで、シャドーITをはじめ、常にセキュリティ意識が高い組織を作り上げることができるのです。
シャドーITを防いでトラブルを回避
今回は、シャドーITで利用されやすいサービスやその背景を整理しながら、起こり得るセキュリティリスクと企業が行うべき対策を紹介しました。
シャドーITの撲滅には、管理の強化や従業員の意識向上もさることながら、従業員の業務が滞らないよう適切な環境に整えることが重要です。生産性と従業員満足度を向上させることが、シャドーITの解決につながるからです。
さらに効果的な対策としては、シャドーITを検知するツールの導入もおすすめです。ツールを活用したシャドーIT対策やリモートワークの環境整備などでお困りの際は、経験豊富な専門業者に相談することも早道です。
テクバンでは、最新の脅威に対応する様々なセキュリティ対策サービスを提供しています。ご興味のある方は、ぜひ一度テクバンまでご相談ください。
シャドーIT対策についてテクバンへ相談