シャドー IT とは、企業が認めていない端末やサービスを社員が使ってしまうことです。シャドー IT が蔓延すると、企業にとって重大な問題につながる恐れもあるため注意しなければなりません。この記事では、シャドー IT が起こる原因とともに、どのような対策が必要か解説します。シャドー IT を防ぐために、ぜひ参考にしてください。
シャドー IT とは何か
シャドー IT とは、企業側が把握していない機器やサービスを使って社員が業務を進めている状態のことです。社員が個人的に利用しているスマートフォンやタブレットなどの IT 機器だけでなく、クラウドサービスなどによりシャドー IT が起こる可能性もあります。
シャドー IT と BYOD との違い
BYOD(Bring Your Own Device)とは、社員個人が利用している端末を業務のために利用することです。この場合、会社側が承認したうえで個人の端末が使われます。一方、シャドー IT では、利用されている端末やサービスが会社側の承認を受けていません。シャドー IT と BYOD の大きな違いは、会社が認知しているかどうかです。
シャドー IT が発生する場面とその問題点
ここでは、シャドー IT が発生する具体的な場面とそれぞれの問題点を解説します。
システム環境の構築時
IT 部門に無断で社員が PaaS や IaaS を利用した場合、社内のデータが漏えいするリスクがあります。PaaS とは、インターネット上のプラットフォームを利用してソフトウェアを稼働させることです。また、IaaS とは、インターネット上の仮想サーバやネットワークなどを利用することを表しています。これらで自社のデータが使われば、セキュリティの問題により不正アクセスを受ける恐れがあります。
無線 LAN ルーターの使用時
無線ルーターのなかには、強度の弱い暗号を使用しているものもあります。そのような無線 LAN ルーターを社員が無断で使用すれば、インターネットを介して自社のパソコンが不正アクセスを受ける可能性があります。社内のセキュリティを強化してもウイルス感染が発生する恐れがあるため要注意です。
スマートフォンをパソコンに接続する時
スマートフォンをパソコンに接続すれば、外部ストレージとしてデータを移すことも可能です。スマートフォンはほとんどの人が個人で所有しているため、簡単に社内の重要な情報を持ち出せてしまいます。ソフトを使えば対策可能ですが、やり方によってはセキュリティを突破される恐れがあります。
クラウドストレージサービス利用時
Dropbox や Google ドライブなどのクラウドストレージサービスでは、大容量のファイルを保存可能です。個人用のプランは無料でも使えるため多くの人が利用しています。個人用は法人用に比べてセキュリティ機能が弱い場合が多いため、社員が個人用のアカウントに自社のデータを移すと情報漏えいにつながるリスクがあります。
チャットサービスの利用時
便利なチャットサービスが多くあり、社員が勝手に業務で使用するケースもあります。会社として許可していないチャットサービスで自社の情報がやり取りされれば、セキュリティ上の問題が発生する恐れがあります。例えば、やり取りを第三者から覗き見された場合、大きな問題につながるかもしれません。
クラウドメールサービス利用時
無料のクラウドメールサービスは ID とパスワードがあれば使えるため、業務上で個人用のメールを利用してしまう社員もいます。個人用のメールは業務以外の連絡にも使われている可能性があります。社員が操作を誤れば、業務に無関係の相手に対して重要なデータが送信されるリスクもないとはいえません。
クラウド翻訳サービス利用時
業務で外国語を扱う場合、クラウド翻訳サービスに頼ってしまう社員もいます。しかし、クラウド翻訳サービスのなかには、翻訳前の文章が保存されるものもあります。自社にとって重要な情報が含まれていると情報漏えいにつながるため、注意しなければなりません。
シャドー IT が起きやすい理由
ここでは、シャドー IT が起きやすくなっている具体的な理由を解説します。
便利に活用できるサービスがたくさんある
インターネットを介して利用できる便利なサービスが多く登場しています。スマートフォン・タブレットなどの端末やクラウドサービスは、業務にも役立つと考えている社員は多いです。インターネットに接続できる環境ならすぐに使えるため、セキュリティについてそれほど深く考えず使っている社員もいます。
サービスを使用すると仕事がはかどる
単に利便性を求めるだけでなく、仕事の効率化を目指してさまざまな端末やサービスを使用する社員も少なくありません。仕事に対する意欲が高く、生産性を向上させるためのツールを探している人もいます。そのため、シャドー IT はより発生しやすい状況になっています。
シャドー IT を防止するための対策
ここでは、シャドー IT を防止するにはどのような対策をすればいいか解説します。
別の方法を提供する
指定した端末やサービス以外の使用を単に禁止するだけでは、シャドー IT の撲滅は実現できません。シャドー IT を防ぐには、承認されていない端末やサービスを使わなくてもスムーズに業務を進められる状況を作ることが大切です。社員が何を考えているか理解し、便利なツールの導入を企業として積極的に進めましょう。
利用状況を把握する
サービスへのアクセス状況を監視したり検知したりできるサービスを導入すれば、シャドー IT が行われていないかリアルタイムでチェックできます。この場合、社員が個人のスマートフォンやパソコンを使用していれば、監視や検知の対象になりません。しかし、個人的にクラウドサービスを利用している場合は、状況把握のために役立てられます。
ガイドラインを定める
社員の業務の様子をすべて把握して制御するのは、現実的に考えて困難です。そのため、社員自身がシャドー IT に陥らないように、意識させる必要があります。具体的な取り決めをガイドラインとしてまとめ、企業がどのような行為を禁止しているのか明確に示しましょう。
社員教育を行う
シャドー IT を根本から防ぐには、その危険性を社員にしっかり認識させることが重要です。シャドー IT に陥ってしまう社員は、業務をスムーズに進めたいと考えている可能性が高いです。悪意をもっているわけではないので、教育を徹底すればシャドー IT も着実に減らせます。
まとめ
便利な端末やサービスがたくさんあるため、シャドー IT は発生しやすい状況になっています。シャドー IT によるリスクを防ぐためには、企業として便利な端末やサービスを導入したり、社員教育を徹底したりする必要があります。また、セキュリティの強化や監視体制の構築も必要です。
McAfee MVISION Cloud を導入すれば、クラウドサービスの利用状況を簡単に可視化できます。Office 365 をリアルタイムで監視し、情報漏えいを防止することも可能です。自社の重要な情報を保護するため、ぜひ導入をご検討ください。