シャドーITとは?発生する原因やセキュリティリスク、5つの対策を解説
シャドーITは、情報漏えいやデータの損失などのリスクがある行為です。「これくらい大丈夫だろう」という気の緩みが、大きな事故を招くおそれがあります。なんとなくシャドーITは悪影響を与えるものだと認識していても、詳しい内容はよく知らない方もいるのではないでしょうか。
この記事では、シャドーITの概要や発生する原因、セキュリティリスク、5つの対策などを解説します。
■シャドーITとは
はじめに、シャドーITの概要について解説します。シャドーITと併せて語られることの多いBYODについても取り上げ、両者の違いを見ていきましょう。
◇シャドーITについて
シャドーITとは、企業・組織内で許可・認知されていないデバイスやサービス、またはそれらを利用する行為を指します。シャドーITの対義語は、認可されたITを表す「サンクシェンドIT」です。
シャドーITに該当する行為としては、企業が許可していないクラウドサービスの利用、従業員の独断による私物スマートフォンの利用などが挙げられます。詳しくはのちほど解説するため、そちらをご覧ください。
情報部門で管理できないシャドーITは、情報漏えいなどのセキュリティ事故につながる可能性がある行為です。
近年ではテレワークの普及やクラウドサービスの業務利用の機会が増えたことにより、シャドーITのリスクも高まっています。そのため、シャドーIT対策は企業のセキュリティ対策の一つとして欠かせません。
◇BYODとなにが違うのか?
BYOD(Bring Your Own Device)とは、従業員の私物デバイス(スマートフォンやパソコンなど)を業務利用することです。私物のデバイスを利用することから、BYODもシャドーITに該当すると考える方もいるのではないでしょうか。
しかし、BYODにおける私物デバイスの利用は、あくまでも企業の認可のもとで行なわれるため、シャドーITには該当しません。BYODでは、私物デバイスを利用するうえでのセキュリティリスクに対する対策が実施されています。
シャドーITの問題は、セキュリティリスク対策なしで私物デバイスを利用することにあり、その点がBYODとの大きな違いです。
シャドーITが発生する理由
シャドーITが発生するおもな理由は、業務上で使用するデバイスやツールに従業員が不便を感じているためです。業務を効率的に進めようとした結果、自分にとって使いやすいものを選ぶようになり、シャドーITが生まれてしまいます。
無料もしくは安価に利用できるサービスが増えたことから「きっと問題ないだろう」と、セキュリティ面を考えずに会社に報告せずにツールを導入する従業員もいるでしょう。
ITツールは従来、業務用の商品が開発されてから一般ユーザー向けの商品が提供されることが一般的でした。しかし近年は、一般ユーザー向けの商品を企業が取り入れるという流れになっているのも、シャドーITにつながっている理由だと考えられます。
■シャドーITがもたらすセキュリティリスク
シャドーITで使用するデバイスやツール、クラウドサービスは企業が管理できていない分、いつ、どのような事故が起きるかわかりません。従業員自身でセキュリティ対策を行なっていたとしても、業務で使用するものとしては不十分な可能性もあります。
ここでは、シャドーITがもたらすセキュリティリスクを4つ解説します。
◇情報の漏えい
シャドーITで特に問題となりやすいリスクが、情報漏えいです。例えば、重要な情報やデータを保存したデバイスを外部へ持ち出すと、置き忘れや紛失・盗難のおそれがあり、情報漏えいにつながるかもしれません。
近年では、テレワークやクラウドサービスの普及により、さまざまな環境で業務を行なうことが増えました。その際に個人端末を使用していても、社用端末ほど厳密に管理することはできません。一人ひとり使用している機種が異なるうえ、プライベートでも使用する個人端末は統一的なセキュリティ対策が難しいためです。
その結果シャドーITが起こってしまい、情報漏えいにつながるケースもあります。実際に、個人情報の漏えい・紛失事故はさまざまな場面で発生しています。
◇不正アクセス、アカウントの乗っ取り
従業員が、私用スマートフォンなどから社内システムを勝手に利用している場合、その私物デバイスにID情報などが保存されている可能性が考えられます。これらのデバイスの紛失・盗難により、デバイス内の情報を用いて社内システムへ不正アクセスされるかもしれません。
また、多くの方がスマートフォンで利用している無料のチャットアプリは、アカウントの乗っ取り被害が多く報告されています。ちょっとした業務データの転送にこれらのアプリを利用していた場合、アカウントを乗っ取られて業務データの情報漏えいにつながることも考えられるでしょう。
◇データの損失
一般的に、業務上の重要なデータはバックアップが保存されるようになっています。しかし、シャドーITで使用するデータやアプリなどはバックアップの対象になりません。
そのため、デバイスの操作ミスによるデータの削除や、デバイスの故障・紛失などによるデータの損失が発生する可能性もあります。
◇マルウェア感染
マルウェアとは、ユーザーに被害を与えることを目的とした、悪意あるソフトウェアの総称です。特定のWebサイトへのアクセスやファイルのダウンロード、アプリのインストールによって、気付かないうちにマルウェアに感染する場合もあります。
マルウェアに感染すると、機密情報が外部へ送信されるなどの危険性があります。マルウェアに感染した状態で社内ネットワークに接続した場合は、社内全体に被害がおよぶ可能性もあるでしょう。
■シャドーITに該当する可能性がある行為
企業側で許可していないデバイスやクラウドサービスを従業員が勝手に利用する行為は、すべてシャドーITに該当します。なかには、従業員の自覚がないまま、シャドーITになってしまっている場合もあるのが現状です。
ここからは、シャドーITに該当する行為の具体例を紹介します。
◇個人端末の利用
従業員が私用デバイスから、社内システムへアクセスする・業務で扱うクラウドサービスを利用するなどの行為は、シャドーITに該当します。特に、私用デバイスに業務データを保存する行為は、情報漏えいの可能性を高めるため非常に危険です。
従業員がセキュリティリスクの高い行為を起こさないよう、情報の取り扱い方について明確なルールを定めたうえで、業務では企業が貸与したデバイスのみを利用させるようにしましょう。
◇クラウドストレージの利用
企業で認可しているクラウドストレージの利用は問題ありません。しかし、従業員が個人的に用いているクラウドストレージの利用は、シャドーITに該当します。
例えば、「業務データを別のデバイスに転送したい」「自宅に持ち帰って自宅で仕事を進めたい」といった場合に、隠れて個人利用のクラウドストレージへデータを移すケースが多く見られます。
企業側で把握していないサービス・ツールの個人利用は、適切なセキュリティ対策が取れないため、セキュリティリスクが高まる危険な行為です。
◇チャットツール、フリーメールの利用
クラウドストレージの利用と同じくデータの転送や、やり取りの手段として無料のチャットツール、ないしフリーメールが利用されるケースも多く見られます。
例えば、従業員が業務用のアカウントから、個人的に利用しているアカウント宛に業務データを送信するなども、シャドーITに該当する行為です。
また、私物デバイスから、社内チャットツール・メールアカウントへのアクセスなどもシャドーITに該当するため、注意しましょう。
■シャドーITが原因で実際に起こった事件
ここでは、シャドーITが原因で実際に起こった事件を3つ紹介します。
◇個人使用のクラウドサーバーから患者情報が漏えい
大学病院勤務の医師が個人的に利用していたクラウドサーバーから、患者の個人情報が漏えいした事件です。
当該医師は、大学のルールで許可されていないにもかかわらず、患者情報を自身のクラウドサーバーに保存していました。しかし、フィッシング詐欺でIDとパスワードが盗まれたことにより、攻撃者が患者情報を閲覧できる状態になっていたのです。
医師自身がサービスにアクセスできない状態になったため、攻撃者にパスワードを変更されたものと思われます。
◇個人情報の入ったUSBメモリーの持ち出し・紛失
ある自治体で、数十万人の個人情報を保存したUSBメモリーを委託業者が紛失した事件がありました。
この事件が起きたのは、新型コロナウイルスの臨時特別給付金業務に関するデータの移管作業がきっかけです。紛失した従業員は、本来はアクセス権限がない自治体のサーバーへアクセスし、個人情報のデータ許可なくUSBメモリーに保存、そして外部に持ち出しました。
そして、USBメモリーを所持したまま飲食店で食事をし、酒に酔ってしまった結果かばんを紛失したということです。
その後USBメモリーの入ったかばんは見つかり、情報の漏えいなどの実害はなかったとされていますが、委託業者のずさんな管理体制や危機意識などが問題視された事件でした。
◇フリーメールの使用による不正アクセス
ある自治体で複数の職員がフリーメールを業務で使用していたところ、そのアカウントが不正アクセスされ、個人情報が流出した事件です。
フリーメールの使用は規則で禁じられていましたが、現場ではスキャナーで取り込んだデータをフリーメールで取り扱うことが常態化していました。その状態が3年間ほど続いたあと、警告メールが届いたことで事件発覚に至りました。
■シャドーIT対策における課題
シャドーIT対策を取り上げる前に、対策における課題を解説します。シャドーIT対策を実施する際は、対策における課題を把握したうえで、解決に適した手段をとることが重要です。
◇端末・クラウドサービスの管理が難しい
IT機器の普及により、いまや1人で複数のデバイスを利用することは一般的となりました。高性能なデバイスの小型化が進んだことで、持ち運びやすくなった点も要因の一つです。
また、クラウドサービスを業務利用する機会も増え、社内で使用するサービスやネットワークへの接続経路は非常に多くなっています。
シャドーIT対策をとる際には、これらのデバイスやクラウドサービスをすべて把握し、不適切なデバイス・サービスへの接続を排除できる仕組みが必要です。そのためにも、従業員が利用するデバイスやクラウドサービスの、一元的な管理が求められます。
◇運用面における統制の困難さ
クラウドサービスにおいては一元的な管理が実現できたとしても、想定どおりの使い方がされているのかを常時監視する必要があります。しかし、確認すべきポイントは多く、すべてをチェックするには多大な労力がかかるでしょう。
さらに、クラウドサービス側の仕様が変わる可能性もあり、そのたびに運用を見直さなければなりません。利用するクラウドサービスの種類も業務内容によって変わるため、運用面における統制は困難です。
■シャドーITの対策方法5選
シャドーITの対策として有効な方法を5つ紹介します。それぞれを個別に実施するのではなく、すべての対策を実施することで包括的なセキュリティ対策の実現が可能です。
◇現状の把握
まずはアンケートや聞き取り調査などを行ない、社内のシャドーITの現状を把握しましょう。従業員が求めているもの、やりづらさを感じているものを理解できるため、生産性向上にもつながります。
質問の具体例としては、以下のようなものが挙げられます。
● 個人端末を業務に使用しているか
● 使用している場合、その理由はなにか
● 企業が導入しているツールへの不満はあるか
● データを外部に持ち出す際はどのような方法で行なっているか
など
◇ガイドラインの策定
個人端末・無料サービスの業務利用に関するガイドラインを策定するのも、一つの方法です。「使用したいツールの申請方法」「禁止事項」などがその例です。
ただし、会社側で許可している端末・サービス以外の使用を全面的に禁止してしまうと、これまでと同じように無許可で隠れて使う従業員が出てくる可能性があるため、注意しましょう。状況によっては、代替案の検討も必要です。
◇CASB、MDMなどのセキュリティツールの導入
シャドーIT対策の有効なソリューションとして、「CASB」と「MDM」が挙げられます。
CASB:キャスビー(Cloud Access Security Broker)は、クラウドサービスの利用を監視し、適切なセキュリティ対策を行なうためのソリューションです。クラウドサービスへのアクセスの可視化やアクセスの監視と制御、送受信データの暗号化などができます。
MDM(Mobile Device Management)は、業務で利用するモバイルデバイスを一元的に管理する仕組み、またはそのためのソリューションです。例えば、スマートフォンなどのモバイルデバイスに対するセキュリティポリシーの一括管理や、許可していないアプリのダウンロード・利用を禁止できます。また、遠隔で利用方法を監視することも可能であり、BYODでは必須となるソリューションの一つです。
テレワークの普及で業務環境が大きく変わった現在、CASB・MDMなどのセキュリティツールの導入は欠かせないものとなっています。
◇シングルサインオン(SSO)の導入
シングルサインオン(Single Sign On:SSO)は、一度のログインで複数のサービスへのログインを自動化する仕組みです。SSOによって従業員はログインの手間が減り、企業側としてはログイン可能なクラウドサービスを制限することで、認可していないサービスの利用を防げます。
また、SSOと併せてアクセス制限を設けることで、利用を許可していないデバイスでの情報資産へのアクセス防止にもつながります。このようにSSOは、従業員の利便性を向上させるためだけではなく、セキュリティ対策のツールとしても有効です。
トラスト・ログインは簡単最速のSSOとして、基本料金0円で利用可能なクラウド型のID管理サービス(IDaaS)です。実績20年以上のSSL認証局が提供するサービスであり、安全性の高さ・使いやすさ・導入のしやすさが特徴です。
これからSSOの導入を検討している場合には、トラスト・ログインを試してみてはいかがでしょうか。
◇従業員に対するセキュリティ教育の実施
デバイスやサービスは最終的に人が操作するものであるため、システム的な対策だけでなく人的な対策も必要です。具体的には、社内におけるデバイスやサービスの利用方法を定め、周知徹底することが求められます。
従業員によっては意識せずにシャドーITを行なっている例もあるため、まずはシャドーITの存在と危険性について周知しましょう。企業全体でセキュリティ対策に関する意識を統一し、シャドーITが発生しないように教育を実施することが重要です。
■従業員が利用するアプリを管理・把握したいなら「GMOトラスト・ログイン」がおすすめ
「GMOトラスト・ログイン」では、業務で利用するアプリを登録しておくことで、現在誰がどのアプリを使用して業務を行なっているのかなどの把握が可能です。アプリの利用状況を管理者が把握できるようになることで、シャドーITの防止にもつながります。
また、管理者が設定したログイン情報を複数人で共有できるのも大きな特長です。従業員一人ひとりがIDやパスワードを設定・管理する必要がなくなるうえ、パスワードを教える従業員を限定できるため、セキュリティ上のメリットもあります。
従業員に「GMOトラスト・ログイン」経由でログインしてもらうことも可能で、この場合「パスワードを知らせずにログインさせる」こともできます。
「GMOトラスト・ログイン」について詳しく知りたい方は、お気軽にお問い合わせください。
お問い合わせはこちら
■まとめ
シャドーITは、企業・組織内で許可・認知されていないデバイスやサービス、またはそれらを利用する行為を指します。情報漏えいや不正アクセスなどのセキュリティリスクを含んでいるため、なるべく早く対策しなければなりません。
実際に、シャドーITが原因で発生した事故は多数あります。具体的な対策としては、現状の把握やガイドラインの策定、ツールの導入、従業員への周知・教育が挙げられます。セキュリティリスクを下げたい方は、この機会に対策を見直してみてはいかがでしょうか。
この記事を書いた人
GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史
国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。