クラウドサービスやテレワークの普及により、多くの企業で、「シャドーIT」の利用が激増しています。
シャドーITのほとんどは、ユーザーである一般社員の私物の端末です。普段使っているものなので、とても使いやすいでしょう。しかし、企業全体のセキュリティを確保しなければならない情報システム部門にとっては、シャドーITの増加は歓迎できることではありません。セキュリティ上のリスクになりうるからです。
ここでは、シャドーITの概要とその対策について説明します。
目次
シャドーITとは
シャドー IT(Shadow IT) とは、企業が把握していない、または使用が許可されていないけれど、従業員が無断で使用している機器やサービスのことです。その端末を使っている状態のこともシャドーITといいます。
従業員個人が使っている機器やサービスだけではなく、部署単位で使っているサービスが情報システム部門の許可を得ていない場合もシャドーITといえます。
企業が用意した機器や認可したサービスは「サンクションドIT(Sanctioned IT)」と呼ばれます。
シャドーITとBYODとの違い
BYOD(Bring Your Own Device)とは、個人所有の端末を、企業の承認を得て情報システム部門が把握したうえで業務に利用すること、またはその端末のことです。BYODは主に機器、端末を持ち込む場合に使われ、ソフトウェアやシステムも含めて利用する場合は、BYOT(Bring Your Own Technology)といいます。
企業は、BYODの利用を承認するときに、それぞれの機器について使用者やOSのバージョンなどの情報を登録します。また、業務に使用する端末にセキュリティホールをつくらないようにするため、企業支給の端末(サンクションドIT)と同じようにセキュリティ対策上の管理を行います。したがって、BYODはサンクションドITと同じように、安心して業務に使えます。
一方で、シャドーITは企業側に存在を把握されていないため、未登録で、セキュリティ対策もされていません。そのため、そのままでは安心して業務に使うことはできず、使用を続けているとセキュリティ上のリスクとなってしまうのです。
シャドーITの利用はできるだけ制限しましょう。もしくは,サンクションドITと同じようなセキュリティ対策を行う必要があります。
シャドーITの例と発生する理由
上で述べたように、シャドーITは利用を制限したりセキュリティ対策を行ったりする必要があります。そのためには、シャドーITの具体例や、ユーザーがなぜシャドーITを使うのかを知ることが必要です。
どんなものがシャドーITにあたるのか
シャドーITが発生する代表的な例を紹介します。
- 私物のパソコン、スマートフォン、タブレット
特に、全員にテレワーク用のパソコンを貸与していない企業では、テレワーク時に私物のパソコンを使うことになります。 - チャットツール
私物のスマートフォンやそこにインストールされている「LINE」を業務連絡や部署内の連絡に使う企業も多数存在します。しかし、LINEはひとつの電話番号でひとつのアカウントしか作成できないので、私用のアカウントを使うしかありません。 - メール
休暇中の業務連絡に、私用のメールアドレス、特にGmailや Yahoo! メールを使っているケースもあるようです。 - クラウドストレージ
私物のUSBメモリの持ち込みを制限している企業は多いでしょう。その場合は、テレワーク時のデータのやりとりに、「Dropbox」、「OneDrive」などのクラウドストレージを利用することになります。
これらのクラウドストレージを、多くのユーザーが私用のアカウントで利用しているケースもあります。
シャドーITの利用が発生する理由
シャドーITはどうして発生するのでしょうか。
根本的な理由としては、業務で使用している機器やサービス(サンクションドIT)の使い勝手に不満・不便を感じているユーザーが多いことがあります。そうすると、普段自分が使っている機器やサービスをつい使ってしまうことがあるでしょう。
最近は個人向けに便利なクラウドサービスが多数提供されているので、それらのサービスや自前の機器を使うほうが仕事ははかどってしまうのです。
つまり、シャドーITの利用をやめてもらうためには、ユーザーのサンクションドITに関する不満を解消しなければなりません。
シャドーITのリスクと対策
なぜ、シャドーITの利用を抑える必要があるのでしょうか? それは、シャドーITにはセキュリティ上のリスクがいくつも存在するからです。
シャドーITのリスク
シャドーITの使用には、次のようなリスクがあります。
- 情報漏えい
- アカウントの乗っ取り、なりすまし
- 社内ネットワークへの不正アクセス
- クラウドサービスのメンテナンス、トラブル
- あて先間違い、誤発信
なぜシャドーITにはセキュリティ上のリスクがあるのか?
シャドーITは情報システム部門に登録されておらず、管理されていません。そのため、十分なセキュリティ対策がとれない可能性があります。シャドーITのセキュリティを管理しているのは、情報システム部門ではなくユーザーだからです。
ユーザーが十分なセキュリティ対策を行っていれば安心できます。しかし、人によりセキュリティに関する知識や意識は異なるでしょう。シャドー ITのすべてが、安心して業務に使えるとはいえないのです。
近年、サイバー攻撃が激増しており、複雑化かつ高度化しています。そのなかでシャドーITを使うことは大きなリスクとなるため、利用はできるだけ防がなければなりません。
シャドーITの発生を防ぐためには
シャドーITを防ぐためには、次のような対策を行います。
- 環境整備
シャドーITを使わなくてよいように、環境を整えます。具体的には、社内のITツールやシステムの現状を把握したり、現在より使いやすいシステム、クラウドサービスを用意したりします。 - ガイドライン作成
シャドーITについてのガイドラインを作成します。また、シャドーITやセキュリティについての社員教育を行い、シャドーITのリスクを社員に認識させます。 - セキュリティ対策
シャドーITとして使われている機器を情報システム部門で登録・管理し、サンクションドITと同じようにセキュリティ対策を行います。ネットワークのモニタリングや、アクセスログの取得も行います。
シャドーITを安全に使うためには
シャドーITの利用が避けられない場合は、次のような対策を行います。
- シャドーITの情報を登録し、情報システム部門でBYOD、サンクションドITとして管理する
- シャドーITに、生体認証や多要素認証など、より強固な認証方式を導入する
- ゼロトラストセキュリティの考え方を導入する
ゼロトラストについては、「ゼロトラストとは?メリットや課題、導入方法についても解説」をご参照ください。 - エンドポイントのセキュリティを強化する
シャドーITもエンドポイントのひとつです。ほかのエンドポイント同様、防御する必要があります。
エンドポイントセキュリティについては、「エンドポイントセキュリティでビジネス環境を整える!その重要性や注意点、サービスの選び方について」をご参照ください。 - サイバーレジリエンスの導入
サイバーレジリエンスという考え方にもとづいたセキュリティ対策を行います。
サイバーレジリエンスについては「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」をご参照ください。
シャドーITを減らすには、シャドーITを使わなくてすむ環境を整えよう
テレワークや働き方改革が進むにつれて、シャドーITが増加することも避けられません。しかし、シャドーITにはセキュリティ上いくつものリスクがあるため、できるだけ減らしたいものです。
シャドー ITを防ぐ対策として、シャドーITを導入しなくてすむ環境を整える、シャドーITのリスクについての社員教育を行うなどがあります。また、シャドーITである機器やサービスを承認し、企業が管理する端末と同じセキュリティ対策を施して管理するBYODにすることもひとつの方法です。
さらに、「Webroot® Business Endpoint Protection」といったセキュリティツールを用いて、エンドポイントやWebサイトのフロントエンドを防御することも効果的です。「Webroot® DNS Protection」で自社端末やWebサイトの入り口対策を行い、「Carbonite® Endpoint」でデータの保護を行います。Microsoft 365を利用している場合は、「Carbonite® Backup For Microsoft 365」でバックアップを作成しておきましょう。
人気資料ランキング
人気記事ランキング
新着記事
