シャドーITとは? 発生する原因と企業の取るべき対策を解説
HC

橋爪兼続
Jul 21, 2023
シャドーITとは
テレワークやクラウドサービスの流行に伴い、シャドーITという問題が顕著になってきました。今回は、シャドーITとは何なのかということについてわかりやすく解説します。

シャドーITとは、従業員が組織の情報 システム 管理 部門が認証または追跡していないデバイス、ソフトウェア、アプリケーション、またはクラウドサービスなどの情報技術資産を使用することです。
最近はテレワーク等が浸透するに伴い、企業では新たなセキュリティ対策に取り組むようになりました。テレワークで、モバイルデバイスを利用する場合、事前に社内に申請し、承認された機器の利用に限定する、などです。しかし、従業員が様々な環境で働くため、従業員各々の使用環境を細かくコントロールすることは事実上不可能です。そのため、セキュリティ上の問題が散見されます。
具体的には、企業が承認していないPCやスマートフォン、タブレット等を業務に利用していたり、会社が許可をしていないクラウドサービスやアプリケーションを業務で使用していたりします。このように、会社が利用実態を把握していないデバイスやクラウドサービスのことをシャドーITと言います。殆どの場合は、個人が無許可で利用しているものなので、企業は対応を迫られています。
シャドーITの具体例は?
例えば、次のような事例がシャドーITに該当します。
個人のPCやスマートフォンを業務に使う
個人のUSBメモリに業務データをコピーして社外に持ち出す
シャドー IT と BYOD との違い
BYODとは、Bring Your Own Deviceの略で、業務への個人端末の持ち込みのことを指します。個人のPCやスマートフォンなどを業務に使用するという点ではシャドーITと同様です。しかしながら、BYODは会社が承認しているものに対して、シャドーITは、会社の承認がされていません。BYODの場合は、会社が利用を承認するにあたって、一定の基準に則って安全面の把握を管理しています。一方でシャドーITは、無秩序となります。 シャドーITを制限する方法としては、会社からパソコンやスマートフォンを支給する方法や、BYODとして個人の端末を使用し、それに対し対価を支給するという方法があります。
また、クラウドサービスでは、無料版を使用せずに会社で法人向けを契約して従業員に使用させるという手段があります。法人向けでは、無料版ではできないルールを設けることもあります。

シャドー IT が発生する場面とその問題点
シャドーITが発生する具体的な場面やその問題点として次のようなものがあります。
①SaaS(*1)の利用
基本的には従来、IT部門がシステムを選定/導入してきましたが、部門での導入や個人での利用により、適切なセキュリティ運用が担保されないまま、利用がされている可能性があります。この場合、それらのクラウドサービスを通して、社内のデータが漏洩するリスクがあります。また、この漏洩したデータにより、不正アクセスをされるなど二次的な危険性もあります。
*1 SaaS:Software as a Service
②無線LAN 無線LANにはパスワードがあればアクセス可能となります。パスワードは強度の弱い暗号方式を利用している場合があります。また、現在接続されているパソコンの設定を見ればパスワードを見ることができます。そのため、無線LANを使用していると、承認していない端末を接続することが可能となります。 また、無線LANには、敷地外からの不正アクセスを受ける可能性も残っており、ルーターの設置場所などを十分検討する必要があります。
③個人端末をパソコンへ接続
スマートフォンなどの個人端末を会社のパソコンにつなげば、外部ストレージとして利用することができます。そのため、会社の重要なデータも持ち出すことが可能となります。 また、スマートフォンがウイルスに感染していた場合、接続がきっかけとなり、社内のパソコンがウイルスに感染するセキュリティ リスクがあります。
④クラウド型のストレージサービス
DropboxやGoogleDrive等を業務で使用している場合もあります。業務のみならず個人でも大容量が保存が可能なため、個人での利用するケースも多くなっています。社員が業務用のストレージから個人用のストレージにデータを移行すると、データ漏洩に繋がります。
⑤チャットサービス
法人契約しているチャットサービスであれば内容を管理できますが、個人契約したものは会社が内容を把握することができません。そこで重要なデータのやりとりを行えば、重大なセキュリティ事案に繋がりかねません。
シャドーITとして利用されやすいもの
シャドーITは一般的に、個人のスマートフォンやタブレット、無料のオンラインサービスといったものに見られます。
個々人のデバイス
業務用デバイスが企業から提供されていない場合、従業員は自分のスマートフォン、タブレット、家庭のパソコンなどを使用する傾向があります。これらの個人デバイスは、シャドーITとなり得る要素であり、その管理は困難を伴うため、企業からデバイスを提供するなどの予防策が求められます。
メッセージングツール
個人的なメッセージングツールを、短い業務連絡に利用するケースもあります。特に、LINEなどの広く普及したSNSは便利なので、「ささいな連絡」に使われがちです。管理者としては、個人のSNSを監視することはできませんので、法人向けのメッセージングツールの導入を考えるべきです。
無料のメールサービス
無料のメールサービスも、個々人が簡単に利用でき、無料であるため、GmailやYahoo!メールなどはシャドーITとして使われる可能性があります。アカウントは手軽に作成でき、スマートフォンのアプリも完全に機能していて使いやすいです。
クラウドストレージサービス
個人でも無料で利用できるクラウドストレージは、DropboxやBoxなどが代表的ですが、これらのクラウドストレージもシャドーITとして利用されやすいです。ファイルのやりとりには便利で、スマートフォンやタブレットのアプリも完備されていて使いやすいです。
例えば、テレワークを行っているときに、急にファイルの共有が必要になることがあります。事前にファイル共有の手順が決まっていない場合、従業員は「どのようにファイルを共有するか」を個々に判断しなければなりません。その際、手軽に利用でき、効率的な無料のクラウドストレージが選ばれやすいです。

シャドー IT が起きやすい理由
主な理由としては、2点あります。
①利便性が高いサービスが増えた
インターネットを介したサービス(クラウドサービス)が増えたことにより非常に便利になりました。オンプレミスのサービスと比較して、簡単に利用することができるようになったため、特に利用影響やセキュリティを考慮することなく、個人で無許可でクラウドサービスを使用するケースが増えました。
②仕事の効率化
オンプレミスのサービスでは、社内からのアクセスに限定されていました。そのため、例えば資料を閲覧するためには、会社のオフィスに移動してサービスにアクセスする必要がありました。クラウドサービスを利用すれば、移動時間も無駄にせずに効率的に仕事を行うことができます。こうして様々な場所で業務を行うことができるようになった結果、自宅のPCやネットカフェの端末を使ってアクセスする=シャドーIT化するという状況をもたらしました。これらは悪意を持って行っているわけではありませんので、防止することは容易ではありません。

シャドー IT を防止するための対策
シャドーITを完全になくすことは事実上不可能です。しかしながら、次のような対策を行うことで、シャドーITを防ぐことができる可能性があります。
①必要なクラウドサービス・ツールを法人契約する。
規制するだけではシャドーITを防げません。社員の利用実態を把握することが重要です。社員がシャドーITを使用する原因としては、会社に必要なクラウドサービスやツールが不足していることが考えられます。 したがって、社員の利用状況を把握し、、利用クラウドサービスを法人契約することにより、確実に管理することができます。
②利用状況を把握する。
会社の情報の流れがどうなっているのか把握することが重要です。例えば、会社のパソコンから個人のクラウドサービスにアクセスしていないか、パソコンに個人端末を接続していないか等を把握することで、情報漏洩するリスクを軽減することが可能です。
③社員教育
一番重要なのは社員がルールを遵守することです。そのためには、なぜシャドーITを使用してはいけないのか十分理解させることが重要です。外部講師などを招聘して社員にセキュリティ教育を行うことも重要です。

シャドーITへの対策一覧
①シャドーITの必要性を排除する環境を構築
業務におけるITデバイスやサービスの利用について、社内での作業やリモートワークに関わらず、使い勝手がよく効率的な環境を提供することが重要です。
たとえば、メッセージングツールが使いやすい場合、業務に適したチャットサービスを提供したり、ファイル共有が必要な場合はビジネスプランのクラウドストレージを提供したりと、従業員が利便性を感じるような環境を整えることが求められます。
②ガイドラインを作成する
業務環境を整備したうえで、個人のデバイスや無料サービスの業務利用についてのガイドラインを策定することが有効です。
絶対に個人のデバイスやサービスを使用しなければならない状況などがある場合、システム管理者の承認を必要とするワークフローを作成すると良いでしょう。
これにより、シャドーITを抑制し、BYOD(自分のデバイスを持ち込む)に対する認識を持った管理を可能にします。
③ツールの使用禁止・許可に対して柔軟に対応する
全ての個人のデバイスやサービスを禁止するのではなく、従業員が使いやすいもの(操作性やスマホアプリに対応したサービスなど)を考慮し、従業員のニーズと企業の管理能力をバランス良く満たす解決策を提供することも重要です。
つまり、要望に柔軟に対応する管理体制を整えることが解決策の一つと言えます。
④アクセスを監視する
デバイスやツールの利用に対して柔軟に対応するためにも、アクセスを監視する体制を整えておくことが重要です。
シャドーIT とCASBの関係とは?
CASB(Cloud Access Security Broker)は、企業 側 がクラウドサービスを安全に利用するためのセキュリティツールです。CASBは企業のネットワークとクラウドサービスプロバイダーとの間に位置し、データの移動を監視・管理する役割を果たします。CASBは、不正アクセスの防止、データの暗号化、データ漏洩防止(DLP)、アクセスポリシーの適用、ユーザー行動の監視などの機能を提供します。
シャドーITとCASBの関係は以下のようになります:
シャドーITにより、企業内部でのデータ管理やセキュリティ状況が不透明になる可能性があります。特に、クラウドベースのアプリケーションやサービスが増加している現在、従業員が自己判断でこれらのサービスを利用すると、企業の重要な情報がリスクにさらされることがあります。
CASBは、シャドーITのリスクを軽減するのに役立つツールです。CASBを使用すると、企業は従業員が利用するクラウドサービスの可視性を高め、データの移動を制御し、不正アクセスを防止することができます。これにより、企業はシャドーITのリスクを管理し、セキュリティポリシーの遵守を確保することができます。
つまり、CASBはシャドーITがもたらす可能性のあるセキュリティリスクとデータ漏洩リスクを管理し、軽減するための重要なIT ツールと言えます。
CASBガイドはこちら

ダウンロード
まとめ
シャドーITは、会社が必要十分なシステムを提供し、社員がルールを守らないと発生します。システムも何でも導入すれば良いのではなく、セキュリティ面やコストなど多々検討するポイントがあります。 会社として何が最適なのかを検討し、シャドーITが発生しないようにしましょう。

執筆者:
橋爪兼続
ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
他の記事

