ワークスタイル改革

企業の脅威「シャドーIT」に立ち向かう

掲載日:2021/12/14

こ企業の脅威「シャドーIT」に立ち向かう

多くの人々が高性能なPCやスマートフォンを使いこなす昨今。そんな時代だからこそ、注意すべき「シャドーIT」という問題がある。シャドーITは、企業が絶対に避けたい「業務の情報漏えい」の原因になりかねないものだ。これは一体どのような問題で、対策法はあるのだろうか。企業内でよくあるケースの説明も含めて、詳しく解説する。

目次

シャドーITとは?

シャドーITとは、従業員が企業の許可なく外部のIT機器やツールを使用して業務を行うことを指す言葉である。例えば、従業員が私物のスマートフォンで業務に関係するメールを送受信したり、自宅のWi-Fiに会社支給のPCを接続して社内ネットワークを利用したりといった状況が、シャドーITに該当する。

シャドーITによるリスク

シャドーITによって発生するリスクは多岐にわたる。想定すべき主なリスクは以下の三つだ。

情報漏えい

シャドーITの状況下では、ちょっとしたミスから機密情報がインターネット上に漏えいする恐れがある。特にSNS・チャット・無料ファイル共有サービスなどを通じて情報が漏れるケースは非常に多く、これらは業務に関係する端末や回線では利用を避けることが望ましい。

不正アクセス

業務に利用する端末で安全性の担保されていない回線に接続する際は、不正アクセスの被害に遭う可能性を考慮すべきである。特に、カフェやコンビニなどで提供されている公衆Wi-Fiを利用する場合は注意が必要だ。これらの公衆Wi-Fiが暗号化されていない場合、第三者が通信を傍受して情報を盗み見できてしまう。

セキュリティ強度の低いWi-Fiへの接続を行うことによって、不正アクセスの被害に遭う可能性が高くなるのだ。

ウイルス感染

個人所有の端末で完璧なセキュリティ対策を施している人は少ない。適切なセキュリティソフトがインストールされていないケースも多く、その場合にはマルウェア感染などのリスクがある。

企業でよくあるケース「チャットツールの乱立」

シャドーITについて考える際、忘れずにチェックしたいのがチャットツールの利用状況である。チャットツールでは手軽に文章やデータをやりとりできる一方、うっかりミスで意図しない相手に重要な情報を送ってしまう可能性がある。便利なツールだからこそ、ミスを起こさないために工夫した利用法が必要だ。

まず注意すべきは、個人用のチャットツールを業務でも使用しているケースである。このような利用方法をとる場合は、チャットツールの連絡先にプライベートの友人や知り合いと業務上の関係者が並んで表示されていることだろう。そうすると送付先を選びそこねて情報を誤送信し、情報漏えいするリスクがある。業務上のやりとりは、プライベートとは別のチャットツールを使うのが無難である。

また業務用途に限っていたとしても、利用するチャットツールが乱立している状況は望ましくない。どのチャットツールで連絡するのが正しいのか毎回確認する必要があるために、結果的にタスクを圧迫してミスの原因になり、ひいては情報漏えいにつながる。業務管理や効率性の面でもマイナスが大きいので、チャットツールは最低限の使い分けを心がけよう。

シャドーITの対策

シャドーITの対策は非常に難しい。これは、シャドーITという状況自体が、企業の管理部門の目の届かないところで生じるものだからである。その全容を把握するのは困難であり、完全に防止することは不可能とも言える。

しかし情報漏えいのリスクがある以上、シャドーITの対策は十分に努力すべきである。その際に注力すべきは、シャドーITが発生しにくい制度やルールを導入することだ。例えば、リモートワーク時のセキュリティルールの明確化やITツールの導入、社内教育の徹底などにより、従業員個人がシャドーITを防止しようと意識する環境を作ることができる。

COPEの活用

シャドーITを対策するに当たり、COPE(Corporate Owned, Personally Enabled)を活用することによって一定の効果を期待できる。COPEとは、業務端末を私的利用することを指す言葉。企業が十分なセキュリティ対策を施した端末を従業員に与え、それを業務用途・私的用途に問わず使ってもらうことでシャドーITの発生をある程度抑えることが可能になるのだ。

COPEのメリットは、企業がまとめて端末を管理することによってセキュリティソフトウェアの一括購入による割引などを適用し、コストパフォーマンスよく包括的な対策ができることである。また、従業員が利用する端末をそろえることができるので「使う端末によってソフトが対応していない」「端末の性能に差があって足並みがそろわない」などの問題を回避できる。

ただし、従業員全員の端末を買いそろえること自体が大きな経済的負担であり、その分の費用を他のセキュリティ対策に回した方が効率的との意見もある。また、COPEを活用したところで私用サービス経由の情報漏えいを完全に防ぐことはできず、根本的な解決にはつながらない。

ソリューションの活用

そのほかのシャドーIT対策としては、MDM(Mobile Device Management:PCやスマホの利用を遠隔管理すること)やゼロトラストモデル(アクセス端末の信用を都度調査する考え方のセキュリティモデル)の導入による効果が期待されている。いずれも「シャドーITは十分に発生する可能性があるので、それによる問題をどうやって最小限に抑えるべきか」に重点を置いたソリューションだ。

コロナ禍以降テレワークが急速に浸透したことにより、ほとんどの企業にとってシャドーITは避けて通れない問題となった。解決を希望する声が多いからこそ適切なソリューションを紹介し、企業に安心を提供したい。