「シャドーIT」とは、従業員が私用のスマートフォンやタブレット、PCなどのデバイスを会社に無断で業務に使用したり、フリーメールやフリーのファイル転送などのサービスを勝手に利用したりするなど、企業側が把握していないデバイスやサービスを業務中に使用することだ。

近頃、そのシャドーITが増えつつあるという。それは長時間労働の是正により、残業の上限時間を制限されたことで、勤務時間内に終わらなかった業務を片付けようとフリーメールなどを使用して自宅のPCにデータを送信してしまうケースが増えていることが理由として挙げられる。また、そもそもセキュリティの意識が甘く、私用のデバイスや許可のないクラウドサービスを使用してしまう場合など、それらの行動が問題であるという認識の低さもシャドーITが増えつつある原因の一つである。

「BYOD（Bring Your Own Device）」も、私有のPCやスマートフォンなどを業務上で使用することを指すが、こちらは組織が許可した端末を、セキュリティ対策を取ったうえで使用するため、シャドーITと比べてリスクは低い。

従業員がシャドーITを行ったことで、実際に大きな問題も起きている。例えば、2021年にとある大学病院で、延べ269人の個人情報を含む患者情報が閲覧可能な状態になっていることが発覚した。幸い、情報が悪用されることも、システムへの不正アクセスもなかったが、この事故の原因は一人の医師が個人でクラウドサービスを用いており、IDとパスワードをフィッシング詐欺で窃取されたことにあった。

さかのぼって2018年には、行政の職員がフリーメールを業務に用いていたために不正アクセスされ、約1,800人の個人情報が流出した可能性があると発表した例もある。

個人所有の端末は、会社支給の端末よりもセキュリティ対策が甘いことが多い。そのため、マルウェアへの感染や、ID・パスワードが盗まれてしまうリスクも高くなる。仮にウイルスが感染した端末で企業のネットワークやクラウドにアクセスすると、全社的に被害が広がる可能性がある。また、システム担当者が把握していないデバイスが使用されていると、異常があった際に原因を突き止めるのが難しい。

そのほか、フリーのクラウドサービスやメールサービスを勝手に使用している場合は、情報漏えいにつながるリスクがある。フリーのストレージサービスで、アップロードしたファイルが誰からでも確認できる状態になっていた、という事故も過去に起きていた。

まず、従業員のセキュリティに対する意識を高めることが大切だ。特に新入社員には、シャドーITのリスクをしっかり教育する必要がある。

残業の上限時間内に業務が終わらず私用のPCなどを使用して仕事を片付けている従業員がいるようなら、業務の分担から見直した方が良いだろう。私用のデバイスを使用しなければならない状況がなくなれば、シャドーITの件数は減るはずだ。

ほかにも、社内ルールを策定し、どうしても私用のデバイスを使用しなければならない場合は届け出を義務とするのも対策になる。災害や不具合などの緊急時に会社支給のデバイスが使えなくなった場合に私用のデバイス利用を想定し、ルールを決めておくことをおすすめする。

もし現場の意見として私用のデバイスを使用したいという声が多いならば、MDM（モバイルデバイス管理）ツールを導入してBYODの運用環境を整備するのが良いだろう。

さらに安全性を高めるなら、従業員がクラウドサービスを利用するのを監視して適切に対策を行うためのツールであるCASB（Cloud Access Security Broker）の導入も考えられる。従業員が操作するデバイスからクラウドにアクセスする場合は、CASB経由になるよう設定を行えば良い。

シャドーIT防止のために、ソリューションを導入することも一つの手ではあるが、従業員教育やルール策定を行うだけでもリスクを防げる可能性はある。最初はそのようなところから始めていくことをおすすめする。また外注先の従業員が常駐するなど、社員教育ではカバーしきれないときにはCASB導入も視野に入れておくと良いだろう。