-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
シャドーITとは、企業が使用を許可していないにもかかわらず、従業員が勝手な判断で導入したIT機器やソフトウェアなどです。近年はリモートワークの普及によって管理者の目が届きにくくなり、シャドーITが多発しています。
シャドーITは不正アクセスや情報漏えいなどが起こる懸念があるため、企業は対策を講じることが大切です。この記事では、シャドーITの概要、発生しやすいサービスやツール、企業がとるべき対策について解説します。リスクを減らして安全性を高めたい企業の方は、ぜひ参考にしてください。
シャドーITとは|管理部門が把握していないIT機器やソフトウェア、クラウドサービスなどのこと
シャドーITとは企業の管理部門の許可を得ず、従業員が独断で導入したIT機器やソフトウェアなどです。シャドーITは適切に管理できないため、脆弱性が潜んでいても対応されにくく、情報漏えいやマルウェア感染などのリスクを招きます。
シャドーITに該当するのは、主に以下のようなツール・サービスです。
- 私用デバイス(スマートフォン・パソコン・USBメモリなど)
- メッセージアプリ(LINE・Facebookメッセンジャーなど)
- フリーメール(Gmail・Yahoo!メールなど)
- オンラインストレージサービス(Dropbox・Google ドライブなど)
- クラウドサービス(Google ドキュメント・Online Officeなど)
中でも無料で利用でき、導入の手間もそれほどかからないツールやサービスはシャドーITになりやすい傾向があります。
シャドーITとBYODの違い
BYOD(Bring Your Own Device)とは、企業が持ち込みを承認している私用デバイスです。セキュリティ対策として私用デバイスの使用を禁止する企業がある一方で、業務効率化のために一定のルールの基で使用を許可する企業もみられます。
業務で使用している私用デバイスを企業が承認しているか否かが、シャドーITとBYODの大きな違いです。
シャドーITとサンクションITの違い
サンクションITはシャドーITの対義語で、業務利用のために企業が許可したIT機器やクラウドサービスのことです。企業がすべてのIT機器を管理することで、ソフトウェアアップデートを適切に行うことができるなど、セキュリティリスクを抑えられるメリットがあります。
BYODとサンクションITはどちらも企業に承認されたIT機器ですが、BYODは個人がプライベートでも使用している私用デバイスで、サンクションITは企業が用意した専用デバイスである点が異なります。
シャドーITが生まれる原因
シャドーITが生まれる原因の1つとして、ITコンシューマライゼーションが挙げられます。ITコンシューマライゼーションとは、企業が法人向けではなく個人向けのIT機器やサービスを導入することです。これまでは業務用に開発された商品があとから一般消費者向けに提供されるという流れが主流でしたが、近年では一般消費者向けに開発された商品を企業があと追いで導入するようになりました。
従業員がシャドーITを引き起こしてしまうのは、業務で使用しているIT機器やサービスを不便に感じ、効率化を図るため独自にツールを導入するのが理由です。
一般消費者向けのものには、機能性が高く無料でとり入れられるツールが豊富にあるため、セキュリティを意識せず気軽な気持ちで導入する従業員が数多くいます。BYODとして管理すれば問題ありませんが、近年はリモートワークの普及で管理者の目が行き届きづらく、従業員が独断で導入しやすくなってしまいました。
シャドーITの発生を防ぐには、従業員が業務をスムーズに行えるよう企業が環境を整える必要があるでしょう。
シャドーITが発生しやすいツール・サービス
シャドーITが発生しやすいのは、従業員の私用デバイスや無料で利用できるクラウドサービスなどです。ここでは、シャドーITが発生しやすい具体的なツールやサービスについて詳しく解説します。
私用のスマートフォン・パソコン
私用のスマートフォンやパソコンを社内ネットワークや基幹システムなどに接続することは、少なからずリスクがあります。例えばマルウェアに感染したスマートフォンを接続して社内に感染が広がったり、そこから企業の重要なデータが盗まれたりする可能性が考えられます。
リスクを減らすには、企業が専用デバイスを支給しておき、それ以外のデバイスは接続を禁止するなどの対策も有効ですが、私用デバイスや無料クラウドサービスの使用をただ単に禁止するのではなく、従業員の要望を柔軟に受け入れ、BYODの実行を検討することも大切です。
Dropboxなどのオンラインストレージサービス
オンラインストレージサービス(DropboxやGoogle ドライブなど)は、ファイルの保存や共有ができるサービスです。無料で導入できる手軽さから業務で利用されるケースも多いですが、ファイル共有の操作ミスがあると情報が漏えいする可能性があります。
例えば、個人で利用しているオンラインストレージサービスに、従業員が社内情報をアップロードしたり、アップロードしたファイルに対して誰でも閲覧できる権限を付与したりすると、第三者に企業の機密情報を盗み取られるリスクがあります。
LINEなどのチャットアプリ
LINE・Chatwork・Slackなどのチャットアプリは便利なツールですが、プライベートで使用しているアカウントを業務で使うと、企業が管理できない領域に社内情報が残り、情報漏えいにつながる可能性があります。また社外でチャットアプリを使うと、第三者にやりとりを盗み見られる恐れもあります。
法人向けのチャットアプリを導入する、社外で使用する際のルールを設けるなどの対策が求められるでしょう。
Gmailなどのフリーメールサービス
フリーメールサービス(GmailやYahoo!メールなど)を業務で使用すると、以下のようなトラブルが発生する可能性があります。
- 業務関連のメールを知人・友人に誤送信する
- 個人用と法人用のアカウントを間違える
- 迷惑メールに振り分けられ、重要なメールが気付いてもらえない
- 取引先からのメールが埋もれ、見逃してしまう
業務とはまったく関係ない人にメールを誤送信してしまい、記載された内容が悪用されるケースは少なくありません。またメールを送信したのに気付かれず、業務進捗が滞るケースも考えられるでしょう。
シャドーITの温床となるクラウドサービス
前述のオンラインストレージやチャットサービスを含めたクラウドサービスは、インターネットを経由してサービスを提供するため、権限の設定ミスがあると不正アクセスされ情報が流出するリスクがあります。
業務で使用されやすいクラウドサービスを、IaaS・PaaS・SaaSの3つに分類します。
- IaaS:仮想化技術を利用してネットワークやサーバなどを提供するサービス
- PaaS:クラウド上のOS・ミドルウェアなどを提供するサービス
- SaaS:クラウド上のソフトウェアをインターネット経由で提供するサービス
クラウドサービスは便利ですが、従業員が無断で使用すると、設定管理が適切に行われず社内の機密情報が漏えいする事故の温床となる可能性があります。管理していないクラウドサービスが存在していないかを確認することが大切です。
シャドーITが原因で起こった事件
軽い気持ちで使用したシャドーITが原因で、不正アクセスや情報漏えいが発生する可能性があります。ここでは、シャドーITが原因で実際に起こった事件を紹介します。
フリーメールが原因の不正アクセス(2018年)
2018年にある地方自治体で、フリーメールのアカウントが不正アクセスされ、2,500件近くの個人情報が流出する事件が発生しました。業務での使用が禁止されていたにもかかわらず、アカウントを取得して3年間もフリーメールを使用し続けていたのが事件の原因です。個人情報を含むデータをフリーメールに記載し、課内で共有していたため、個人情報の流出につながりました。
個人情報を含んだUSBメモリの紛失(2022年)
ある地方自治体で、個人情報を保存したUSBメモリを紛失する事件が発生しました。データ移行作業を行う業者が、許可なくUSBメモリを持ち出したのが事件の発端です。かばんに入れて運んでいましたが途中で飲食店に立ち寄り、帰宅後にかばんの紛失に気付きました。
その後USBメモリは発見され、情報が流出した形跡はありませんでしたが、50万人に迫る市民情報流出につながる可能性があったため、大きな話題になりました。
シャドーITによって企業が負うセキュリティリスク
シャドーITは企業が適切な管理をしにくいことから脆弱性が生まれやすく、サイバー攻撃を受けるリスクがあります。ここでは、シャドーITが原因で企業がさらされるセキュリティリスクについて解説します。
不正アクセス
リモートワークで自宅やカフェからフリーWi-Fiを使用し、社内システムにアクセスするケースは少なくありません。フリーWi-Fiは暗号化されていないため、使用すると第三者が社内システムに侵入する不正アクセスのきっかけになり得ます。不正アクセスされると、情報漏えいやデバイスの遠隔操作、盗聴などの被害を受けるリスクがあります。
また個人情報の盗取やウイルスに感染させることを目的とした「なりすましアクセスポイント」という悪質なフリーWi-Fiも存在するため注意が必要です。Wi-Fi環境の整備を支援し、従業員にフリーWi-Fiを利用させないなどの対策が求められます。
情報漏えい
シャドーITによって、個人情報や企業の機密情報が漏えいする可能性があります。情報漏えいの主な原因は以下の通りです。
- デバイス(スマートフォン・パソコン・USBメモリ)の紛失
- チャットアプリやメールの誤送信
- チャットアプリ・オンラインストレージサービスへのハッキング
- クラウドサービス・オンラインストレージサービスの設定ミスによる不正アクセス
情報漏えいが発生すると企業への信頼が失われ、金銭的損失を被るリスクがあります。取引先企業に迷惑をかける可能性もあり、影響範囲が大きくなりやすいセキュリティリスクです。
アカウントの乗っとり
チャットアプリやフリーメールなどのアカウント情報が流出し、第三者に乗っとられる可能性があります。アカウントが乗っとられると、業務上で交わしていたやりとりが盗み見られたり、情報が盗まれたりするリスクがあります。
私用で利用するサービスはセキュリティを意識していないケースが多く、ID・パスワードの使いまわしも珍しくありません。ひとつアカウントが流出すると、ほかのサービスのアカウントも芋づる式に流出し悪用される危険があります。
マルウェア感染
私用のスマートフォンやパソコンはセキュリティ対策が不十分であるケースが多く、不正なサイトへのアクセスやファイルのダウンロードによってマルウェアに感染する可能性があります。マルウェアに感染すると、デバイスに保存されたデータが盗まれたり、社内ネットワークへのアクセスでほかのIT機器に感染が広がったりしかねません。
端末の紛失
私用のスマートフォンやパソコンは管理が行き届きにくいため、デバイスの紛失につながるリスクが高いです。日本ネットワークセキュリティ協会(JNSA)の調査によると、情報漏えいの原因のうちもっとも多いのが「置き忘れ・紛失」だと報告されています。※1
端末の持ち出しが厳しく管理されていれば置き忘れ・紛失のリスクを下げられますが、私用デバイスは制限が難しいため紛失事故が起きやすい傾向があります。
シャドーITをなくすための5つの対策方法
シャドーITをなくすには、現状を把握して課題を洗い出し、従業員がストレスなく業務を行える環境を整えることが重要です。ここでは、シャドーITの対策を5つのステップに分けて解説します。
①シャドーITの現状を把握する
シャドーITをなくすには、アンケートで従業員にヒアリングを行って現状を把握することが大切です。使用しているデバイスやサービス、シャドーITを行った理由、企業が現在導入しているツールへの不満などを質問しましょう。アンケートを回収したら従業員のニーズを把握し、課題や改善点を洗い出しましょう。
②シャドーITを使わずに済む環境を整える
シャドーITを防ぐには、未許可のデバイスやサービスを使用しなくても効率的に業務を遂行できる環境の整備が大切です。単純に企業が指定するツール以外の使用を禁止するだけでは従業員の不満が残ってしまい、シャドーITへの対策が思うように進まなくなります。
ヒアリング結果を基に従業員が必要としているツールを洗い出し、法人向けのチャットサービスやオンラインストレージサービスの導入などを検討していきます。すでに導入しているツールの評判が悪ければ新しいツールを導入するなど、積極的に環境整備を進めましょう。
③ガイドラインを策定し、社員教育する
シャドーITを防ぐには、シャドーITの危険性や禁止事項などを示したガイドラインを策定し、社員教育することが重要です。ガイドラインには、以下のような内容を盛り込むと良いでしょう。
- 社内データを私用のパソコンやUSBメモリなどに保存しない
- 私用のスマートフォンやUSBメモリなどを社内のIT機器に接続しない
- 社内データの持ち出しには管理者の許可をとる
- 会社で許可していないデバイスやサービスなどでデータの送受信をしない
- パスワードを複雑な文字列に設定し、ほかのサービスで使いまわさない
- データのバックアップを定期的に行い、適切な場所に保管する
- セキュリティ事故が発生した際は速やかに報告する
- 社内で導入したデバイス・サービスは定期的に更新し、常に最新状態を保つ
- 不審なWebサイトの閲覧を避ける
またシャドーITが原因のセキュリティ事故によって、企業にどのような損害が出るのか、従業員にどのような責任が問われるかなどを周知するのも効果的です。
④BYODの実行を検討する
私用デバイスやフリーソフト、無料クラウドサービスの使用をただ単に禁止するのではなく、従業員の要望を柔軟に受け入れ、BYODの実行を検討することも大切です。民間サービスには優れた機能を備えたものが多くあり、企業が適切に管理すれば業務を効率化できます。従業員が使用を切望するデバイスやサービスは、セキュリティ性能を確認した上で導入すると良いでしょう。
⑤アクセス管理ツールを導入する
デバイスやサービスの利用に柔軟に対応しつつ、シャドーITを防ぐには、サービスへのアクセス状況を監視・検知できるサービスを導入するのが有効です。代表的なツールには、クラウドサービスの利用状況を可視化できる「CASB(キャスビー)」があります。
CASBはアクセスがあった端末やアップロード・ダウンロードされたデータを監視して、怪しい動きを検知します。またログを集計したり、未許可のサービスに対してアクセス制御したりするのも可能です。
シャドーITのリスクを防ぐ対策を実施しよう
今回はシャドーITの概要や発生しやすいサービスやツール、企業がとるべき対策などについて解説しました。シャドーITは従業員が業務で使用しているデバイスやサービスを不便に感じていると生じやすいです。
シャドーITがあると、情報漏えいや不正アクセス、マルウェア感染など、さまざまなセキュリティリスクが発生します。被害を防止するためにシャドーITのガイドラインを策定し、未許可のデバイスやサービスなどを利用しなくても良い環境を整えましょう。
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR