セミナー情報シャドーITとは?リスクから原因・対策・管理方法まで網羅解説
シャドーITとは、組織の情報システム部門が把握・許可していないIT機器やクラウドサービスを従業員が業務で利用することです。業務効率化の反面、情報漏えいなどの重大なセキュリティリスクを招く問題点があり、組織的な対策が求められます。
本記事では、シャドーITの意味や問題点から、発生する原因、具体的な対策・管理方法までを網羅的に解説します。
・なぜシャドーITは発生するのか?主な3つの原因
・あなたの会社は大丈夫?シャドーITに該当する具体例
・シャドーITが引き起こすリスクと実際のインシデント事例
・シャドーITを防ぐための効果的な対策とは
・まとめ
・IT資産管理「SS1」でシャドーIT対策を実現した事例をご紹介!
シャドーITとは?組織が把握していないIT利用の実態
シャドーITとは、組織のIT管理部門による許可や管理がおこなわれていない、私物のデバイスや外部のWebサービスなどを業務に利用する行為、またはそのように利用されるデバイスやサービスそのものを指す用語です。
「シャドーIT」という言葉は、管理者の目が届かない「影(シャドー)」の部分でIT利用が進んでしまう実態を的確に表しています。従業員に悪意はなくとも、組織にとっては情報漏えいなど深刻なセキュリティリスクを招きかねません。
BYOD(私物端末の業務利用)との明確な違い
シャドーITと混同されやすい言葉に「BYOD(Bring Your Own Device)」があります。
BYODとは、従業員が所有するスマートフォンやノートPCといった私物端末を、組織の許可を得たうえで業務に利用することです。両者の最も大きな違いは、組織がその利用を「把握し、許可しているか」という点にあります。
BYODは、組織が定めたセキュリティポリシーやルールのもとで管理・運用されるため、セキュリティが担保されています。一方、シャドーITは組織の管理外でおこなわれるため、セキュリティリスクを制御できません。
なぜシャドーITは発生するのか?主な3つの原因
では、なぜシャドーITは発生してしまうのでしょうか。
多くの場合、従業員は組織に損害を与えようと考えているわけではなく、業務をより効率的、かつ円滑に進めたいという善意から無許可のツールを利用してしまいます。その背景には、組織が提供する環境や従業員の意識、そして外部サービスの進化といった、主に3つの原因が考えられます。
会社の公式ツールが業務内容にあっていない
組織が公式に導入しているツールやソフトウェアが、実際の業務内容や現場のニーズにあっていない場合、従業員は不便さを感じます。
例えば、ファイル共有ツールの容量が小さすぎたり、申請・承認プロセスが複雑で時間がかかりすぎたりすると、従業員はより簡単で高機能な外部サービスを探しはじめる傾向があります。
このように、公式ツールが業務の足かせになっている状況が、従業員をシャドーITに向かわせる直接的な動機となるのです。
従業員のセキュリティに対する認識不足
従業員一人ひとりのセキュリティに対する意識の低さも、シャドーITを引きおこす大きな原因です。
多くの従業員は、個人で利用している便利なツールの業務利用が、組織全体にどのようなセキュリティリスクをもたらすかを深く理解していません。目先の業務効率化というメリットを優先するあまり、その行為に潜む情報漏えいやウイルス感染といった危険性を軽視してしまうのです。
この認識不足が、安易な外部サービスの利用につながります。
便利で手軽な外部サービスの普及
昨今では、個人向けのクラウドストレージやチャットアプリ、タスク管理ツールなど、無料かつ高機能なクラウドサービスが数多く登場しています。
ネットに接続するだけで誰でもすぐに使いはじめられる手軽さが、従業員を無意識のうちにシャドーITへ向かわせる大きな要因といえるでしょう。
あなたの会社は大丈夫?シャドーITに該当する具体例
シャドーITは、特別なツールだけでなく、普段何気なく使っている身近なデバイスやサービスが該当する場合があります。
ここでは、シャドーITに該当する行為の具体例をいくつか紹介します。以下に挙げる行為が、自社内でみられないか確認してみましょう。無意識のうちにおこなわれているケースも少なくありません。
私物のスマートフォンやノートPCの無断利用
組織から貸与された端末ではなく、従業員が個人で所有するスマートフォンやノートPCを、組織の許可なく業務に使うことは、シャドーIT利用の典型例です。例えば、外出先で私物のスマートフォンから会社のメールサーバーにアクセスしたり、自宅の個人PCに業務データを保存して作業したりする行為がこれにあたります。
これらの端末は組織のセキュリティ管理下にないため、ウイルス対策などが不十分なまま使用されている危険性も否めません。
クラウドストレージでのファイル共有
GoogleDriveやDropbox、OneDriveといった個人向けのクラウドストレージサービスを、組織の許可なく業務データの保管や取引先とのファイル共有に利用するケースもシャドーITです。
これらのサービスは大容量のファイルを簡単に共有でき、共同編集も可能なため、円滑なコミュニケーションに役立ちます。しかし、アクセス権の設定ミスやアカウント情報のずさんな管理が、意図しない情報漏えいに直結する危険性をはらんでいます。
チャットツールやフリーメール
無償のチャットツールを、業務上の連絡手段として利用することもシャドーITに該当します。手軽で迅速なコミュニケーションがとれる反面、メッセージの誤送信やアカウントの乗っ取り、端末の紛失などによる情報漏えいのリスクが存在します。
また、GmailやYahoo!メールなどのフリーメールアドレスを使って、業務に関するファイルやメールを送受信する行為も同様に危険です。
無許可での生成AIサービス活用
近年、急速に普及しているChatGPTなどの生成AIサービスを、組織の許可なく業務で活用するケースも新たなシャドーITとして問題視されるようになりました。
文章の作成やアイデア出しに非常に便利な一方、入力した情報がサービス提供者のサーバーに送信され、AIの学習データとして利用されるおそれがあります。組織の機密情報や個人情報が意図せず外部に流出するリスクがある点に、十分な注意が必要です。
シャドーITが引き起こすリスクと実際のインシデント事例
シャドーITは業務効率を向上させる一方で、組織のセキュリティを著しく脅かす危険性を内包しています。管理部門の目が届かないIT利用は、思わぬ形で重大な問題を引きおこしかねません。
ここでは、シャドーITのリスクとして代表的なものを4つ挙げ、深刻な問題と実際に発生した事例について解説します。
ウイルス感染による社内ネットワークへの侵入
シャドーITのなかでも特に危険性が高いのが、ウイルス感染のリスクです。セキュリティ対策が不十分な私物端末や、安全性が確認されていない外部サービスを業務に利用すると、マルウェアに感染する可能性が高まります。
シャドーITの端末が一度感染すると、その端末を踏み台にして社内ネットワークに侵入され、他のサーバーやPCへ感染が拡大し、システムダウンやデータ破壊といった甚大な被害につながるおそれがあります。
事例:私物PCのウイルス感染から社内サーバーがランサムウェア被害に
ある組織にて、在宅勤務をおこなっていた従業員が、セキュリティ対策の施されていない私物のPCを無断で業務に利用していました。
このPCがマルウェアに感染し、従業員がVPN経由で社内ネットワークに接続した際にマルウェアがネットワーク内へ侵入。最終的には社内のファイルサーバーにまで感染が広がり、保存されていた重要データが暗号化されるランサムウェア被害に遭いました。
私物端末の安易な利用が、組織全体の業務を停止させる事態に発展したケースです。
機密情報や個人情報の外部漏えい
組織の管理外にあるクラウドストレージやファイル転送サービスを利用することで、機密情報や個人情報が外部に漏えいするリスクが高まります。
例えば、共有リンクの公開範囲設定を誤ったり、退職した従業員のアカウントが放置されたままになったりすることで、本来アクセス権限のない第三者が重要データにアクセスできてしまう可能性があります。このような人為的ミスによる情報漏えいは、シャドーITの典型的なリスクの一つです。
事例:無許可の外部ストレージ利用やUSB紛失による大規模なデータ流出
ある情報通信会社では、業務委託先の従業員が、組織が許可していない個人契約の外部ストレージ(シャドーIT)に顧客の契約情報を無断でコピーし持ち出していました。結果として、約590万件にも及ぶ氏名・住所などの顧客情報が流出する事件へと発展しました。
また別の自治体では、無許可で個人のUSBメモリに市民の個人情報を保存して持ち出したのち、外出先で紛失するという事件もおきており、手軽な記録媒体の利用が甚大な被害を招いています。
事例:無許可のファイル転送サービス利用による情報漏えい
ある組織では、大容量のデータを送信するために、情報システム部門が許可していない外部のファイル転送サービスを従業員が利用していました。
このサービスにサイバー攻撃がおこなわれ、サーバーに保管されていた多数のファイルが外部に流出し、そのなかには、この組織が送信した機密情報も含まれており、情報漏洩につながりました。
組織で定められたルールを守らず、利便性を優先した結果、インシデントを招いた事例です。
外部サービスからのアカウント乗っ取り被害
個人で利用しているWebサービスやフリーメールアドレスでは、パスワードを複数のサービスで使い回したり、推測しやすい簡単な文字列を設定したりしがちです。このようなセキュリティレベルの低いアカウントがサイバー攻撃を受けると、容易に乗っ取られてしまいます。
もし、そのサービス内に業務に関する重要な情報が保存されていた場合、攻撃者によって情報が盗まれたり、改ざんされたりする被害に発展する危険性があります。
事例:個人のフリーメール乗っ取りによるなりすましと情報窃取
ある組織では、従業員が会社の許可を得ず、業務のやり取りに個人のフリーメールアドレスを使用していました。この従業員がフィッシング詐欺に遭いアカウントを乗っ取られた結果、メール内に保存されていた顧客リストや契約書などの機密文書がすべて窃取されました。
さらに、攻撃者がその従業員になりすまして取引先へ「振込先口座の変更」を依頼する詐欺メールを送信するなど、二次被害にまで発展しました。
法令違反やコンプライアンス上の問題
組織は、個人情報保護法やマイナンバー法、あるいは業界ごとのガイドラインなど、さまざまな法令・規制を遵守して情報を管理する義務を負っています。
シャドーITによって、これらの法令で定められた安全管理措置の要件を満たせない場所にデータが保管・処理されてしまうと、コンプライアンス違反に問われる可能性があります。法令違反が発覚すれば、行政からの罰則だけでなく、組織の社会的信用の失墜にもつながりかねません。
事例:アクセス設定の不備による患者情報の意図せぬ全世界公開
2021年、国内の病院にて、従業員が業務連絡のために独自の判断で個人の「Googleグループ」を作成し利用していました。しかし、その閲覧権限が「ウェブ上のすべてのユーザー」に設定されていたため、患者の問診情報などが誰でもみられる状態でインターネット上に公開されてしまう事故が発生しました。
シャドーIT環境下では組織の監査が行き届かず、個人情報保護の観点から重大なコンプライアンス違反を引き起こした事例です。
シャドーITを防ぐための効果的な対策とは
リスクを防ぐためには、どのような対策を講じればよいのでしょうか。単に私物端末や外部サービスの利用を禁止するだけでは、業務効率の低下を招いたり、さらなる隠れたIT利用を助長したりするだけで、根本的な解決にはなりません。
シャドーIT対策とは、利用実態の把握からルール作り、教育、そして技術的な制御までを組み合わせた、多角的なアプローチで防止することが重要です。
まずはIT資産の利用状況を正確に把握する
シャドーIT対策の第一歩は、組織内で「誰が、いつ、どの端末で、どのようなソフトウェアやクラウドサービスを利用しているか」というIT資産の利用状況を正確に把握することです。
現状を可視化しなければ、どこにリスクが潜んでいるのか分からず、有効な対策を立てられません。IT資産管理ツールなどを活用した網羅的な調査をおこない、組織の管理下にあるべき資産と、管理外で利用されているシャドーITを明確に切りわけることが不可欠です。
ITツールの利用に関する明確なガイドラインを策定する
利用実態を把握したうえで、ITツールの利用に関する明確なガイドラインを策定します。
業務で利用してよいクラウドサービスやソフトウェアをリスト化した「ホワイトリスト方式」や、利用を禁止するものを定めた「ブラックリスト方式」など、組織の方針にあわせたルールを定めます。
また、新しいツールの利用を希望する場合の申請フローや、私物端末を利用する際のセキュリティ要件なども具体的に定め、全従業員に周知徹底することが重要です。
セキュリティ教育で従業員のITリテラシーを向上させる
ルールを策定するだけでなく、なぜそのルールを守る必要があるのかを従業員一人ひとりが理解しなければ、シャドーITを根本からなくすことはできません。
IPA(情報処理推進機構)が公開しているセキュリティガイドラインなどを参考に、シャドーITがもたらす具体的なリスクや過去の事故事例を学ぶ研修会を定期的に開催します。セキュリティ教育を通じて従業員のITリテラシーを向上させ、自分自身の問題として捉えてもらうことが大切です。
利便性の高い公式ツールを導入し代替手段を提供する
従業員がシャドーITに手を出す背景には、公式ツールへの不満があります。そのため、現場のニーズをヒアリングし、業務内容に適した利便性の高いツールを組織として公式に導入することが有効な対策となります。
従業員が「これを使いたい」と思えるような代替手段を提供することで、無許可で外部サービスを探す動機そのものを減らせます。ツールの選定にあたっては、セキュリティと利便性のバランスを考慮することが重要です。
CASBやMDMなどのソリューションで利用を制御・監視する
人的な対策に加えて、技術的な制御・管理を取り入れることも効果的です。CASBというソリューションを導入すれば、従業員のクラウドサービス利用状況を可視化し、組織のポリシーに反する危険な通信を検知・ブロックするなどの制御が可能です。
また、MDMでスマートフォンなどのモバイル端末を一元管理し、業務に必要なアプリのみをインストールさせるといった対策も有効です。
まとめ
シャドーITは、従業員の業務効率化を求める動きから自然発生的に生まれるものですが、その裏には情報漏えいやウイルス感染といった組織の根幹を揺るがす重大なリスクが潜んでいます。
この問題に対処するためには、利用を一方的に禁止するのではなく、まずIT資産の利用実態を正確に可視化することが第一歩です。
そのうえで、明確なガイドラインの策定、従業員へのセキュリティ教育、利便性の高い代替ツールの提供、そしてCASBなどの技術的対策を組み合わせ、組織全体で計画的に取り組む姿勢が求められます。
IT資産管理「SS1」でシャドーIT対策を実現した事例をご紹介!
シャドーIT対策の基本は、先述の通り組織におけるIT資産を正確に把握し、適切な制御をおこなうことです。
弊社が提供するIT資産管理ツール「SS1」
およびSS1クラウドは、シャドーITの発見から情報漏えい対策まで、組織のセキュリティ強化を強力にサポートします。
ネットワークに接続された未登録PCやデバイスを自動で検知・通知し、許可なくインストールされたソフトウェアを可視化することで、シャドーITの早期発見が可能です。また、Webの閲覧ログ取得によるオンラインストレージへのアップロード監視や、個人のUSBメモリなどの無断接続を制限するデバイス制御機能により、外部サービスや私物端末経由の情報漏えいリスクを最小限に抑えられます。
ここでは、実際に「SS1」を導入し、業務の利便性を損なうことなくシャドーIT対策やセキュリティ強化を実現した組織の事例を2社ご紹介します。
【SS1導入事例】シャープファイナンス株式会社様
シャープファイナンス株式会社様では、IT資産管理ツール「SS1」を活用し、USBメモリなどの外部記憶デバイスを介した情報漏えい対策を徹底されています。すべての外部デバイス使用を原則禁止としたうえで、業務上不可欠な場合にのみ、従業員がワークフロー機能を利用して申請をおこなう仕組みを構築されました。
以前はメール申請と個別設定で対応されていましたが、SS1の導入によって一連のフローが自動化され、利便性を維持しながら確実なセキュリティ強化を実現したとのことです。詳細は下記の導入事例をご参照ください。
【SS1導入事例】一般財団法人杏仁会 江南病院様
一般財団法人杏仁会 江南病院様では、IT資産管理ツール「SS1」を活用し、USBメモリなどの外部デバイス利用を原則禁止とすることで、職員のセキュリティ意識向上を図られています。一方で、患者様へ動画を提示するなど業務上やむを得ない場合は、部署や端末ごとに例外的な使用許可を出す柔軟な運用をおこなっているとのことです。
また、SS1のソフトウェア配布機能を用いて、ほぼすべてのPC環境を同じ状態に整えることで、確実なIT統制を実現されています。詳細は下記の導入事例をご参照ください。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
