はじめに
2020年以降のコロナ禍にともなうテレワークの浸透によって、ビジネスチャットやファイル共有サービスなどのITツールが業務で欠かせないものとなりました。
一方、個人で利用するデバイスやクラウドサービスを会社の許可なく業務で使用する「シャドーIT」も広がっており、企業にとってはセキュリティリスクの脅威となっています。
本記事では、そんなシャドーITに潜むセキュリティリスクを整理し、発生の原因や対策を解説します。
シャドーITの概要とBYODとの違い
そもそもシャドーITとは、どのような意味なのでしょうか。ここではシャドーITが起きる背景や、混同されることの多いBYODとの違いについて説明します。
シャドーITとは
シャドーITとは、先述した通り会社が把握していないデバイスやクラウドサービスを使用し業務を行うことです。
たとえば業務とは関係のない個人用アカウントで作ったGoogleドライブに、会社の資料をアップロードし管理した場合、それはシャドーITといえます。また、緊急の連絡をする必要があり、やむなく個人用タブレットを使用し会社用クラウドメーラーを起動してメール送信した場合もシャドーITになります。
シャドーITが起きる背景
最も多い要因は、自分が慣れ親しんだデバイスを利用するほうが便利で業務効率が上がるためです。ビジネスチャットへの返信ひとつをとっても、日常的に使用するスマートフォンでの返信と、会社用ノートパソコンを起動しログインしたうえでの返信では、圧倒的に前者の方が効率良くスピーディーに対応できることは想像に難くありません。
このように、悪意なく認められていないデバイスを使用しているケースがシャドーIT発生の背景には多くあります。
BYODとの違い
BYODとは“Bring Your Own Device”の略で、個人所有のデバイスを業務で使用することを指します。一見シャドーITと同じように見えますが、BYODは「会社に利用を承認されたデバイスを使う」ため意味は大きく異なります。会社から承認されていない個人所有デバイスを業務用途で活用した場合、BYODではなくシャドーITになるのです。
シャドーITが起きやすいサービスや場面
次に、シャドーIT起きやすいサービスや場面を紹介します。
プライベートのチャットサービスやSNS
私用スマートフォンでのチャットやSNSを利用した従業員同士、取引先とのコミュニケーションは、簡単にシャドーITを引き起こす事例のひとつです。
その手軽さゆえに本来は会社の機密事項として取り扱う必要のある情報も、うっかりと社外の人に送信してしまうなど、情報漏洩のきっかけになる危険性があります。
無料のファイル共有サービス
GoogleドライブやDropboxなどの無料ファイル共有サービスは、自動同期などでデバイスをまたがりファイルを管理できるため、非常に利便性の高いツールです。一方で、セキュリティ対策が脆弱な個人用アカウントでファイルを管理した場合、悪意のあるサイバー攻撃などを受け、簡単に情報漏洩してしまう危険性があります。
とくに無料サービスの場合は、セキュリティ対応がユーザーに委ねられていることが多く、その分情報漏洩リスクは高いといえるでしょう。
クラウドメールサービス
クラウド上で動くメールサービスも、シャドーITの発生ケースとして多いものです。これはクラウドサービス全般にいえることですが、IDとパスワードさえあればサービスにログインできることになるため、カフェなどのオープンスペースで不用心に扱うと、情報を盗まれる可能性があります。
たとえば個人用アカウントを自動保存したブラウザを閉じないままお手洗いなどで席を外した場合、悪意のある第三者がブラウザ設定をチェックし、自動保存されたパスワードを確認してしまう可能性もあるのです。
フリーWi-Fiへの接続
パスワード入力なしで接続できるWi-Fi、いわゆる「フリーWi-Fi」も、情報漏洩に繋がるリスクがあるシャドーITの代表例です。
たとえば、情報を盗む目的で設定されたWi-Fiに接続した場合、接続用ユーザー登録と称して「Facebookでログイン登録する」などの動線が表示され、FacebookのIDとパスワードを入力させようとするかもしれません。もしも複合的なシャドーITとして、Facebookでの業務連絡をしていた場合は、ここで個人のFacebookログイン情報が意図せず漏洩することになり、結果として業務情報の漏洩にも繋がってしまいます。
また、パスワードが設定されていてもセキュリティ強度が弱いWi-Fiもあるため十分に注意が必要です。
シャドーITが引き起こすセキュリティリスク
このように、さまざまな発生場面が考えられるシャドーITは、主に以下のセキュリティリスクが考えられます。さまざまなセキュリティ事故は、企業の存続にもかかわる重要な問題ですのでしっかりと認識しましょう。
情報漏洩
プライベートSNSやチャット、無料ファイル共有サービスなどでの操作ミスや、デバイスを紛失して悪意ある第三者に不正アクセスされるなど、シャドーITにはさまざまな情報漏洩リスクがあります。
なお、個人端末紛失による情報漏洩では、業務に関する情報のほかに個人情報も見られてしまうため、従業員は2重の被害を受けることになります。
ウイルス感染
個人所有のデバイスにはセキュリティ対策ソフトをインストールしていない場合も多いのが特徴です。そのため不適切なサイトにアクセスしたりメールを開いたりして知らずにウイルス感染したデバイスで、ほかのデバイスやクラウドサービスに接続するケースが考えられます。
個人だけでなく企業全体にウイルスを広げる可能性もあるため、非常に危険なセキュリティリスクだといえるでしょう。
不正アクセス
セキュリティ強度の低いWi-Fiへの接続を行ったり、第三者にパスワードが盗まれたりすることで不正アクセスの被害にあう可能性が高くなります。
そのままアカウント自体が不正操作され、顧客の個人情報を含む機密情報の漏洩やウイルス感染にもつながるため、社外秘情報を扱う際の接続方法や場所には十分な注意が必要です。
シャドーITを防止するためにできること
このように、セキュリティリスクが散見されるシャドーITを防止するには、どのような対策を講じれば良いのでしょうか。以下、5つの対応策をご紹介します。
シャドーITの実態把握
まずは、シャドーITが社内でどれくらい実施されているのか、その実態を把握することが重要です。
従業員に、業務で利用しているデバイスやサービスをヒアリングします。個人端末を利用している場合、なぜその必要があるのか、業務上不便に思っていることはなにかなどを調査、分析し、必要な対策を考えていきます。
従業員へのセキュリティ意識向上の教育
どんなに会社側で対策を講じたとしても、従業員のセキュリティ意識が低いことには、シャドーITを防ぐのは難しいでしょう。
悪意なくシャドーITを行っている従業員も少なからずいるため、どのようなリスクがあるのかを定期的に説明する機会を設け、セキュリティ意識を恒常的に高めていく取り組みが必要不可欠です。
BYODの導入
シャドーIT発生の動機が、会社用デバイスの使い勝手に起因しているようならば、BYODの導入を検討すると良いでしょう。企業で利用ルールやガイドラインを定めたうえで個人所有の端末利用を認めることで、シャドーITによるリスクを軽減できます。
社用携帯の導入
社用携帯を導入するのも、シャドーIT対策としては有効です。企業側が定めたアプリケーションの利用だけを認め、またネットワークにもアクセス制限をかけることで、社内の情報は社用携帯でのみ取り扱うようなルール化が進めやすくなります。
ただし、従業員の業務に沿ったUIを構築している携帯端末を社用携帯として導入するべきでしょう。使い勝手の悪い社用携帯を導入してしまうと、結果として個人端末の利用を後押しし本末転倒となってしまいます。
関連記事:社用携帯・スマートフォンは必要? メリット・デメリットと導入の注意点を解説
MDMの導入
上述のBYODや社用携帯の導入と関連して、従業員が使用する端末を企業側が把握し管理するMDM(Mobile Device Management:モバイル端末管理)の導入も、シャドーIT対策として有効です。制限やルールを設けてもシャドーITがなくならない場合、会社が該当デバイスを監視してコントロールするのも必要な対策でしょう。
シャドーITにはさまざまな面からの対策が必要
今回はシャドーITに潜むセキュリティリスクなどの脅威を整理し、それに対する各種防止策を見ていきました。シャドーITの防止には、従業員の意識向上と適切なルール策定、そして必要に応じたツールの導入など、さまざまな面からの対策が必要です。
コネクシオでは、社用携帯の導入や端末のセキュリティ管理など、ご要望に合わせてサービスを提供しています。シャドーITをはじめとするセキュリティマネジメントでお困りの際は、ぜひお気軽にお問い合わせください。