便利な機器やサービスが普及する中、従業員が業務に自身の端末を使用したり、会社で許可されていないクラウドサービスを使用したりしてしまうケースは少なくありません。シャドーITと呼ばれるこの行動は、従業員本人にとっては業務効率化を目的としたものであっても、会社が認識していない機器を使用することはさまざまなリスクを伴います。

当記事ではシャドーITの問題点と原因、対策方法を詳しく解説します。リスクを未然に防ぎながら業務の効率化を推進するために、シャドーITについて知っておきましょう。

目次

1. シャドーITとは？

1‐1. シャドーITの問題点

1‐2. BYODとの違い

2. シャドーITが起こる原因は？

3. 企業にできるシャドーIT対策4つ

3‐1. ガイドラインを作成する

3‐2. 社員教育を行う

3‐3. 効率的に仕事ができる環境を整える

3‐4. CASBを導入する

まとめ

1. シャドーITとは？

シャドーITとは、従業員や各部門が独断で導入し、組織内で利用している情報システムを指します。社内での利用申請を経ておらず、経営部門やシステム管理部門が利用を把握できていない機器やソフトウェア、クラウドサービスが活用されている状態です。具体的には、下記のような事例がシャドーITに該当します。

1‐1. シャドーITの問題点

シャドーITは、適切な管理下に置かれていないシステムのため、さまざまなリスクの原因となります。下記では、主に発生する可能性のあるリスクを解説します。

• 情報漏洩

情報漏洩は、シャドーITの利用により高まるリスクの1つです。部門や社員が会社の許可なくチャットツールやクラウドサービスを利用してしまうと、情報漏洩のリスクにつながります。外部ツールは、サービス提供者のサーバーや、インターネットのクラウド上を経由することがほとんどです。もしサーバーがサイバー攻撃を受ければ、情報漏洩による被害は免れません。

• アカウントへの不正アクセス

チャットツールやクラウドストレージをシャドーITとして利用した場合、アカウントの乗っ取りが発生するケースがあります。社内情報への不正アクセスが起こると、社内機密や個人情報の漏洩につながり、企業活動に支障が生じます。不正アクセスに使われたアカウントが自社の管理下になければ、事件が起こっても迅速な対応を取ることができません。

• マルウェアへの感染

個人利用のパソコンやスマホといったデバイスを、企業内のシステムに接続することでトラブルになる場合があります。マルウェアに感染した私用デバイスを接続した結果、社内ネットワーク全体に被害が及んでしまいます。

1‐2. BYODとの違い

シャドーITは、BYODとは異なる考え方です。BYODは「Bring Your Own Device」の略語で、個人利用のデバイスを利用することを意味します。シャドーITと違い、BYODは、企業が認める範囲内でPCやスマホなどの私用デバイスを利用することです。会社所有のデバイスではなく、使い慣れた個人用のデバイスを利用し、業務効率化を目指します。

BYODが導入されていても、もし会社が想定する以外の方法で利用した場合は、シャドーITに該当します。BYODを実施する際は、シャドーITの危険性を踏まえた利用規則を定めなくてはなりません。

2. シャドーITが起こる原因は？

シャドーITの利用を防止するために、まずはシャドーITがなぜ発生するのかを把握することが大切です。シャドーITが増加する背景には、企業が従業員のニーズを十分に満たしていないことが関係しています。ここでは、シャドーITが発生する原因を説明します。

3. 企業にできるシャドーIT対策4つ

企業内でシャドーITの利用が広がれば、セキュリティリスクやコンプライアンス面での危険性を潜在的に抱え続けることになります。シャドーITを防止するには、どのような方法があるのでしょうか。企業で取り組むべきシャドーIT対策を4つ紹介します。

3‐1. ガイドラインを作成する

シャドーITの広がりを防ぐために、まずはガイドラインを作成することが重要です。利便性のよい端末やクラウドサービスの使用禁止を理由なく訴えても、効果は上がりません。ガイドラインを作成し、さまざまケースに対してどう対応するかを明確に制定する必要があります。

私物のデバイスや、個人向けシステムを利用したい場合の申請方法や使用ルールを定めましょう。また、システム管理者と情報を共有し、利用上の安全性の担保や、使用開始後の運用方法などを定めるなど、システム管理者のチェックが行き届く体制を整えるのも大切です。

3‐2. 社員教育を行う

シャドーITの防止に力を入れるため、社員教育を実施するのは効果的な方法です。シャドーITは多くの場合、業務効率化を目的として行われます。個人でデバイス・サービスを利用する社員の中には、シャドーITの危険性を十分に理解しないまま活用している人もいます。シャドーITが業務に及ぼす影響をきちんと説明する機会を設けることが重要です。

まずはシャドーITについて作成したガイドラインや、セキュリティ知識を学ぶ教材を用意しましょう。社内研修や外部セミナーを利用して、社内に知識を浸透させるのも方法の1つです。理解度テストを定期的に実施すると、よりセキュリティ意識を高められます。

3‐3. 効率的に仕事ができる環境を整える

シャドーITが増加する背景には、非効率な業務環境に対する不満が隠れています。効率的に仕事ができる社内環境を整えるのが、シャドーIT対策を進める一歩です。

リモートワークが浸透し、スマホ、PC、タブレットと複数端末の利用を希望する社員が増えている他、安価に利用できるクラウドサービスの利用希望も増加しています。情報システム部門の人員を厚くして、端末やサービスの問い合わせに対応できる体制を強化することが求められています。

3‐4. CASBを導入する

ガイドラインを作成し、社内教育を実施しても、シャドーITを完全に防ぐことは難しい課題です。適切なセキュリティ対策のために、CASBを導入するのがおすすめです。CASB（Cloud Access Security Broker）とは、社員が利用するクラウドサービスを監視できるシステムを指します。

クラウドサービス利用時にCASBを経由させると、クラウドの利用状況を可視化できます。その結果、不正アクセスやデータ流出を阻止したり、送受信するデータを暗号化したりすることが可能です。さまざまなクラウドシステムが登場し、大企業でも利用が進む中、CASBはセキュリティリスク対策の1つとして有用です。

まとめ

シャドーITとは、従業員や各部門がシステム部門に無断で、個人が所有する機器やサービスを使用することを指します。シャドーITを行ってしまうと、情報漏洩やアカウントへの不正アクセス、マルウェアへの感染など、さまざまなリスクが発生します。

会社で認められていない機器やサービスを従業員が使用してしまうのは、企業で使用するデバイスが使いづらく、便利なものが世の中に広く普及しているためです。シャドーITによる問題を防ぐには、効率的に業務を行える環境を整えることに加え、セキュリティ対策をきちんと行いましょう。