シャドーITとは?
3つのリスクとツールを
活用した対策方法を解説
2023年04月21日
ご相談・無料お見積りシャドーITは、企業のセキュリティを脅かすリスクの一つです。
適切に管理されたソフトウェアやIT端末は、今や業務効率化や生産性向上のために欠かせないツールとなっています。
しかし、企業や組織の許可なく導入されたシャドーITは、適切な管理がされないケースが多く、そのままにしておくと思わぬ事態に陥るリスクがあるのです。
今回はシャドーITとは何か、企業が抱えるリスクと回避するための対策について解説します。
シャドーITとは
シャドーITとは、従業員が個々の判断で導入し、使用しているソフトウェアやクラウドサービスのことを指します。
企業や組織の承認を得ずに導入されているため、IT部門、情報システム部門などが把握できていないケースも多く、管理対象外となっていることが問題視されています。
一般的に、シャドーITになりやすいのは、以下のようなものです。
- GmailやYahoo!メールなどの「フリーメール」
- GoogleドライブやDropboxなどの「オンラインストレージ」
- ChatworkやLINEなどの「コミュニケーションツール」
- スマートフォンやタブレットなど「私物デバイス」
GmailやYahoo!メール、LINEなどは、無料で手軽にアカウントを作れるため、個人的に利用している人が多いツールです。
また、メールでは送りにくい大容量データの共有に、GoogleドライブやDropboxを利用するケースも多いようです。
さらに、仕事上のやり取りであっても、普段から使い慣れているツールを使いたいと考える人は多く、ちょっとした連絡ならLINEのほうが気軽にできるというメリットもあるでしょう。
いずれも一定量までは無料で利用できるため、企業を通さず従業員個人の判断で導入できてしまいます。
なぜシャドーITが存在するのか?
シャドーITが蔓延するもっとも大きな要因としては、従業員の認識不足が挙げられます。
シャドーITという言葉は以前から存在するものの、実際にまだそれほど普及しているわけではありません。
「シャドーITと言われても、ピンとこない」という方も多いのが実態です。
そのため、従業員も悪意をもってシャドーITを利用しているわけではなく、むしろ作業スピードを上げようと便利なツールを利用したり、コストを抑えるために個人所有の端末を利用したりなど、企業に貢献する目的で導入されるケースがほとんどだと言えるでしょう。
より効率良く仕事を進めるためにツールやIT端末を活用するという行為自体は、一概に悪いことだとは言えません。
しかし、適切な管理が行われていないソフトウェアや端末が社内に蔓延することは、企業にとって大きなリスクとなります。
知らず知らずのうちに増えていき、気づいたときには蔓延しているのがシャドーITです。
重大なトラブルが起きてから、初めてシャドーITの存在に気づくという事態は避ける必要があるのです。
従業員が業務においてどんなソフトウェアや端末を使用しているのか、完璧に把握しきれている企業は少ないのではないでしょうか。
つまり多くの企業において、すでにシャドーITが存在している可能性は十分あり得るということです。
シャドーITによる3つのリスク
知らないうちに増えていくシャドーITを放置してしまうと、企業としては以下のようなリスクを抱えることになります。
情報漏洩
フリーメールやコミュニケーションツールは、誤送信などの人的ミスによって企業情報が漏洩するリスクがあります。
また、個人の判断で利用していたクラウドストレージに企業情報が保存されていた場合、その社員の退職とともに外部流出してしまう危険性があるでしょう。
外部からの不正アクセス
セキュリティ対策が十分ではないクラウドストレージや個人所有の端末は、外部からの不正アクセスがされやすいという問題があります。
サイバー攻撃の被害に遭い、マルウェア感染する可能性も考慮しなければいけません。
マルウェア感染すると、デバイスに保存されているデータが勝手に改ざんされたり、デバイスが乗っ取られてさらなるサイバー攻撃の踏み台として使われたりしてしまう危険性があります。
コンプライアンスリスク
開発現場ではスピード感を求められるケースも多く、今やOSS(オープンソースソフトウェア)の使用は欠かせないものとなってきています。
ただし、OSSは何でも自由に使って良いというわけではなく、一定の条件においての使用が許諾されているものが多いです。
通常は適切な調査をしたうえで使用されますが、OSSは誰でも簡単に入手できるため、万が一シャドーITとして組み込まれていた場合、ライセンス違反を指摘されたり、訴えられて損害賠償請求されるリスクもあります。
また、内部統制などの監査では、使用中のソフトウェアや端末を適正に管理していることが求められます。
シャドーITの存在を認めながら見て見ぬふりをすることはコンプライアンス違反となり、万が一不祥事が起きたときは企業の価値を大きく下げることになるでしょう。
シャドーIT対策の進め方
シャドーITは、規模や人数に関わらず、どんな企業にも存在するリスクです。
重大な問題が起こる前に、しっかりと対策をしておくことが重要です。
ここからは、企業におけるシャドーIT対策の進め方について、手順に沿って説明します。
社内のシャドーITを把握する
シャドーITの対策を講じるためには、社内で使用されているソフトウェアやIT端末をすべて把握する必要があります。
ですが、従業員にシャドーITを利用している自覚がなかったり、本当のことを教えてもらえない可能性もあるため、正確に把握するためには膨大な時間を消費することになるでしょう。
社内のソフトウェアやIT端末を効率良く正確に把握するには、シャドーITに特化した管理ツールの導入が近道です。
SaaSやクラウドサービス、従業員個人の端末まで、すべて一元管理できるツールを導入すれば、知らないうちにシャドーITが蔓延するリスクを早期に解消できます。
サンクションITに切り替える
ちょっとした業務連絡で個人アカウントのLINEなどを利用している場合は、サンクションITに切り替えることで、シャドーITをなくすことが可能です。
サンクションITとは、企業が利用を承認・把握しているIT機器やアプリケーションのことです。
例えば、業務連絡のツールをSlackやMattermostに切り替え、個人的に使用しているツールでのやり取りを禁止することでシャドーIT対策につながります。
また、シャドーITに特化したツールを利用すれば、従業員が利用するIT端末とSaaSの一元管理も可能です。
BYODとして管理する
BYODとは、「Bring Your Own Device」の頭文字を取った言葉で、個人所有の端末を業務でも使用することを指します。
シャドーITが生まれる原因の一つに、社内だけではなく自宅や移動中も作業を進めたいという理由から、個人所有の端末を使用してしまうケースがあります。
企業として初めからBYODを採用し、従業員の個人端末についても適切に管理することでシャドーIT対策になります。
また、シャドーITに特化したツールのなかには、個人所有の端末を管理する機能が備わったものも存在するため、企業の端末と同じように一元管理することも可能です。
ルールを策定する
前述の通り、従業員が悪意をもってシャドーITを利用するケースは稀であり、業務効率化を図る目的で積極的に利用している従業員が多い可能性が考えられます。
そのため、まずはシャドーITのリスクに関する勉強会を実施し、きちんとルールを策定したうえで周知徹底することが望ましいでしょう。
もちろん、個人の判断によるソフトウェアやIT端末の使用を禁止する場合は、それに代わるものを用意しておく必要があります。
シャドーIT対策におすすめのツール
従業員が使用するソフトウェアやIT端末をすべて把握し、適切な管理によってシャドーITによるリスクを未然に防ぐには、ツールの活用が不可欠です。
人力によるアナログ作業では膨大な時間を費やしてしまうIT台帳管理も、ツールを導入して自動化することで、業務コスト削減とセキュリティ向上の実現が可能です。
シャドーIT対策にもっともおすすめのツールは、「ジョーシス」です。
ジョーシスは、シャドーIT対策に特化した機能が充実した、ITデバイスとSaaSの統合管理クラウドです。
SaaSやデバイスの利用状況を一元管理でき、さらにアカウントの発行や削除、入退社に伴う定型作業は自動化することが可能です。
シャドーITや削除漏れアカウントの自動検知機能があるなど、シャドーIT問題を解決するために必要な機能が備わっていて、もちろん従業員の個人端末をBYODとして管理することも可能です。
徹底した管理と使いやすさが魅力のジョーシスは、シャドーIT問題を解決するための最適なツールとしておすすめです。
シャドーIT対策に関するお問い合わせ
株式会社野村総合研究所(NRI)は、お客様が抱えている問題や課題の解決に向けてさまざまなサービスを提供しています。
シャドーIT対策やジョーシスの導入についても、ぜひNRIにお気軽にご相談ください。
