シャドーITとは? 発生しやすいツールや対策をわかりやすく解説
シャドーITは、企業に重大な損害を与える可能性のある問題です。それにもかかわらず、シャドーITを利用する従業員や、十分な対策をとれていない企業は少なくありません。
本記事では、シャドーITが発生してしまう原因や発生しやすいツール、有効な対策などを解説します。シャドーITに対応できていない企業は、この機会にルールの見直しを検討しましょう。
シャドーITとは、企業の許可を得ていない端末やシステムなどを使用すること
シャドーITとは、企業側の許可を得ていない端末やシステム、サービスなどを、従業員が勝手に業務で使用することです。例えば、「社用パソコンに私物のUSBメモリを挿してデータの持ち出しを行う」といったケースがシャドーITに該当します。
また、企業が使用を認めていない無料のオンラインサービスなどを勝手に使うこともシャドーITの一種です。
シャドーITと似た言葉として、BYODやサンクションITが挙げられますが、それらとは下記のように意味が異なります。
| 項目 | 概要 |
|---|---|
| BYODとの違い | シャドーITが企業に無断で個人の端末を利用するのに対し、BYODは企業の許可の下で個人の端末を使用 |
| サンクションITとの違い | シャドーITは企業が許可していない私物を使用するのに対し、サンクションITは企業が業務利用を前提として正式に用意・許可した端末やシステムやサービスを使用 |
BYODとの違い
シャドーITと似たような言葉として、「BYOD(Bring Your Own Device)」というものがあります。BYODも、シャドーITと同じく個人の端末を業務に使用することを指します。しかし、シャドーITが企業に無断で個人の端末を利用するのに対し、BYODは企業の許可の下で個人の端末を使用しますので、企業の許可という点が大きな違いです。
企業の許可を得た上で、テレワーク時に私物のパソコンを使用したり、個人のスマートフォンを業務に使ったりする場合はBYODに該当します。
- 併せて読みたい
サンクションITとの違い
サンクションITとは、シャドーITとは反対に、企業が業務利用を前提として正式に用意・許可した端末やシステムやサービスのことを指します。例えば、社内で配布されたノートパソコンや、企業が契約している業務用クラウドサービスなどはサンクションITの典型例です。
なお、BYODとサンクションITはいずれも業務利用が許可されている点では共通していますが、BYODが従業員の私物を使うのに対し、サンクションITは企業が用意・管理するIT資産を使う点が異なります。
シャドーITはこれらと異なり、企業が把握していない・管理していないITリソースを従業員が勝手に使用する行為です。サンクションITのみを業務利用の対象にすれば、企業としてセキュリティリスクを抑え、管理体制を強化することが可能になります。
シャドーITが発生する原因
シャドーITが発生するのは、仕事環境や従業員の意識に問題がある場合が多いといえるでしょう。主に下記のような背景があると、未承認の端末やサービスの利用が起こりやすくなります。
| 項目 | 概要 |
|---|---|
| 社内ツールやシステムが不便だと思われている | 社内のツールやシステムが使いづらいと、「もっと良いシステムがあるからそちらを使おう」と考える従業員が出てくる可能性がある |
| 情報セキュリティ部門への利用申請が煩雑になっている | 承認手続きが煩雑だと「面倒だし時間がかかるから」と、安易に私物の端末や承認されていないサービスなどを使いかねない |
| テレワークで管理が難しい状況にある | 上司の目が届きにくいテレワークは、個人用端末や個人的に使用しているシステムなどが使いやすい |
社内ツールやシステムが不便だと思われている
社内のツールやシステムが使いづらいと、「もっと良いシステムがあるからそちらを使おう」と考える従業員が出てくる可能性があります。無料で使いやすいツールを知っている場合、業務効率化のために、良かれと思って未承認のサービスを使ってしまうのです。
従業員個人の範囲にとどまらず、善意から同僚に未承認のサービスをすすめる者が現れ、シャドーITが広がってしまうこともあります。
情報セキュリティ部門への利用申請が煩雑になっている
シャドーITを防ぐためのルールが策定されている企業でも、承認手続きが煩雑だと「面倒だし時間がかかるから」と、安易に私物の端末や承認されていないサービスなどを使ってしまいかねません。せっかくルールがあっても、従業員が重要性を認識していないと簡単にシャドーITは発生してしまいます。
テレワークで管理が難しい状況にある
テレワークが広がっていることも、シャドーITを引き起こす一因となっています。上司の目が届きにくいテレワークは、個人用端末や個人的に使用しているシステムなどが使いやすい状況です。
テレワーク時のシャドーITには、発覚しづらく、常態化しかねないという問題もあります。承認されていない端末やシステムを使うことへの抵抗が薄くなってしまい、大きなトラブルを招きかねません。
シャドーITが発生しやすいツール
シャドーITは、様々な場面で発生します。何気なくとってしまった行動がシャドーITに該当するケースもあるため、どのようなツールを利用するとシャドーITになるのかを従業員に周知しなければなりません。
下記では、シャドーITが発生しやすいツールの代表例を紹介します。
| 項目 | 概要 |
|---|---|
| 個人端末 | 社用パソコンや業務用のスマートフォンなどが支給されていないために、一時的に私物の端末を使用してしまうケースがある |
| プライベートなSNS・チャットツール | プライベートなやりとりのみで使用するなら問題ないが、業務上のやりとりを行う場合はシャドーITに該当する |
| フリーメール | スマートフォンからも利用しやすいため、業務上のやりとりやデータの受け渡しに利用されることがある |
| クラウドストレージ | 無料で利用できるサービスも多く、プライベートで使われることも多いサービスであるため、従業員が業務用データの保存や取引先とのデータのやりとりに使ってしまう可能性がある |
| フリーWi-Fi | 社用パソコンやスマートフォンを利用していても、外出中にフリーWi-Fiに接続して社内のシステムにアクセスしたり、メール確認をしたりしている場合は、シャドーITを使っていることになる |
個人端末
個人端末の業務利用は、非常に起こりやすいシャドーITです。社用パソコンや業務用のスマートフォンなどが支給されていないために、一時的に私物の端末を使用してしまう場合が多いでしょう。私物を使わずに済む環境を整えた上で私物の使用を禁止するか、一定のルールを定めて私物の使用を認める形にするか、いずれにしても企業が積極的に個人端末の利用を防がなければなりません。
プライベートなSNS・チャットツール
従業員同士が、プライベートのSNSやチャットツールでつながりを持つこともあります。完全にプライベートなやりとりのみで使用するなら問題ありませんが、業務上のやりとりを行う場合は、シャドーITに該当します。
SNSの不具合や不正アクセスなどで内容が外部に漏れたり、誤送信が起きたりすれば、機密情報の漏洩にもつながりかねません。日頃、当たり前に使っているツールだからこそ、無意識に起こしてしまいやすいシャドーITです。
フリーメール
フリーメールは、誰でも簡単に取得できるメールアドレスです。スマートフォンからも利用しやすいため、業務上のやりとりやデータの受け渡しに利用されることがあります。
しかし、企業が承認していないフリーメールでのやりとりは、上司が内容を確認できない上に、不正アクセスや誤送信といったセキュリティリスクの観点からも大きな問題があります。
クラウドストレージ
簡単な操作でデータのやりとりや保存ができるクラウドストレージは、手軽に利用できる便利なサービスです。無料で利用できるサービスも多く、プライベートで使われることも多いサービスであるため、従業員が業務用データの保存や取引先とのデータのやりとりに使ってしまう可能性があります。
企業が承認していないクラウドストレージを安易に使用すると、機密情報の漏洩といった重大な問題が起こりかねません。そもそも、社外秘の情報を企業の管理下にないサービスにアップロードすること自体、問題があります。
フリーWi-Fi
カフェや空港などのフリーWi-Fiを業務で使用することも、シャドーITの一種です。社用パソコンや企業から支給されたスマートフォンを利用していても、外出中にフリーWi-Fiに接続して社内のシステムにアクセスしたり、メール確認をしたりするようでは意味がありません。フリーWi-Fiは、同じフリーWi-Fiに接続する者に簡単に通信内容を傍受されてしまう危険があるためです。
また、情報を盗む目的で、正規のフリーWi-Fiサービスに似た名前のアクセスポイントを設定して接続を待ち構えている、悪意のある第三者もいます。
気軽に使ってしまいがちなフリーWi-Fiですが、これも「外部のシステム」であることを従業員一人ひとりが認識しなければなりません。
シャドーITによるリスク
シャドーITには、多くのリスクがあります。一度使って大丈夫だったからと利用を継続していると、ある日、大きな問題に発展する可能性があります。
シャドーITが下記のような事態を引き起こしかねないことを、企業全体で認識しておかなければなりません。
| 項目 | 概要 |
|---|---|
| 誤送信などによる情報漏洩 | 宛先を誤って友人に業務用データを送信してしまうといった情報漏洩が起こる可能性がある |
| ウイルス感染 | ウイルス対策が十分ではない個人の端末を業務に使っていた場合、その端末からの情報漏洩や企業内の他の端末へのウイルス感染が発生する恐れがある |
| 不正アクセス | アカウント情報の不適切な管理によって不正アクセスが発生すると、情報漏洩が起きて企業や取引先に被害が発生する可能性がある |
| 端末の紛失・盗難 | 従業員が私物の端末で業務データを扱っていて、その端末を紛失した場合、企業が管理していないため、リモートロックやデータ消去といった対応ができない恐れがある |
誤送信などによる情報漏洩
従業員がプライベート用の端末や外部サービスを業務で無断利用した場合、メールで宛先を誤って友人に業務用データを送信してしまうといった情報漏洩が起こる可能性があります。
SNSやチャットツールでも、アカウント切り替えミスによって同様の事態が起こりかねません。
ウイルス感染
ウイルス対策が十分ではない個人の端末を業務に使っていた場合、その端末がウイルス感染すると、情報漏洩や企業内の他の端末へのウイルス感染が発生してしまう恐れがあります。
適切なセキュリティ対策の導入ができているかもわからないような個人端末では、ウイルス感染のリスクが高く、その被害も甚大になってしまう可能性があるでしょう。
また、企業から支給された端末を使用していても、ネット上で配布されているフリーソフトをダウンロードした際に、ウイルスに感染してしまうケースもあります。
ウイルスに感染すると、機密情報を抜き取られたり、業務に必要なデータが改ざんされたりすることがあります。また、勝手にメールを送信して取引先に被害が拡大する恐れもあるため、十分な注意が必要です。
不正アクセス
個人で利用しているサービスやシステムでは、アカウント情報を企業が管理することはできません。不適切な管理によって不正アクセスされた結果、情報漏洩が起き、企業や取引先に被害が発生する可能性があります。例えば、個人で利用しているクラウドサービスに業務データを保存していたところ、パスワードの使い回しや2要素認証の未設定が原因でアカウントが乗っ取られ、情報が流出してしまうことなどが想定されるリスクです。
また、そもそもシステム自体のセキュリティが脆弱で、不正アクセスされてしまう恐れもあります。加えて、暗号化されていないフリーWi-Fiに接続して通信内容を傍受される危険性も否定できません。
このように、企業の管理外で利用されるツールや通信環境には不正アクセスのリスクが潜んでおり、万が一被害が発生すると企業全体の信頼を揺るがす結果にもつながる可能性があります。
端末の紛失・盗難
シャドーITでは、企業が管理していない私物端末の紛失・盗難による情報漏洩リスクも無視できません。例えば、従業員が私用スマートフォンで業務データを扱っていてその端末を紛失した場合、企業が管理していない端末のため、リモートロックやデータ消去といった対応ができない恐れがあります。
紛失・盗難に気付くのが遅れたり、端末にロックがかかっていなかったりすれば、第三者による不正なアクセスも起こり得ます。保存されていた情報の中に顧客情報や業務機密が含まれていれば、被害は甚大です。
このような事態に備えるために、業務データは企業が管理する端末やサービスでのみ取り扱うようルールを徹底し、併せて端末の管理の強化も進める必要があります。
シャドーITが原因となったセキュリティリスクが表面化した事例
実際に、シャドーITの利用が原因で重大な情報漏洩やセキュリティリスクが表面化した事例は少なくありません。下記では、自治体や医療機関、民間企業などで起きた具体的な事例を紹介し、シャドーITの危険性を明らかにします。
| 項目 | 概要 |
|---|---|
| 地方自治体でのフリーメールからの個人情報漏洩 | 2018年、ある地方自治体で職員がフリーメールを業務に使用していたところ、フリーメールのアカウントが乗っ取られ、住民約1,800名分の個人情報が漏洩した可能性があると公表 |
| 大学病院でのクラウドサービスからの個人情報漏洩 | ある大学病院で勤務する医師が、業務で使用していたクラウドストレージサービスのアカウントを第三者に乗っ取られ、患者約270人分の個人情報が漏洩 |
| 地方自治体でのUSBメモリの紛失 | ある地方自治体から業務を委託された事業者の職員が、自治体からの許可を得ずに業務に使用していたUSBメモリを紛失し、住民約46万人分の個人情報が一時的に所在不明となる事態が発生 |
| 情報通信会社での外部ストレージを利用した個人情報の持ち出し | 情報通信会社が業務を委託していた業者の元派遣社員が、約596万件分におよぶ顧客の個人情報を、企業が把握していない外部ストレージに無断で保存して持ち出す事案が発生 |
地方自治体でのフリーメールからの個人情報漏洩
2018年、ある地方自治体で、職員がフリーメールを業務に使用していたことが原因で、住民約1,800名分の個人情報が漏洩した可能性のある事案が発生しました。複数の職員が業務に私用のメールアドレスを使用し、免許証情報や口座情報などを含む重要な個人情報のやりとりを行っていたところ、アカウントが乗っ取られてしまったのです。
業務でのフリーメールの利用は自治体の規定で明確に禁止されていたものの、ルールが形骸化しており、実質的な運用が徹底されていなかったことも問題となりました。情報の不正利用などの二次被害は確認されませんでしたが、自治体は該当住民に個別訪問して説明・謝罪を行うなど、多大な人的・時間的コストを負う結果となっています。
大学病院でのクラウドサービスからの個人情報漏洩
2021年、ある大学病院で勤務する医師が、業務で使用していたクラウドストレージサービスのアカウントを第三者に乗っ取られ、患者約270人分の個人情報が漏洩するという事案が発生しました。
この医師は、病院の情報管理規定に違反して、患者の氏名や連絡先などを自らの契約するクラウドサービス上に保存しており、その利用がシャドーITに該当する形となっていました。情報の不正利用や院内システムへの侵入は確認されませんでしたが、患者への個別説明や謝罪対応に追われ、病院としての信頼にも影響を及ぼしています。
地方自治体でのUSBメモリの紛失
2022年、ある地方自治体から業務を委託された事業者の職員が、自治体からの許可を得ずに業務に使用していたUSBメモリを紛失し、住民約46万人分の個人情報が一時的に所在不明となる事態が発生しました。USBメモリには、住民基本台帳の情報や住民税の情報、生活保護・児童手当受給世帯の口座情報など、機密性の高いデータが多数含まれていました。
紛失したUSBメモリはその後発見され、情報流出の痕跡はなかったと報告されています。しかし、情報管理体制の不備や委託先のセキュリティ意識の低さが社会的な問題となったため、自治体は外部の専門家による調査と管理体制の見直しを実施し、業者に対する損害賠償請求も行いました。
情報通信会社での外部ストレージを利用した個人情報の持ち出し
2023年には、情報通信会社の業務委託先に勤務していた元派遣社員が、約596万件分におよぶ顧客の個人情報を、企業が把握していない外部ストレージに無断で保存し、持ち出していた事例が報告されています。漏洩した情報には、氏名、住所、電話番号、メールアドレス、生年月日などが含まれており、その規模と影響の大きさから社会的にも問題となりました。
発覚のきっかけは、業務では通常行われない外部への大量の通信記録が社内ネットワークで検知されたことでした。最終的に、情報の不正利用や二次被害は確認されなかったものの、企業は顧客一人ひとりに個別連絡を行い、情報管理体制の見直しや再発防止策の実施を迫られる事態となっています。
シャドーIT対策が難しい理由
企業に多大な損害を与える可能性のあるシャドーITですが、対策は容易ではありません。シャドーITをなくそうとしても、主に下記の3点が障害になります。
| 項目 | 概要 |
|---|---|
| 規制すること自体が難しい | 「シャドーITであることに気が付いていない」「ルールよりも業務効率化を優先してしまう」といった理由で従業員が悪意なくシャドーITを利用してしまう |
| 通信内容の把握が難しい | HTTPS通信が一般的になりつつあり、従来の監視ツールでは通信内容の詳細な把握が難しくなった |
| クラウドサービス利用の監視・管理が難しい | クラウドサービスは利便性が高いため広く利用されており、取引先が指定したクラウドサービスを自社従業員が未承認で使用しても利用内容などを企業側で把握しづらい |
規制すること自体が難しい
企業側がシャドーITをなくそうとルールを作っても、従業員側が下記のような意識で悪意なく使ってしまうことがあります。
- 悪意なくシャドーITを使ってしまう従業員の意識
-
- シャドーITであることに気が付いていない
- ルールよりも、業務効率化につながるといった理由を優先してしまう
さらに、ルールづくりの段階で、「規制されると仕事がやりづらくなる」という反発が起こることもあるでしょう。
従業員側に協力する意思がなければ、実態調査をしようとしても「規制されると困るから黙っておこう」と、都合の悪い部分を隠されてしまうかもしれません。こうなると、実態を企業側がつかめないままシャドーITが蔓延してしまいます。
通信内容の把握が難しい
通信内容を監視するツールを使ってシャドーITを監視する方法は、従業員の自己申告に頼らない効果的な対策でした。しかし、近年ではセキュリティ意識の高まりから、HTTPS通信という、情報を暗号化して送受信する通信方法が一般的になりつつあり、従来の監視ツールでは通信内容の詳細な把握が難しくなっています。
本来はセキュリティ上のメリットが大きいHTTPS通信ですが、通信内容の監視という側面では難があります。
クラウドサービス利用の監視・管理が難しい
クラウドサービスは利便性が高く、ビジネスシーンでの利用頻度も増えていますが、情報漏洩の有無をチェックする目的などで企業が利用状況を把握するのは困難です。例えば、取引先が指定したクラウドサービスを自社従業員が未承認で使用している場合、やりとりするデータの内容や具体的な設定を企業側で確認することができず、実態をつかめません。
クラウドサービスの監視に特化した「CASB(キャスビー)」というサービスもありますが、導入にはコストと手間がかかります。
また、クラウドサービスには代替案の提示が難しいという難点もあります。種類も多く、セキュアなサービスの選定や使い方のルール策定などには、時間と手間が必要です。
シャドーIT対策の方法
シャドーIT対策は、1つの対策だけを実行するのではなく、複数の対策を並行して進めるのが効果的です。下記で挙げるような対策を組み合わせ、従業員の意識を高めながらシャドーITを起こさせない環境づくりをしていきましょう。
| 項目 | 概要 |
|---|---|
| シャドーITに関する従業員からの情報収集 | 従業員が業務で使用している端末やサービスを確認し、許可していないものが含まれていた場合は、なぜ利用しているのかを聴取する |
| シャドーITのリスクに関する研修 | 従業員に対してシャドーITのリスクと、具体的にどのような行為がシャドーITに該当するのかを伝える研修を行う |
| 業務用端末や代替ツールの支給・導入 | 企業側が、その代替となる高い利便性とセキュリティ対策機能を持つ業務用端末やサービス・ソフトなどを提供し、シャドーITの必要性をなくす |
| BYODの導入 | 企業側からの業務用端末の支給が難しく、個人端末の利用で業務効率が上がる場合は、使用許可を出すことも検討する |
| ツールの利用申請対応の柔軟化・迅速化 | 時間や場所を選ばずに申請・承認できる方法を導入し、最終的な承認までにかかる時間を改善する |
| CASBの導入 | CASBの「機密情報の持ち出しを監視する」「マルウェアなどが仕込まれていないか監視・防御する」「危険性の高いクラウドサービスへのアクセスを禁止する」といった機能の利用を検討する |
| MDMツールの導入 | モバイル端末の利用状況の監視やフリーWi-Fiなどへのアクセス制限といった機能を備えるMDMツールの利用を検討する |
シャドーITに関する従業員からの情報収集
どのような対策も、まずは状況を正確に把握してから行わなければなりません。従業員が業務で使用している端末やサービスを確認し、許可していないものが含まれていた場合は、なぜ利用しているのかを聴取します。
ただし、許可を得ずに利用したことを非難し、一律に禁止するという対応ではなく、許可されていない端末やサービスを利用するに至った経緯をヒアリングすることが大切です。経緯を理解し、問題を解決するための代替案を検討していく必要があるためです。
シャドーITのリスクに関する研修
シャドーITは、悪意なく行われるケースが多いといえます。そのため、従業員に対してシャドーITのリスクと、具体的にどのような行為がシャドーITに該当するのかを伝える研修を行うことで、一定の効果が出る可能性があります。
業務用端末や代替ツールの支給・導入
すでに発生しているシャドーITに対する根本的な解決策となるのは、企業側が、その代替となる高い利便性とセキュリティ対策機能を持つ業務用端末やサービス・ソフトなどを提供し、シャドーITの必要性をなくすことです。
シャドーITが広がるのは、企業が認める端末やサービスに不足があるからです。ファイル共有サービスやチャットサービス・Web会議システムなども、それぞれの利用シーンに応じて、自社の状況に合った使い勝手の良いツールを導入すれば、これまで使われていたシャドーITの利用が再発することはありません。
BYODの導入
BYODは、企業が個人所有の端末の利用を認めることですが、企業側からの業務用端末の支給が難しく、個人端末の利用で業務効率が上がる場合は、使用許可を出すことも検討しましょう。
ただし、利用できる端末の種類や環境・場面などについて、適切なルールを定める必要があります。
ツールの利用申請対応の柔軟化・迅速化
「ツールの承認申請が面倒で申請をしない従業員がいる」という場合は、申請・承認のフローを見直さなければなりません。業務の状況によっては一刻も早くツールを使いたいという場合もあるので、時間や場所を選ばずに申請・承認できる方法を導入し、最終的な承認までにかかる時間を改善すれば、申請へのハードルを下げることが可能です。また、許可できない場合は、代替案や折衷案を出すといった工夫をしてください。
CASBの導入
管理しにくいクラウドサービスのシャドーITを防ぐには、CASBの導入が役立ちます。CASBとはCloud Access Security Brokerの略で、従業員のクラウドサービスの利用状況を可視化するために提供されているサービスです。
「機密情報の持ち出しを監視する」「マルウェアなどが仕込まれていないか監視・防御する」「危険性の高いクラウドサービスへのアクセスを禁止する」といった機能を備えているため、シャドーIT対策に効果を発揮します。
- 併せて読みたい
MDMツールの導入
「MDM(Mobile Device Management)ツール」とは、モバイル端末の利用状況の監視やフリーWi-Fiなどへのアクセスを制限するツールです。
社用端末にMDMツールを入れておくことで、許可していない危険なサービスの利用を監視・制限できます。
- 併せて読みたい
多面的な対策でシャドーITを防ごう
シャドーITは、1つの対策だけで完全に防げるものではありません。従業員一人ひとりの意識を高めるための研修の実施や、代替ツール・社用端末の提供、監視ツール・制御ツールの導入といった多面的な対策で、できる限りシャドーITが起こらない環境を作りましょう。
インターコムが提供する「MaLion」シリーズは、ネットワーク監視機能を備え、個人利用端末のような未登録パソコンが社内ネットワークに接続した際に即座に検出することが可能です。アクセス遮断をすることもできます。また、特定のWebサイトのアクセスを制御できるので、シャドーIT対策に役立ちます。
従業員が個人端末を業務で利用していたり、無料のWebサービスを利用していたりすることが判明した場合には、ぜひ「MaLion」シリーズの導入をご検討ください。
