シャドーITとは？　発生する原因やリスク・対策についてわかりやすく解説

BYODとの違い

シャドーITと似たような言葉として、「BYOD（Bring Your Own Device）」というものがあります。BYODも、シャドーITと同じく個人の端末を業務に使用することです。しかし、シャドーITが企業に無断で個人の端末を利用するのに対し、BYODは企業の許可の下で個人の端末を使用しますので、企業の許可という点で大きな違いがあります。
企業の許可を得た上で、テレワーク時に私物のパソコンを使用したり、個人のスマートフォンを業務に使ったりする場合はBYODに該当します。

あわせて読みたい

• BYODのセキュリティ対策とは？　運用ルールや役立つツールを解説

社内ツールやシステムが不便だと思われている

社内のツールやシステムが使いづらいと、「もっと良いシステムがあるからそちらを使おう」と考える従業員が出てくる可能性があります。無料で使いやすいツールを知っている場合、業務効率化のために、良かれと思って未承認のサービスを使ってしまうのです。
従業員個人の範囲にとどまらず、善意から同僚に未承認のサービスをすすめる者が現れ、シャドーITが広がってしまうこともあります。

情報セキュリティ部門への利用申請が煩雑になっている

シャドーITを防ぐためのルールが策定されている企業でも、承認手続きが煩雑だと「面倒だし時間がかかるから」と、気軽な気持ちで私物の端末や承認されていないサービスなどを使ってしまいかねません。せっかくルールがあっても、従業員が重要性を認識していないと簡単にシャドーITは発生してしまいます。

テレワークで管理が難しい状況にある

テレワークが広がっていることも、シャドーITを引き起こす一因となっています。上司の目が届きにくいテレワークは、気軽に個人用端末や個人的に使用しているシステムなどが使いやすい状況です。
テレワーク時のシャドーITには、発覚しづらく、常態化しかねないという問題もあります。承認されていない端末やシステムを使うことへの抵抗が薄くなってしまい、大きなトラブルを招きかねません。

個人端末の業務利用

個人端末の業務利用は、非常に起こりやすいシャドーITです。社用パソコンや業務用のスマートフォンなどが支給されていないために、一時的に私物の端末を使用してしまう場合が多いでしょう。私物を使わずに済む環境を整えた上で私物の使用を禁止するか、一定のルールを定めて私物の使用を認める形にするか、いずれにしても企業が積極的に個人端末の利用を防がなければなりません。

プライベートなSNS・チャットツールでの業務上のやりとり

従業員同士が、プライベートのSNSやチャットツールでつながりを持つこともあります。完全にプライベートなやりとりのみで使用するなら問題ありませんが、業務上のやりとりを行う場合は、シャドーITに該当します。
SNSの不具合や不正アクセスなどで内容が外部に漏れたり、誤送信が起きたりすれば、機密情報の漏洩にもつながりかねません。日頃、当たり前に使っているツールだからこそ、無意識に起こしてしまいやすいシャドーITです。

フリーメールでの業務上のやりとり

フリーメールは、誰でも簡単に取得できるメールアドレスです。スマートフォンからも利用しやすいため、業務上のやりとりやデータの受け渡しに利用されることがあります。
しかし、企業が承認していないフリーメールでのやりとりは、上司が内容を確認できない上に、不正アクセスや誤送信といったセキュリティリスクの観点からも大きな問題があります。

クラウドストレージへの業務用データの保存や共有

気軽にデータのやりとりや保存ができるクラウドストレージは、手軽に利用できる便利なサービスです。無料で利用できるサービスも多く、プライベートで使われることも多いサービスであるため、従業員が業務用データの保存や取引先とのデータのやりとりに使ってしまう可能性があります。

企業が承認していないクラウドストレージを安易に使用すると、機密情報の漏洩といった重大な問題が起こりかねません。そもそも、社外秘の情報を企業の管理下にないサービスにアップロードすること自体、問題があります。

フリーWi-Fiでの業務用データの送受信

カフェや空港などのフリーWi-Fiも、シャドーITの一種です。社用パソコンや会社支給のスマートフォンを利用していても、外出中にフリーWi-Fiに接続して社内のシステムにアクセスしたり、メール確認をしたりするようでは意味がありません。フリーWi-Fiは、同じフリーWi-Fiに接続する者に簡単に通信内容を傍受されてしまう危険があるためです。

また、情報を盗む目的で、正規のフリーWi-Fiサービスに似た名前のアクセスポイントを設定して接続を待ち構えている、悪意のある第三者もいます。
気軽に使ってしまいがちなフリーWi-Fiですが、これも「外部のシステム」であることを従業員一人ひとりが認識しなければなりません。

誤送信などによる情報漏洩

従業員がプライベート用の端末や外部サービスを業務で無断利用した場合、メールで宛先を誤って友人に業務用データを送信してしまうといった情報漏洩が起こる可能性があります。
SNSやチャットツールでも、アカウント切り替えミスによって同様の事態が起こりかねません。

ウイルス感染

ウイルス対策が十分ではない個人の端末を業務に使っていた場合、その端末がウイルス感染すると、情報漏洩や企業内のほかの端末へさらにウイルス感染させてしまうおそれがあります。
適切なセキュリティ対策の導入ができているかもわからないような個人端末では、ウイルス感染のリスクが高く、その被害も甚大になってしまう可能性があるでしょう。

また、企業から支給された端末を使用していても、ネット上で配布されているフリーソフトをダウンロードした際に、ウイルスに感染してしまうケースもあります。
ウイルスに感染すると、機密情報を抜き取られたり、業務に必要なデータが改ざんされたりすることがあります。また、勝手にメールを送信して取引先に被害が拡大するおそれもあるため、十分な注意が必要です。

不正アクセス

個人で利用しているサービスやシステムでは、アカウント情報を会社が管理することはできません。不適切な管理によって不正アクセスされた結果、情報漏洩が起き、企業や取引先に被害が発生する可能性があります。
また、そもそもシステム自体のセキュリティが脆弱で、不正アクセスされてしまうおそれもあります。

規制すること自体が難しい

企業側がシャドーITをなくそうとルールを作っても、従業員側が下記のような意識で悪意なく使ってしまうことがあります。

悪意なくシャドーITを使ってしまう従業員の意識

• シャドーITであることに気が付いていない
• ルールよりも、業務効率化につながるといった理由を優先してしまう

さらに、ルールづくりの段階で、「規制されると仕事がやりづらくなる」という反発が起こることもあるでしょう。
従業員側に協力する意思がなければ、実態調査をしようとしても「規制されると困るから黙っておこう」と、都合の悪い部分を隠されてしまうかもしれません。こうなると、実態を企業側がつかめないままシャドーITが蔓延してしまいます。

通信内容の把握が難しい

通信内容を監視するツールを使ってシャドーITを監視する方法は、従業員の自己申告に頼らない効果的な対策でした。しかし、近年ではセキュリティ意識の高まりから、HTTPS通信という、情報を暗号化して送受信する通信方法が一般的になりつつあり、従来の監視ツールでは通信内容の詳細な把握が難しくなっています。
本来はセキュリティ上のメリットが大きいHTTPS通信ですが、通信内容の監視という側面では難があります。

クラウドサービス利用の監視・管理が難しい

クラウドサービスは利便性が高く、ビジネスシーンでの利用頻度も増えていますが、利用状況を把握するのは簡単ではありません。例えば、取引先が指定したクラウドサービスを自社従業員が未承認で使用している場合、やりとりするデータの内容や具体的な設定を企業側で確認することができず、実態をつかめません。
クラウドサービスの監視に特化した「CASB（キャスビー）」というサービスもありますが、導入にはコストと手間がかかります。

また、クラウドサービスには代替案の提示が難しいという難点もあります。種類も多く、セキュアなサービスの選定や使い方のルール策定などには、時間と手間が必要です。

シャドーITに関する従業員からの情報収集

どのような対策も、まずは状況を正確に把握してから行わなければなりません。従業員が業務で使用している端末やサービスを確認し、許可していないものが含まれていた場合は、なぜ利用しているのかを確認します。
ただし、許可を得ずに利用したことを非難し、一律に禁止するという対応ではなく、許可されていない端末やサービスを利用するに至った経緯をヒアリングすることが大切です。経緯を理解し、問題を解決するための代替案を検討していく必要があるためです。

シャドーITのリスクに関する研修

シャドーITは、悪意なく行われるケースが多いといえます。そのため、従業員に対してシャドーITのリスクと、具体的にどのような行為がシャドーITに該当するのかを伝える研修を行うことで、一定の効果が出る可能性があります。

業務用端末や代替ツールの支給・導入

すでに発生しているシャドーITに対する根本的な解決策となるのは、企業側が、その代替となる高い利便性とセキュリティ対策機能を持つ業務用端末やサービス・ソフトなどを提供し、シャドーITの必要性をなくすことです。
シャドーITが広がるのは、企業が認める端末やサービスに不足があるからです。ファイル共有サービスやチャットサービス・Web会議システムなども、それぞれの利用シーンに応じて、自社の状況に合った使い勝手の良いツールを導入すれば、これまで使われていたシャドーITの利用が再発することはありません。

BYODの導入

BYODは、企業が個人所有の端末の利用を認めることですが、企業側からの業務用端末の支給が難しく、個人端末の利用で業務効率が上がる場合は、使用許可を出すことも検討しましょう。
ただし、利用できる端末の種類や環境・場面などについて、適切なルールを定める必要があります。

ツールの利用申請対応の柔軟化・迅速化

「ツールの承認申請が面倒で申請をしない従業員がいる」という場合は、申請・承認のフローを見直さなければなりません。業務の状況によっては一刻も早くツールを使いたいという場合もあるので、時間や場所を選ばずに申請・承認できる方法を導入し、最終的な承認までにかかる時間を改善すれば、申請へのハードルを下げることが可能です。また、許可できない場合は、代替案や折衷案を出すといった工夫をしてください。

CASBの導入

管理しにくいクラウドサービスのシャドーITを防ぐには、CASBの導入が役立ちます。CASBとはCloud Access Security Brokerの略で、従業員のクラウドサービスの利用状況を可視化するために提供されているサービスです。
「機密情報の持ち出しを監視する」「マルウェアなどが仕込まれていないか監視・防御する」「危険性の高いクラウドサービスへのアクセスを禁止する」といった機能を備えているため、シャドーIT対策に効果を発揮します。

MDMツールの導入

「MDM（Mobile Device Management）ツール」とは、モバイル端末の利用状況の監視やフリーWi-Fiなどへのアクセスを制限するツールです。
社用端末にMDMツールを入れておくことで、許可していない危険なサービスの利用を監視・制限できます。

あわせて読みたい

• モバイルデバイス管理とは？　管理のメリットと導入のポイントを解説