シャドーITとは? リスクや原因、対策を紹介

  • シャドーIT
2023.07.14
シャドーITとは? リスクや原因、対策を紹介

手軽に導入できるクラウドサービスやテレワークの普及などにともなって、多くの企業でシャドーITが増加しています。シャドーITとは、情報システム部門が管理・把握できていないITリソースのことです。本記事では、シャドーITが存在することによるリスクや、発生する原因、回避策などをわかりやすく解説します。

シャドーITとは

「シャドーIT」とは、情報システム部門(情シス)の承認なしに従業員や各業務部門が使用しているソフトウェア、デバイス、ネットワーク、アプリケーション、クラウドサービスなどのことです。例えば従業員たちによる以下のような行動が、シャドーITに該当します。

・企業側の許可を得ることなく、自分で独自にインストールしたソフトウェアを使って業務を行っている
・プライベート用のスマートフォンやSNSアカウントで同僚と業務の連絡を取っている
・私物のUSBメモリに業務のデータを保存して持ち歩いている

情シスによって管理されていないシャドーITは、企業にとってサイバー攻撃やデータ漏えいが発生するリスクを高め、重大なコンプライアンス違反へと発展する可能性を秘めています。

クラウドサービスが普及した影響もあり、現在、多くの企業でシャドーITが増加する傾向にあります。例えば、クラウドサービスの一形態であるSaaS(Software as a Service)を利用すれば、情シスの支援を受けることなく、従業員や各業務部門の判断で便利なツールを簡単に導入することが可能です。さらにテレワークの普及によりオフィス外で業務にあたる従業員が増えたことも、シャドーITが増えた一因となっています。

株式会社ソフトクリエイトが2022年12月から2023年1月にかけて実施したアンケート調査「情報システムの現状とIT活用実態アンケート2023」によれば、企業・団体などの情シスによる組織内のクラウド利用の管理・把握状況は、「情シスが一元的に管理・把握できている」が21.9%、「おおむね情シスが管理・把握している」が66.1%、「情シスが管理・把握できていないクラウド利用(シャドーIT)がある」が11.0%という結果でした。

参照元:株式会社ソフトクリエイト「数字で見る“情シス”の実像」p.8
https://go.softcreate.co.jp/enterprise-it-management-survey-report-2023-2.html

情シスがシャドーITの存在自体に気づけていないケースもあると仮定すれば、実際にはこの数字以上にシャドーITが潜んでいる可能性があります。シャドーITをすべて追跡し、管理できるようにすることは容易ではありません。

サンクションIT

サンクションIT

シャドーITの対義語として「サンクションIT」があります。サンクションITとは、企業として正式に導入や使用を許可したIT機器やアプリケーションなどのことです。

サンクションITは情シスの管理下に置かれているため、従業員が自分自身で導入・運用をしているシャドーITに比べてエンドユーザー側の自由度は低い場合が多く、ときには機能や性能、使いやすさなどが現場のニーズを満たしていないこともあります。その反面、情シスによって制御されたサンクションITは、組織のセキュリティポリシーを適切に満たした状態で運用できます。

BYOD

シャドーITとよく混同される用語に「BYOD」があります。BYODとは「Bring Your Own Device」の略称で、従業員が私物デバイスを業務に使用することです。

BYODを企業が許可することで、従業員は自分の好みのデバイスや、普段から使い慣れているデバイスを利用できるようになるため、モチベーションや業務効率の向上が期待できます。企業側としても、各従業員にかかる機器の購入費や維持費用を下げられるため、メリットがあります。

BYODの許可と同時に、業務で利用するために必要な保護措置を情シスが行うことにより、セキュリティ面のリスクを減らすこともできます。ただし、BYODで使われるデバイスはあくまでも私物です。企業が業務用に用意したデバイスと同じレベルで管理することは難しいといわざるを得ません。

コロナ禍によって急激にテレワークが普及した影響もあり、BYODを導入している企業は以前よりも増えています。例えばキーマンズネットが2020年11月から12月に実施したアンケート調査では、「個人端末の業務利用が全社的に推奨されている」が8.1%、「一部の部署で個人端末の業務利用が認められている」が13.0%という回答結果でした。

他方で、「推奨されていないが、個人端末の利用を前提に業務フローが構築されている」は12.5%、「認められていないが、現場レベルで個人端末の業務利用は起きている」は19.6%です。つまり、21.1%の企業がBYODの利用を認めている一方で、32.1%の企業はなし崩し的にシャドーIT化した私物デバイスを業務で利用していることになります。

参照元:キーマンズネット「BYODの利用実態」
https://kn.itmedia.co.jp/kn/articles/2012/17/news005.html

シャドーITによるリスク

シャドーITによるリスク

多くの従業員は悪意を持ってシャドーITの状況を作っているわけではありません。しかしシャドーITの存在は、組織に重大なセキュリティリスクを与え、結果として大きな損失をもたらす可能性があります。

従業員の利用しているITリソースの存在を情シスが認識していなければ、適切な使用方法をサポートしたり、安全性を保証したりできません。より具体的なシャドーITのリスクとしては、以下のことが挙げられます。

情報漏洩

シャドーITは情報漏えいリスクの増大につながります。例えば、無料で利用できるソフトウェアやクラウドサービス、個人用のアプリケーションなどは、ビジネスに必要とされるセキュリティ要件を満たしてない可能性が高いです。

情シスの管理外のツールを従業員が無断で利用することで、サービス事業者のサーバーがハッキングされたり、マルウェアに感染したりするなどして、内部情報が漏えいするリスクがあります。場合によっては、従業員が無断で利用しているツール自体にマルウェアが仕込まれている可能性も否定できません。

シャドーITの存在を許すことは、退職者からの情報漏えいリスクも高めます。例えば、個人用のクラウドストレージに業務データを保存していた従業員が退職した場合、クラウドストレージ内の業務データが削除されるかどうかは、退職者のリテラシーを頼りにするしかありません。

アカウントの乗っ取り

アカウントの乗っ取り被害も懸念されます。シャドーITとして利用されているクラウドサービスのアカウントが攻撃者に乗っ取られれば、情報漏えいや業務を継続できない状況に追い込まれることも考えられます。

チャットツールやメールサービスのアカウントが乗っ取られた場合、攻撃者はアドレス帳に記録された関係者のリストも参照できます。攻撃者が当該アカウントの従業員になりすまして、マルウェアが仕込まれたメールを送信するなどすれば、自社だけでなく関係企業にまで被害が広がるかもしれません。

個人のメールからの誤送信

個人のメールアカウントやチャットアカウントからの誤送信も警戒すべきリスクです。プライベート用のメールアカウントやチャットアカウントには、ビジネスの関係者だけでなく、従業員の個人的な知り合いなども登録されています。

したがって、従業員が業務で個人アカウントを利用すれば、業務上の情報を個人的知り合いなどに誤送信して、情報漏えいしてしまうリスクが高まります。家庭内で共有しているパソコンでテレワーク業務を行った結果、家族に社外秘のデータを見られてしまうことなども、情報漏えいに該当します。

データの損失

シャドーITの存在によって、データが損失される可能性もあります。企業ではポリシーにしたがってデータをバックアップしていることが一般的ですが、個人が許可なく使用しているシャドーITにバックアップポリシーを適用することはできません。シャドーITとして使用しているデバイスを紛失したり、故障したりした場合、個人的にバックアップしていない限りは、デバイス内のデータは永遠に失われてしまう恐れがあります。

データが損失するリスクは、シャドーITを利用していた従業員が退職した場合も同様です。退職者が業務上必要なデータをシャドーIT内で保存しており、データが後任者に引き継がれなかった場合、退職後に混乱が起きてしまう可能性があります。

シャドーITが起こりうる原因

さまざまなリスクがあるにもかかわらず、シャドーITは発生してしまいます。背景には従業員がシャドーITのリスクを十分に把握していないこともありますが、そのほかにも数多くの原因が考えられます。

安価なサービスがたくさんある

シャドーITが増えている理由のひとつは、インターネット上に安価で便利なサービスが数多く存在することです。仮にツールが高額であれば、私費を投じてまで業務に利用しようと考える人は少ないと考えられます。

しかし、無料または安価であれば、経済的負担を気にする必要がないため、気軽に導入してしまいます。気軽に導入できることから、情シスの承認を正式に得る前に、安易に業務に利用してしまうことも考えられます。ただし、無料または安価なツールは一般に、セキュリティ面で十分な安全性が確保されていません。

サービスを使用することで効率化できる

従業員側の「業務を効率化したい」という気持ちもシャドーITが生じる一因として挙げられます。いくら慎重に製品選びをしたとしても、従業員全員にとって使いやすいIT機器やサービスを導入するのは容易ではありません。

例えば、MacユーザーにとってはWindows OSのパソコンは使いにくいかもしれませんし、初心者でも使いやすいツールやアプリケーションを導入した結果、ITリテラシーが高い従業員にとっては機能不足・性能不足になってしまっているかもしれません。

企業側から提供される機器やサービスに満足できない場合、従業員はシャドーITを導入してまでも業務の効率化を図ろうとします。シャドーITを導入した従業員を通して有用性が伝わることで、周辺の従業員にまでシャドーITの使用が広がってしまうことも懸念されます。

IT管理部門による管理が難しくなった

テレワークが普及した結果、従業員の使用するIT機器の管理が難しくなったこともシャドーITが増えた原因として挙げられます。テレワークでは、従業員が個人用のデバイスを無断で業務に利用していても、企業が把握することは困難です。

また、情シスによるテレワーク環境の整備が追いつかず、チャットツールやグループウェアなどのクラウドサービスを現場レベルで導入せざるを得なかった企業もあるかもしれません。SaaSであれば、高いITスキルがなくても簡単に導入できる場合が多く、導入時に情シスのサポートを受ける必要性は高くはありません。その結果、シャドーITとしてSaaSが使用されるケースが多くなったと考えられます。

シャドーITを回避するための対策

シャドーITを回避するための対策

シャドーITは、セキュリティリスクを増大させる原因になります。次に、シャドーITの発生を回避するための対策について解説します。

業務環境を充実させる

シャドーITの発生原因のひとつとして、既存の業務環境への不満が考えられます。業務環境を充実させて、従業員に不便さや不満を持たれないようにすることで、シャドーITを生じにくくさせることができます。

業務環境を充実させるためには、まず既存のITリソースを棚卸し、それらが本当に現場の従業員のニーズを満たしているのかを確認します。業務用の機器やツールを選定する際に、情シスと現場とがしっかりと意見を交換し、認識が一致しているかも見直しましょう。

ガイドラインを設ける

従業員が利用するIT機器やクラウドサービスについてのガイドラインを設定することも重要です。業務上の必要からやむを得ず個人用のIT機器やクラウドサービスを利用しなければならない場合には、「私物のデバイスや個人的に契約しているクラウドサービスなどを利用する際には申請をする」といったことを義務化する必要があります。その際には、BYODに関する管理・運用についても検討しておくことをおすすめします。

シャドーITについて教育する

シャドーITにはリスクがともなうことを従業員に教育することも重要です。従業員の中には、業務効率化などのために、よかれと思ってシャドーITを利用していたり、そもそも「シャドーITとは何か・どういうことがシャドーITに該当するのか」を理解していなかったりする人もいます。シャドーITの基本知識や危険性、過去の事件などを教育し、従業員のITリテラシーを高めることも欠かせません。

アクセス監視を行う

上記のような対策を行ったとしても、シャドーITの発生を完全に防げるとは限りません。そこで導入を検討したいのが、従業員がどのようなサービスにアクセスしているのかを監視できるソリューションです。

アクセス監視は、各従業員がどのようなIT機器を使用しているのかまでは把握できませんが、クラウドサービスなどの利用状況は把握できます。シャドーITの利用状況がわかれば、該当する従業員に対して利用申請をするように警告したり、企業として正式に導入を検討したりするなどの対策を立てやすくなります。

まとめ

情シスが管理・把握できていないシャドーITは、セキュリティ面での大きなリスクがあります。自社内にシャドーITがどれだけ存在するのか調査・監視したい場合は、Y2Sによるアウトソーシングサービスや、「OpsRamp」などのSaaS型ソリューションを利用するのがおすすめです。これらのサービスを利用することで、シャドーITも含めた自社のITリソースの状況を効率的に把握できます。