シャドーITはなぜ発生する?
情報システム部門はどう対策すればよいのか
多くの企業でシャドーITの利用が増えています。社員が慣れたデバイスやサービスを使ってしまったり、テレワークで私物のデバイスを仕事に使ったりしているためです。
しかし、シャドーITの利用にはセキュリティ上大きな問題があります。情報システム部門としては情報漏えいや社内ネットワークの安全のためにも、シャドーITは減らし、業務用の端末はきちんと管理したいところです。
ここでは、シャドーITとは何か、その原因と対策について説明します。
シャドーITとは
「シャドーIT(Shadow IT)」とは、企業側(経営陣や情報システム部門)が把握・承認していないデバイスやサービスを利用して社員が業務を行うことです。シャドーITの利用は公認されてはいませんが、多くの企業で行われていると言ってよいでしょう。
使用されているデバイスやサービスには、次のようなものがあります。
- 私物のハードウェア
PC、スマートフォン、タブレット、記憶媒体など
- 私物のアプリケーション
PCやスマートフォンにインストールされているアプリケーション
- 私的に契約しているクラウドサービス
オンラインストレージ、無料メールサービスなど
個人ではなく、部署ごとに独自で導入しているデバイスやサービスもシャドーITと言います。多くの場合、企業支給のIT環境では足りないところを、悪意なく私物で補っている状態です。
逆に、企業側が正式に支給・導入しているデバイスやサービスは「サンクションIT(Sanctioned IT)」と呼んでいます。sanctionとは、正式に認可されたという意味です。
シャドーITとBYODとの違い
BYOD(Bring Your Own Device)も、シャドーITと同様に社員個人のデバイスを業務に利用することを指します。基本的にはデバイスのことですが、ソフトウェアやシステムも含めてBYOT(Bring Your Own Technology)と言う場合もあります。
シャドーITとの違いは、会社側が承認したうえで利用していることです。BYODは情報システム部門などにより登録され、一定のルールや管理のうえで利用されています。
ただし、BYODでも次のような点が問題にはなっています。
- セキュリティソフトウェアの導入や設定がきちんとされているか確認しにくい
- 端末に保存されているプライバシーが企業側に漏えいするリスクがある
- デバイスの購入代金や利用料金、セキュリティソフトの料金を企業と個人どちらが負担するか、はっきりしないことがある
シャドーITはなぜ発生するのか
シャドーITの原因とそのリスクを説明します。
シャドーITはなぜ発生するのか
企業支給の端末よりもシャドーITが使われているのには、次のような理由があります。
- 個人用デバイス、サービスが進化したこと
スマートフォンやタブレットなど、個人用のデバイスやシステムが高機能化・高性能化し、業務にも使える水準になってきています。
一方、業務で利用しているシステムは同じものを使い続けていることが多く、私物に比べて古く、使いにくい場合もあるでしょう。そのため、社員は使いやすいものを使ってしまう傾向があるのです。
また、業務用ではなく私物のスマートフォンを連絡用にしている企業も多くあるでしょう。
- リモートワーク・テレワーク・在宅ワークが増えたこと
コロナ禍でオフィス以外での勤務が増えています。社員が自宅で仕事をするときには、業務用の端末を持ち帰らずに私物のPCやタブレットを使っている企業も多いです。
- 企業側がどのようにシャドーITを管理すべきか決めていない
シャドーITに関するルールを決めている企業は多くありません。また、シャドーITがどれほど存在しているか、現状を把握している企業も少ないようです。そのため、社員側もシャドーITは規制されるものではないと考えて利用し続けることになります。
シャドーITはどういうところで使われているのか
次のような場面では、シャドーITが発生しやすくなります。
- テレワーク、在宅勤務
私物のPCやタブレット、個人で契約しているインターネット回線などが利用されやすい。
- 業務の持ち帰り、営業など出先での作業
公衆Wi-Fiや私物のUSBメモリなどが利用されやすい。
- 同僚や取引先とのメールやメッセージ
私物のスマートフォンやPC、そこにインストールされたメールアプリやメッセージアプリなどが利用されやすい。
- 個人のスマートフォンの業務利用
業務連絡にも個人のスマートフォンを使う企業が多い。
- クラウドサービスの利用
データ処理や持ち帰り仕事にオンラインストレージを使ったり、連絡にメールサービスを使ったりしやすい。
シャドーITにはセキュリティに大きなリスクがある
なぜシャドーITが問題になるのでしょうか。そこには次のような理由があります。
- 個人用のシステムはセキュリティ対策が薄い
一般的に、個人用のPCは企業支給の端末よりもセキュリティ対策が弱いものです。さらに、セキュリティパッチの更新も行われていないことがあります。そこで業務用データを扱うのには、大きなリスクがあるでしょう。
セキュリティパッチについて、詳しくは「セキュリティパッチとは?なぜ重要なのか、どう管理すればいいのか」を参考にしてください。
- 出先でのデバイス利用はデータの盗み見、盗聴、改ざんが起こり得る
出張先や飲食店、コワーキングスペースなどで作業を行う人もいます。しかし、公共の場では盗み見、盗聴などによるデータの漏えいや盗まれたパスワードでシステムにログインされることによる改ざんが起こりやすいものです。これは情報資産に関するリスクと言えます。
情報資産について、詳しくは「情報資産とはどこまで含む?適切な管理とセキュリティ対策とは」を参考にしてください。
- セキュリティソフトウェアをきちんと運用・更新できているか分からない
情報システム部門の管理下にない端末では、どのようなセキュリティソフトウェアを利用しているか、データベースがきちんと更新されているか、などが分かりません。そのため、業務に関するデータを扱うのにはリスクがあります。
- テレワークでは情報システム部門が実態を把握・管理できない
テレワークではオフィスで作業をするときと違い、情報システム部門が作業環境を見ることができません。そのため、どのようなリスクがあるか知ることができないのです。
- 個人のデバイスでは操作ミスによる情報漏えいが起こりやすい
私物の端末ではSNSクライアントアプリやメッセージアプリなど、私用のアプリケーションも入っています。そのため、ちょっとした操作ミスで情報漏えいが起きやすいのです。
シャドーITを防ぐための対策
シャドーITはできるだけ防ぐのが理想です。しかし、社員はシャドーITの方が便利、またはシャドーITが必要だと感じているので使っています。
そこで、できるだけシャドーITを使わなくていいように、あるいは使うならできるだけ安全に使えるように、企業側で対策を行わなければなりません。
シャドーITの禁止と代替案の提示
できれば、シャドーITを禁止して業務用デバイスを支給し、支給したデバイス以外からの社内ネットワークへのアクセスを禁止すると万全です。ただしこの方法はコストがかかるため、できない企業もあるでしょう。
従業員教育とルールの整備
シャドーITのリスクやセキュリティについて、社員教育を行います。セキュリティに関するリテラシーを高めることで、社員にシャドーITのリスクを認識させるためです。さらに、情報システム部門でシャドーITやテレワークでのデバイス利用について、ルールやガイドラインを制定します。
社員の要望を把握
シャドーITを使うのは企業支給の端末に不満があるため、という場合が多くあります。そこで、定期的に社内のIT環境についてヒアリングや情報共有を行いましょう。なぜシャドーITを使うのかを聞き出し、対策へつなげることが可能です。また、情報システム部門がITに関しての相談を受け付けることで、不満や疑問を早めに解消します。
IT資産管理ツールの導入
シャドーITではなくBYODとして、私物を管理下に置くという方法もあります。業務用端末同様にセキュリティを強化すると同時に、シャドーITの実態を情報システム部門で把握することが可能です。
IT資産管理システムを導入することで、そのデバイスをBYODとして登録します。
IT資産管理について、詳しくは「IT資産管理とは?IT資産の適切な管理はセキュリティ強化にもつながる」を参考にしてください。
ゼロトラストセキュリティの構築
シャドーITの有無にかかわらず、ゼロトラストセキュリティモデルに基づいたセキュリティ対策を実行しましょう。シャドーITや社内ネットワークであるかないかにかかわらず毎回認証を行う、アクセスを可視化してログを保存するなどの対策が行われます。これは、全体のセキュリティ強化にもつながります。
ゼロトラストセキュリティの実現には、TaniumのPlatformのような統合的なエンドポイントセキュリティの導入がおすすめです。
まとめ セキュリティのためにはシャドーITを見逃さずに管理するべき
ITシステムの普及やテレワークといったビジネス環境の変化により、私物の業務利用は避けられなくなってきています。
しかし、シャドーITをそのままにしておいては、セキュリティ上大きなリスクにつながります。こうしたリスクをなくすためには、全ての端末を可視化し、管理されていない端末をなくすことが必要です。本記事でもご紹介したように、IT資産管理ツールの導入は有効な対策となるでしょう。
タニウムでは、端末を可視化しサイバーハイジーンを実現したり、EDR(Endpoint Detection and Response)によってエンドポイントセキュリティを実現したりするセキュリティツールを幅広く提供しています。これらを活用することで、シャドーITの管理とゼロトラストセキュリティ時代にあった対策を実現することが可能になります。
