シャドーITとは？セキュリティリスクと企業がとるべき対策

今日、私たちは仕事やプライベートでも、パソコンやタブレット、スマホなどといった複数のデバイスを用いてITツールを活用しています。日々、デバイスを仕事として活用している人のなかでも、業務効率化と生産性アップを図る目的として、企業側から許可を得ず個人のデバイスで作業をする「シャドーIT」で対応する従業員も少なくありません。このような業務の進め方は、従業員の利便さの面では有効ですが、企業側の立場からするとセキュリティ面のリスクを考えていくことが必要不可欠です。

シャドーITが発生する場面やトラブル、シャドーITを避けるために対策すべきことにフォーカスして解説していきましょう。

シャドーITとは？

シャドーITとは、企業のシステム系管理部門の許可なしで使うクラウドサービスやソフトウェア、デバイスのことを指します。

例えば、個人で登録したクラウドストレージサービスに業務で使う資料をアップロードし、いつでもどこでもチェックできるようにしておくといったこともシャドーITの一例です。ほかにも、個人のパソコンやスマホのメールアドレスの設定画面で、仕事用のメールアドレスを設定し、個人のデバイスでもチェックできるようにすることもシャドーITの一つに含まれています。

最近ではインターネット上に便利なサービスが数多くあるため、少しでも業務効率をはかろうと企業に無断で利用する従業員も少なくありません。一方で、企業側のセキュリティ面から考えると情報漏えいなどのリスクが高くなってしまいます。従業員が無断でクラウドサービスにアップデートしてはいけないなど企業側でいくつかのルールを決めておく必要性があります。

BYODとシャドーITとの違い

シャドーITの関連ワードとして「BYOD」というワードがあります。BYODとは、「Bring Your Own Device」の略称で、個人のデバイスを用いて業務をすることを意味し、この点ではシャドーITと共通です。

BYODとシャドーITとの相違点は、個人のデバイスが会社の承認を受けているか、いないかです。BYODの場合、システム管理部門に事前申請が必要となっており、承認が下りたら個人のスマートフォンやタブレットといったデバイスで作業ができるようになります。

BYODを活用する主なメリットは以下のようなケースです。
・低コストでの導入が可能
・使い慣れたデバイスによる業務効率向上
・シャドーITの抑制

シャドーITが発生する場面とその理由

では、実際にどのような場面でシャドーITが発生するのでしょうか。ここでは主な事例について触れていきましょう。

タブー意識が低い

従業員の大多数が、普段の業務でクラウドサービスや個人デバイスを企業に申告しないまま使っている企業は、そもそもシャドーITのリスクの意識が低い状況にあるとされています。

利便さや業務効率化を優先している可能性がありますが、それ以上にリスクがあることも認知させる必要があります。

企業が指定するツールが使いづらい

企業側が指定もしくは推奨したツールがある場合、人によってはそれが「使いづらい」「効率が良くない」とネガティブに受け取る可能性があります。このため、業務効率化を図る意味合いとして、自分が使いやすいツールを使ったり、無料で使えるツールを会社に内緒で使ったりする場合があるかもしれません。

個人が手軽に利用できるSNSやクラウドサービスを利用

パソコンやスマホで無料利用できる便利なアプリやサービスが多数あります。日々の生活でごく当たり前のようにあらゆるサービスを利用しているので、仕事のシーンでもプライベートと同じサービスを利用したいと思う人もいるでしょう。

特に連絡ツールとしてSNSのDMやチャット機能を多用しているケースも少なくありません。ビジネス上の機密情報をプライベートの友人に誤送信してしまったり、うっかりSNSに投稿してしまったりといったケースもたびたび発生しています。

業務効率をはかるために利用してしまう

手動で行うと1時間かかる作業も無料のサービスを使えば20分で終わるという場合など、社内で利用推奨しているサービスやシステムではなく別のサービスを使ったほうが業務効率がいいと感じるケースもあるでしょう。

しかし、無料サービスの場合、セキュリティ面に不安があるケースも。特に機密情報や個人情報などを外部に漏洩してしまう可能性も否定できません。

無線LANを利用している

特にテレワークを推奨している企業の場合、なかには自宅ではなく無線LANを設定しているカフェなどで作業する従業員もいるかもしれません。

しかし、無線LANにつなげて業務で使うパソコンを使用し、社内のシステムにログインすると、無線LANを経由して不正アクセスを受けてしまうリスクがあります。従業員がリモートで仕事をする場合は、作業場所を自宅とオフィスに限定する、VPN経由でアクセスさせるなどのガイドラインを設けるなどといった対策が必須です。

シャドーITで起こるトラブル

シャドーITの場合、職場以外の場所でも作業が可能になるため、そういった面では利便性に優れていると言えるかもしれません。

一方で、シャドーITはさまざまな危険性をはらんでいます。ここでは、シャドーITにより起こりうる主なトラブルについて解説していきましょう。

情報漏洩

「個人のSNSアカウントやチャットツール、無料クラウドストレージサービス上で操作を間違えた」または「個人所有のデバイスをどこかに紛失し、第三者に不正アクセスされた」というトラブルが発生しています。

特に、個人のスマートフォン紛失による情報漏えいは、業務だけでなく、個人情報も特定されてしまうので、二重の被害を受ける可能性も十分にあり得るでしょう。

私用SNSのIDを伝えるリスク

特に私用SNSをプライベートだけでなく、仕事上の業務連絡ツールとして使っていると、仕事とプライベートとの気持ちの切り替えが難しくなります。短時間にたくさんの投稿が入ってしまうと仕事なのか私用なのかがわからなくなり、混乱することがあるかもしれません。プライベート上つながりのある相手に業務の機密情報を誤送信してしまい、外部に漏らしてしまうリスクも考えられます。

アカウントの乗っ取りやなりすまし

個人のSNSアカウントを利用して業務上のやりとりをしていると、ID・パスワードが流出して乗っ取りやなりすましの被害に遭うリスクがあります。乗っ取られたアカウントで勝手に情報発信をされてしまったり、DMなど外部に公開してはいけない内容が流出する事態にもなりかねません。

このようなリスクが実際に発生してしまうと、企業の信頼度が下がり、イメージダウンにつながってしまいます。業務用のパソコンには、個人のSNSアカウントの設定をしないよう、企業側も細心の注意を払いましょう。

マルウェアなどへの感染

私物のパソコンやタブレット、USBを企業のネットワークにつなげる場合、マルウェア（＝悪意のあるソフトウェア）などに感染するリスクが高くなります。個人でセキュリティソフトを入れて万全な対策をしても、大丈夫という保証はありません。

企業のシステム管理部門が承認したデバイス以外を社内ネットワークにつなぐ行為は、ウイルス感染を考えるとハイリスクな行為といえるでしょう。

シャドーITを防止する対策

シャドーITを防止するには、企業側としてどのような対策が必要でしょうか。対策すべき事項は次の通りです。

シャドーITの実態把握

従業員にとって効果的なシャドーIT対策を行うには、まずは社内のシャドーITの実態を把握することが必要不可欠です。従業員が業務で使っているデバイスおよびITツールのヒアリングを実施しましょう。

もし社内でシャドーITが発覚した場合には、利用する理由や利点などをヒアリングし、今後の対策を考える必要があります。

ガイドラインの策定

セキュリティ対策を徹底的に行うなら、ツールおよびデバイスの利用のガイドラインを策定することです。利用に適しているものと、適していないものの線引きを明確にします。策定したガイドラインに関しては、必ず従業員に周知することも忘れずに行いましょう。

セキュリティリスクに関するスタッフ教育

企業側でガイドラインを策定しているのにもかかわらず、従業員が正しく理解していなければ、シャドーITのリスクが発生します。企業側としては、やってしまいがちな事例をピックアップしながら気をつけるポイントを従業員に共有し、理解度を高めましょう。

シャドーITを使わなくて良い環境をつくる

シャドーITが起きてしまう理由の一つとして、社内で推奨しているツールが実は従業員にとっては使いづらいという場合があります。

企業側としてやることは、個人でデジタルツールを使わなくても業務がスムーズにできるよう、社内の設備および環境を調整することが重要です。従業員の使いやすさを重視したツールを企業単位で契約したり、クラウドストレージを整備したりといった、ストレスフリーで働ける環境づくりを心がけましょう。

シャドーITを代替するツールの選び方

シャドーITを防止するための代替ツールを選ぶポイントは、セキュリティ性が高いかどうかです。ここでは、代替ツールの選び方のポイントを詳しくご紹介します。

企業側が管理画面で利用状況を追跡できるか

企業側が提供するツールは、管理画面で利用状況を確認できるものを選びましょう。ツールの利用状況を「見える化」することで、企業側が把握していないところでトラブルが起こるリスクを軽減できます。

個人のデバイスからアクセスする場合、デバイスに情報を残さないことができるか

場合によってはどうしても個人のデバイスを使用しなければならないケースもあるでしょう。しかし、万が一悪意のある第三者によってデバイスに不正アクセスされてしまった場合、デバイスに保存した社内の機密情報が洩れるリスクが生じます。

このリスクを回避するには、デバイスに情報が残らない設定ができるツールを選ぶのがおすすめです。例えば、デバイスに情報をダウンロードできない仕組みにしたり、スクリーンショットを撮ろうとすると警告が表示されたりするなどのツールを選ぶと、トラブルが発生しにくくなります。

利用するスタッフをIDで管理できるか

ツールのなかには、「URLを知っている人なら利用できる」「システムをインストールしたら誰でも利用できる」といったものがあります。

また、情報によっては、アルバイトにも閲覧させたいものと、正社員のみに共有したいものあるかもしれません。情報閲覧の権限やツールの利用権限をIDごとに管理できるかという点もツール選びのポイントになるでしょう。

退職した人もIDが残っている限りはツール内の情報がチェックできてしまう状態になってしまうため、退職者が出たら退職日に必ず削除できるツールが良いでしょう。

シャドーITを防ぐならセキュリティ対策万全の「はたLuck（R）」がおすすめ

企業でシャドーITの防止に取り組む場合、「はたLuck（R）」がおすすめです。ここでは実際にどのような機能が備わっているか、詳しく紹介しましょう。

管理画面で利用状況を確認できる

はたLuck(R)では、店舗の投稿やシフトの状況などの各種機能の利用状況を本部から確認できる仕組みとなっています。ほかにも本部が把握しきれていない部分でトラブルが起きても、管理画面で確認することができるので、早い段階で解決可能です。

個人ID管理が可能

はたLuck(R)は、専用アプリを従業員個々のデバイスにインストールして使えるサービスであり、利用者の管理に関してはすべてIDで対応。また、退職者はIDを削除すると、アクセスができない仕組みになっているので、情報漏えい対策になります。

私用SNSと同じように使える

はたLuck(R)の「トーク機能」は使い慣れた私用SNSと操作性が似ているため、ストレスなく利用することができます。業務用ツールと私用ツールを分けることで、誤送信のリスクもなく、プライベートと仕事の気持ちの切り替えもしやすくなるでしょう。

アプリに投稿された情報はダウンロード不可

はたLuck(R)には、マニュアルの格納および閲覧機能がありますが、それを個人のデバイスにダウンロードし、保存できない設定となっています。

スクリーンショット警告機能がある

はたLuck(R)には、スマートフォンでスクリーンショットを撮影すると警告が表示され、画面保存ができない機能が備わっています。このような機能によって情報漏えいのリスクを極力軽減することができることでしょう。

シフト機能での情報閲覧制限

はたLuck(R)のオプションとして、シフトに入っている時間しかマニュアルを閲覧できないなどの制限があります。これにより、移動中に開いたマニュアルを第三者が勝手に見てしまったり、デバイスを紛失してマニュアルが流出してしまったりするリスクを最小限に抑えることが可能です。

シャドーITを防ぐために対策しよう

今やほとんどの人がパソコンやスマホ、タブレットを所有しており、気軽に利用できるサービスが多数存在するため、シャドーITを完全に防ぐことはかなり難しいのが実情です。しかし、企業側がシャドーITを黙認していると、大事な情報が漏えいするといった取り返しのつかないトラブルに発生することがあるので、対策をしなくてはなりません。

シャドーITを防ぐ第一歩は、従業員が業務に必要な機能やサービスのヒアリングです。現場の声を活かし、利便性の高いサービスの導入を企業全体で検討するようにしましょう。