シャドーITとは？セキュリティリスクと企業がとるべき対策

今日、私たちは仕事やプライベートでも、パソコンやタブレット、スマホなどといった複数のデバイスを用いてITツールを活用しています。日々、デバイスを仕事として活用している人のなかでも、業務効率化と生産性アップを図る目的として、企業側から許可を得ず個人のデバイスで作業をする「シャドーIT」で対応する従業員も少なくありません。このような業務の進め方は、従業員の利便さの面では有効ですが、企業側の立場からするとセキュリティ面のリスクを考えていくことが必要不可欠です。

シャドーITが発生する場面やトラブル、シャドーITを避けるために対策すべきことにフォーカスして解説していきましょう。

シャドーITとは？

シャドーITとは、企業のシステム系管理部門の許可なしで使うクラウドサービスやソフトウェア、デバイスのことを指します。

たとえば、個人で登録したクラウドストレージサービスに業務で使う資料をアップロードし、いつでもどこでもチェックできるようにしておくといったこともシャドーITの一例です。ほかにも、個人のパソコンやスマホのメールアドレスの設定画面で、仕事用のメールアドレスを設定し、個人のデバイスでもチェックできるようにすることもシャドーITの一つに含まれています。

最近ではインターネット上に便利なサービスが数多くあるため、少しでも業務効率を図ろうと企業に無断で利用する従業員も少なくありません。一方で、企業側のセキュリティ面から考えると情報漏えいなどのリスクが高くなってしまいます。従業員が無断でクラウドサービスに業務情報をアップロードしてはいけないなど、企業側でいくつかのルールを決めておく必要があります。

サンクションITとシャドーITとの違い

シャドーITの対義語として「サンクションIT」があります。サンクションITとは企業が使用を正式に認めているIT機器やアプリケーションのことです。会社が支給しているパソコンやタブレット、スマートフォン、利用環境を整えているメールソフトやスケジュールソフト、ファイルサーバー、正式契約したクラウドサービスなどがサンクションITに当たります。

BYODとシャドーITとの違い

シャドーITの関連ワードとして「BYOD」というワードがあります。BYODとは、「Bring Your Own Device」の略称で、個人のデバイスを用いて業務をすることを意味し、この点ではシャドーITと共通です。

BYODとシャドーITとの相違点は、個人のデバイスが会社の承認を受けているか、いないかです。BYODの場合、システム管理部門に事前申請が必要となっており、承認が下りたら個人のスマートフォンやタブレットといったデバイスで作業ができるようになります。

BYODを活用する主なメリットは以下のようなケースです。
・低コストでの導入が可能
・使い慣れたデバイスによる業務効率向上
・シャドーITの抑制

シャドーITが発生する場面とその理由

シャドーITに該当するツールの具体例を見てみましょう。

私物のデバイス

従業員が私物のパソコンやタブレット、スマートフォンなどのデバイスを、会社での業務に使えばシャドーITに該当します。個人のデバイスはセキュリティなどの管理が困難です。会社の業務で使うデバイスは、会社で支給する必要があるでしょう。

チャットツール・SNS

従業員が個人で加入しているチャットツールやSNSを、会社の業務連絡で使えばシャドーITとなります。個人のチャットツールやSNSは会社で監視できません。会社の業務で使用するチャットツールは、会社が法人加入する必要があります。

フリーメール

GmailやYahoo!メールなどのフリーメールも、アカウントが簡単に取得できるため、つい業務で使ってしまいがちです。業務で使用するメールソフトは、会社が指定するものに限定しなくてはなりません。

クラウドストレージ

DropboxやBoxなどのクラウドストレージも、やはり無料で手軽にアカウント取得できるため、業務上のファイルのやり取りなどで使用してしまうことがあります。業務上のファイルの共有方法は、あらかじめ会社が指定しておく必要があるでしょう。

シャドーITが発生する場面や原因

では、実際にどのような場面でシャドーITが発生するのでしょうか。ここでは主な事例について触れていきましょう。

タブー意識が低い

従業員の大多数が普段の業務で、個人加入のクラウドサービスや個人デバイスを使っている状況は、そもそも会社として危機意識が低いことを示しているといえるでしょう。

たしかに業務に必要なサービスやデバイスは、従業員が個人として使っているものを使用すれば、会社で新たに導入する必要がなくなるため、経費節減には有効です。しかし、そこには大きなリスクがあることを、マネジメントや店長がまず認識しなくてはなりません。

会社指定のツールがない、あっても使いにくい

企業側が指定もしくは推奨したツールがある場合、人によってはそれが「使いづらい」「効率が良くない」とネガティブに受け取る可能性があります。このため、業務効率化を図る意味合いとして、自分が使いやすいツールを使ったり、無料で使えるツールを会社に内緒で使ったりする場合があるかもしれません。

個人のSNSやクラウドサービスを業務に利用している

パソコンやスマホで無料利用できる便利なアプリやサービスが多数あります。日々の生活でごく当たり前のようにあらゆるサービスを利用しているので、仕事のシーンでもプライベートと同じサービスを利用したいと思う人もいるでしょう。

特に連絡ツールとしてSNSのDMやチャット機能を多用しているケースも少なくありません。ビジネス上の機密情報をプライベートの友人に誤送信してしまったり、うっかりSNSに投稿してしまったりといったケースもたびたび発生しています。

業務の効率化を優先させている

手動で行うと1時間かかる作業も無料のサービスを使えば20分で終わるという場合など、社内で利用推奨しているサービスやシステムではなく別のサービスを使ったほうが業務効率がいいと感じるケースもあるでしょう。

しかし、無料サービスの場合、セキュリティ面に不安があるケースも。特に機密情報や個人情報などを外部に漏洩してしまう可能性も否定できません。

シャドーITで起こるトラブルやリスク

シャドーITの場合、職場以外の場所でも作業が可能になるため、そういった面では利便性に優れていると言えるかもしれません。

一方で、シャドーITはさまざまな危険性をはらんでいます。ここでは、シャドーITにより起こりうる主なトラブルについて解説していきましょう。

情報漏洩

「私用SNSアカウントやチャットツール、無料クラウドストレージサービス上で操作を間違えた」または「個人所有のデバイスをどこかに紛失し、第三者に不正アクセスされた」というトラブルが発生しています。

特に、個人のスマートフォン紛失による情報漏えいは、業務だけでなく、個人情報も特定されてしまうので、二重の被害を受ける可能性も十分にあり得るでしょう。

私用SNSのIDを伝えるリスク

特に私用SNSをプライベートだけでなく、仕事上の業務連絡ツールとして使っていると、仕事とプライベートとの気持ちの切り替えが難しくなります。短時間にたくさんの投稿が入ってしまうと仕事なのか私用なのかがわからなくなり、混乱することがあるかもしれません。プライベート上つながりのある相手に業務の機密情報を誤送信してしまい、外部に漏らしてしまうリスクも考えられます。

アカウントの乗っ取りやなりすまし

私用SNSアカウントを利用して業務上のやりとりをしていると、ID・パスワードが流出して乗っ取りやなりすましの被害に遭うリスクがあります。乗っ取られたアカウントで勝手に情報発信をされてしまったり、DMなど外部に公開してはいけない内容が流出する事態にもなりかねません。

このようなリスクが実際に発生してしまうと、企業の信頼度が下がり、イメージダウンにつながってしまいます。業務用のパソコンには、個人のSNSアカウントの設定をしないよう、企業側も細心の注意を払いましょう。

マルウェアなどへの感染

私物のパソコンやタブレット、USBを企業のネットワークにつなげる場合、マルウェア（＝悪意のあるソフトウェア）などに感染するリスクが高くなります。個人でセキュリティソフトを入れて万全な対策をしても、大丈夫という保証はありません。

企業のシステム管理部門が承認したデバイス以外を社内ネットワークにつなぐ行為は、ウイルス感染を考えるとハイリスクな行為といえるでしょう。

シャドーITを防止する対策

シャドーITを防止するには、企業側としてどのような対策が必要でしょうか。対策すべき事項は次の通りです。

従業員のツール利用状況を把握する

従業員にとって効果的なシャドーIT対策を行うには、まずは社内のシャドーITの実態を把握することが必要不可欠です。従業員が業務で使っているデバイスおよびITツールのヒアリングを実施しましょう。

もし社内でシャドーITが発覚した場合には、利用する理由や利点などをヒアリングし、今後の対策を考える必要があります。

ガイドラインの策定

セキュリティ対策を徹底的に行うなら、ツールおよびデバイスの利用のガイドラインを策定することです。利用に適しているものと、適していないものの線引きを明確にします。策定したガイドラインに関しては、必ず従業員に周知することも忘れずに行いましょう。

セキュリティリスクに関する教育を行う

企業側でガイドラインを策定しているのにもかかわらず、従業員が正しく理解していなければ、シャドーITのリスクが発生します。企業側としては、やってしまいがちな事例をピックアップしながら気をつけるポイントを従業員に共有し、理解度を高めましょう。

アクセス権限やログの管理を徹底する

従業員の私物デバイスやツールの利用をある程度認める場合は、アクセス監視の体制を整えておくことが必要です。たとえば、ファイル共有のツールとしてアクセス権限やログ管理ができるものを採用すれば、私物デバイスからのアクセスであってもファイルの扱われ方などを把握できます。

CASBでクラウドの利用状況を監視する

クラウドを利用しているなら、クラウドの利用状況を可視化するためのツール「CASB（Cloud Access Security Broker）」の活用がおすすめです。CASBを用いれば、クラウドの利用状況を把握したり、サービスごとに情報のアップロード禁止や外部公開禁止などのポリシーを設定したりが可能となります。

シャドーITを使わなくて良い環境をつくる

シャドーITが起きてしまう理由の一つとして、社内で推奨しているツールが実は従業員にとっては使いづらいという場合があります。

企業側としてやることは、個人でデジタルツールを使わなくても業務がスムーズにできるよう、社内の設備および環境を調整することが重要です。従業員の使いやすさを重視したツールを企業単位で契約したり、クラウドストレージを整備したりといった、ストレスフリーで働ける環境づくりを心がけましょう。

シャドーITを代替するツールの選び方

シャドーITを防止するための代替ツールを選ぶポイントは、セキュリティ性が高いかどうかです。ここでは、代替ツールの選び方のポイントを詳しくご紹介します。

企業側が管理画面で利用状況を追跡できるか

企業側が提供するツールは、管理画面で利用状況を確認できるものを選びましょう。ツールの利用状況を「見える化」することで、企業側が把握していないところでトラブルが起こるリスクを軽減できます。

個人のデバイスからアクセスする場合、デバイスに情報を残さないことができるか

場合によってはどうしても個人のデバイスを使用しなければならないケースもあるでしょう。しかし、万が一悪意のある第三者によってデバイスに不正アクセスされてしまった場合、デバイスに保存した社内の機密情報が洩れるリスクが生じます。

このリスクを回避するには、デバイスに情報が残らない設定ができるツールを選ぶのがおすすめです。例えば、デバイスに情報をダウンロードできない仕組みにしたり、スクリーンショットを撮ろうとすると警告が表示されたりするなどのツールを選ぶと、トラブルが発生しにくくなります。

利用するスタッフをIDで管理できるか

ツールのなかには、「URLを知っている人なら利用できる」「システムをインストールしたら誰でも利用できる」といったものがあります。

また、情報によっては、アルバイトにも閲覧させたいものと、正社員のみに共有したいものあるかもしれません。情報閲覧の権限やツールの利用権限をIDごとに管理できるかという点もツール選びのポイントになるでしょう。

退職した人もIDが残っている限りはツール内の情報がチェックできてしまう状態になってしまうため、退職者が出たら退職日に必ず削除できるツールが良いでしょう。

シャドーITを防ぐならセキュリティ対策万全のはたLuck(R)がおすすめ

企業でシャドーITの防止に取り組む場合、はたLuck(R)がおすすめです。ここでは実際にどのような機能が備わっているか、詳しく紹介しましょう。

管理画面で利用状況を確認できる

はたLuck(R)では、店舗の投稿やシフトの状況などの各種機能の利用状況を本部から確認できる仕組みとなっています。ほかにも本部が把握しきれていない部分でトラブルが起きても、管理画面で確認することができるので、早い段階で解決可能です。

個人ID管理が可能

はたLuck(R)は、専用アプリを従業員個々のデバイスにインストールして使えるサービスであり、利用者の管理に関してはすべてIDで対応。また、退職者はIDを削除すると、アクセスができない仕組みになっているので、情報漏えい対策になります。

私用SNSと同じように使える

はたLuck(R)の「トーク機能」は使い慣れた私用SNSと操作性が似ているため、ストレスなく利用することができます。業務用ツールと私用ツールを分けることで、誤送信のリスクもなく、プライベートと仕事の気持ちの切り替えもしやすくなるでしょう。

アプリに投稿された情報はダウンロード不可

はたLuck(R)には、マニュアルの格納および閲覧機能がありますが、それを個人のデバイスにダウンロードし、保存できない設定となっています。

スクリーンショット警告機能がある

はたLuck(R)には、スマートフォンでスクリーンショットを撮影すると警告が表示され、画面保存ができない機能が備わっています。このような機能によって情報漏えいのリスクを極力軽減することができることでしょう。

情報の閲覧制限ができる

はたLuck(R)の情報の閲覧は、IPによる制限がかけられます。閲覧するネットワーク環境を指定すれば、ネットワーク外からの情報の閲覧を防げます。

シフト機能による情報閲覧制限ができる

はたLuck(R)のオプションとして、シフトに入っている時間しかマニュアルを閲覧できないなどの制限があります。これにより、移動中に開いたマニュアルを第三者が勝手に見てしまったり、デバイスを紛失してマニュアルが流出してしまったりするリスクを最小限に抑えることが可能です。

デジタル従業員証で入館中のみマニュアルを閲覧できる

はたLuck(R)のデジタル従業員証は、従業員の入退館をQRコードで管理できる機能です。マニュアルなどは、入館中の従業員のみ閲覧できるよう設定できます。

利用していないスタッフや退職者の自動ログアウトや無効化が可能

はたLuck(R)では、一定期間ログインしなかったユーザーは、自動的にログアウトされます。また、退職者などはアカウントの無効化ができ、はたLuck(R)にはログインできなくなります。これらの機能により、企業秘密の漏洩を防ぐことが可能です。

シャドーITに関する事件

実際にシャドーITが原因で起こった事件をいくつか紹介します。

岡山大学病院で患者約270人の個人情報が漏えい

2021年7月、岡山大学病院の患者270人分の個人情報が漏洩しました。原因は、病院の医師が個人で使用していたクラウドサービスに、患者の個人情報が記載されたファイルを保存していたことです。

医師のクラウドサービスIDとパスワードがフィッシング詐欺により窃取され、患者の個人情報は攻撃者が閲覧可能な状態になってしまいました。また、パスワードが攻撃者により変更されてしまったため、医師はログインできなくなり、クラウドサービスの利用停止もできなくなってしまったとのことです。

兵庫県尼崎市の業務委託先がUSBメモリを紛失

2022年6月、兵庫県尼崎市が、同市の全市民約46万人分の個人情報が保存されたUSBメモリを紛失しました。データ移管作業を行っていた業務委託先の関係社員が、市民の個人情報を、許可を得ずに私物のUSBメモリに保存。作業終了後に飲食店で飲酒した際、USBメモリの入ったカバンを紛失したというものです。

幸い、カバンは56時間後に警察官により発見され、USBメモリもカバンに入ったままでした。しかし、一歩間違えば、巨大な情報漏えい事件になっていたかもしれません。

シャドーIT防止におけるはたLuck(R)の活用事例

はたLuck(R)を活用し、シャドーIT防止対策を行った事例を紹介します。

株式会社ディ・ポップス：私用のチャットツールから脱却

モバイルショップ「TOP１」を運営する株式会社ディ・ポップスは、はたLuck(R)の導入で私用のチャットツールからの脱却を果たしました。

モバイルショップは複数の通信キャリアを扱う店舗があることから、同一店舗内でも通信キャリア担当者ごとに必要な情報が異なります。また、スタッフの就業形態も正社員や業務委託などさまざまです。そのため、これまでスタッフの私用チャットツールやメールなどを使いながら情報共有してきましたが、情報共有方法が異なることによる業務負荷やセキュリティの不安がありました。

複数の独立したグループを作成できるはたLuck(R)の導入で、各通信キャリア担当者の情報共有方法をはたLuck(R)に一元化できました。その結果、私用チャットツールが必要なくなり、シャドーIT対策にも効果があったとのことです。

シャドーITを防ぐために対策しよう

今やほとんどの人がパソコンやスマホ、タブレットを所有しており、気軽に利用できるサービスが多数存在するため、シャドーITを完全に防ぐことはかなり難しいのが実情です。しかし、企業側がシャドーITを黙認していると、大事な情報が漏えいするといった取り返しのつかないトラブルに発生することがあるので、対策をしなくてはなりません。

シャドーITを防ぐ第一歩は、従業員が業務に必要な機能やサービスのヒアリングです。現場の声を活かし、利便性の高いサービスの導入を企業全体で検討するようにしましょう。