シャドーITによるセキュリティリスクと企業がとるべき対策とは?

店舗運営 店舗DXコラム
最終更新日:2022.06.29

IT機器やインターネットの普及によって、仕事の在り方は大きく変化しました。効率化が進み、これまで手作業で行っていた多くの仕事を自動化できるようになった昨今ですが、今までは意識する必要のなかったセキュリティリスクが生まれていることも事実です。

ここでは、シャドーITのリスクと、企業が事前にとるべき対策について解説します。

シャドーITとは?

シャドーITとは、企業が把握できていないデバイスやシステムを従業員が業務のために利用することです。具体的なシャドーITの例は、下記のようなものが挙げられます。

<シャドーITの例>

  • 企業が認めていないにもかかわらず、個人のスマートフォンで自社のシステムにアクセスする
  • 企業のパソコンに自宅から持ってきたUSBを差す
  • 取引先とのデータのやりとりに、企業が認めていない無料サービスを利用する

こうした行為が直ちにトラブルを引き起こすとは限りません。しかし、「今回は問題なく使えたから」という油断から同様の行為を継続すると、いつか大きな問題に発展する可能性があります。

BYODとシャドーITとの違い

BYODは「Bring Your Own Device」の頭文字を取った言葉です。これは、企業の承認を受けた上で個人のデバイスやサービスを業務に利用することを指します。

個人のデバイスなどを利用するという点はシャドーITと同じですが、企業が認めているか否かという違いがあります。BYODであれば、企業が把握していないところでセキュリティリスクにさらされるということはありません。また、あらかじめ問題がないかどうかチェックした上で承認することができるため、シャドーITに比べリスクは低くなります。

シャドーITはなぜ起こるのか

シャドーITが起こる原因には、世間に利便性の高いサービスがあふれていることや、個人の意識が低いことなどが挙げられます。適切な対策をとるために、まずは何が問題なのかを知っておきましょう。

個人が手軽に利用できるサービスが多数ある

世の中には、無料で利用できる便利なアプリやサービスが数多く存在しています。デジタル化が進み、毎日の生活の中で当たり前にさまざまなサービスを利用している中で、「いつも使っているものだから」と、業務においても同じサービスを利用してしまうケースがあります。

業務効率化のために利用してしまう

業務を行う上で、「こういうサービスを利用できたら便利だ」と感じたことがある人もいるでしょう。手動で行うと長時間かかってしまう作業が、無料のサービスを使えばすぐにできるといった場合、効率化のために企業が認めていないサービスを利用してしまうことがあります。

企業が指定するツールが使いづらい

企業があらかじめ指定したツールがあれば、従業員は必要に応じて該当のツールを使用します。しかし、指定のツールが使いづらかったりする場合、個人で検索してフリーソフトなどを使ってしまう可能性があります。

タブー意識が持たれていない

そもそも、「個人のデバイスや企業の認めていないサービスを使うことがリスクにつながる」という意識を従業員が持っていないケースもあります。従業員の多くが外部のサービスや個人のデバイスを当たり前に使っている企業では、そもそもシャドーITに対する意識が低く、トラブルも発生しやすくなるでしょう。

シャドーITが起こすトラブル

シャドーITを放置していると、さまざまなセキュリティリスクにさらされることになります。続いては、シャドーITが原因で起こりうるトラブルをご紹介します。

情報漏洩

無料サービスの中には、データをクラウド上にアップロードすることで利用できるものが多くあります。このようなサービスを安易に使うと、社外秘のデータが外部に流出してしまうといった情報漏洩のリスクが高まるでしょう。

公開範囲設定を間違えてしまったせいで外部から情報が閲覧できる状態になってしまったり、セキュリティ対策が十分でないサービスを利用したことでハッキングに遭ったりといったケースが該当します。

アカウントの乗っ取りやなりすまし

個人のSNSを利用して業務上のやりとりをしていると、ID・パスワードが流出してアカウントを乗っ取られたり、デバイスを盗まれてなりすまし被害に遭ったりすることがあります。

マルウェアなどへの感染

私物のパソコンやUSBを企業のネットワークにつなぐと、そこからマルウェア(悪意のあるソフトウェア)などに感染するリスクがあります。個人レベルでセキュリティ対策を万全にしていると考えていても、絶対大丈夫とは言えません。企業のセキュリティ部門が認めた機器類以外を社内ネットワークにつなぐのは、リスクの高い行為です。

シャドーITが発生する場面

具体的にシャドーITは、どのようなときに発生してしまうのでしょうか。さまざまなケースを見ていきましょう。

私物のデバイスの利用

個人のスマートフォンを業務とプライベート両方で利用している場合、うっかり宛先を間違えてプライベートの友人に社外秘のデータを送ってしまうといったヒューマンエラーが起こりやすくなります。

また、私物のスマートフォンやパソコンから企業のネットワークに接続すると、情報が漏洩したりマルウェアに感染したりするリスクが高まります。

私用SNSの利用

会社が許可していない私用SNSを便利だからと業務連絡に利用していると、第三者に情報を漏洩してしまったりアカウントを乗っ取られたりする可能性があります。

特に、プライベートと業務で、同じツールを使っている場合は注意が必要です。宛先を間違えるといったミスによる情報漏洩が起こりやすいため、ツールは分けるべきだと言えるでしょう。

無線LANの利用

強度の弱い暗号を使っている無線ルーターで業務用のパソコンを使用したり、社内のシステムにログインしたりすると、不正アクセスを受ける原因となります。従業員が社外で仕事をする場合は、ネットワーク環境について確認する必要があるでしょう。

クラウドサービスの利用

クラウドサービスは非常に便利ですが、情報漏洩のリスクは高いと言えます。クラウドを介してデータをやりとりしたりデータの編集を行ったりするツールの中には、アップロードしたデータがサーバー上に残るものもあり、そこから情報が漏洩するリスクがあります。また、プライベートと同じアカウントを利用していると、ヒューマンエラーによって情報が第三者に渡ってしまう可能性もあるので注意が必要です。

シャドーITを防止する対策

ここからは、シャドーITを防止するために、企業が行うべきことをまとめました。トラブルが起こってから対処するのではなく、事前にリスクを回避できる体制を立てましょう。

ガイドラインの策定

セキュリティ対策を行う上で最初に行っておきたいのが、ツールやデバイスの利用に関するガイドラインを策定することです。何が良くて何が駄目なのか、線引きをはっきりとさせておきましょう。また、策定したガイドラインを従業員に周知することも大切です。

ツールの提供

業務に必要なツールについては、あらかじめ企業側で安全性の高いものを選定し、周知しておくことも大切です。企業側から適切なツールの提供があれば、それ以外の危険なツールを使う必要はなくなるため、リスク回避につながります。

セキュリティリスクに関する教育を行う

ガイドラインを策定していても、従業員の理解が十分でなければシャドーITのリスクが残ります。何気なくやってしまいがちな事例を具体的に紹介するなど、気をつけるべきポイントを従業員にわかりやすく説明し、理解を深めていきましょう。

代替ツールの選び方

シャドーITを防ぐための代替ツールは、企業が利用するのに適したセキュリティ性の高いものでなければいけません。ここからは、ツールの選び方のポイントをご紹介します。

企業側が管理画面で利用状況を追跡できるか

企業が提供するツールは、できるだけ利用状況を管理画面で確認できるものを選んでください。ツールの使用状況を見られるようにしておくことで、やりとりがブラックボックス化することを防げます。

個人のデバイスからアクセスする場合、デバイスに情報が残らないようにできるか

個人のデバイスからツールを利用する場合、ハードに保存した社外秘の情報が漏洩するといったリスクがあります。こうした問題を回避するためには、デバイスに情報が残らないように設定できるツールを選ぶのが効果的です。スクリーンショットを撮ろうとすると警告が出たり、端末に情報をダウンロードできない仕様になっていたりするツールを選びましょう。

利用するスタッフをIDで管理できるか

「システムをダウンロードすれば誰でも利用できる」「URLを知っている人は利用できる」といったツールの場合、退職者して部外者になった後も、ツール内の情報が閲覧できてしまいます。利用者をIDで管理し、退職した場合はすぐに削除できるツールがおすすめです。

セキュリティ対策も万全のおすすめツール「はたLuck(R)」

店舗内や社内のコミュニケーションツールに個人のSNSを利用していると、情報漏洩などのリスクが高くなってしまいます。店舗マネジメントツール「はたLuck(R)」なら、最初から企業が使用することを前提に作られているため、セキュリティ対策は万全です。最後に、はたLuck(R)のメリットをご紹介します。

私用SNSと同じように使える

はたLuck(R)の「トーク機能」は、使い慣れた私用SNSと操作性が似ているため、ストレスなく導入いただけます。私用のツールと業務用のツールを分けることで誤送信リスクを防げますし、プライベートと仕事の気持ちの切り替えにも役立つでしょう。

アプリに投稿された情報はダウンロード不可

はたLuck(R)には、マニュアルの格納・閲覧といった機能がありますが、個人のデバイスにダウンロード保存することはできません。また、シフトに入っている時間しかマニュアルを閲覧できないといった、制限をかけることも可能です。

管理画面で利用状況を確認可能

はたLuck(R)の各種機能の利用状況は、本部から確認できます。店舗でどのような投稿がなされているかといったやりとりの状況、シフト作成の状況などが可視化されるため、本部が把握していないところでトラブルが起こるリスクを防げます。また、運営がうまくいっていない店舗を早期に拾い上げて、フォローをすることも可能です。

個人ID管理が可能

はたLuck(R)は、スタッフ個人のデバイスに専用アプリをインストールすることで使えるサービスですが、利用者はすべてIDで管理されています。退職者はIDを削除した時点でアクセスすることができなくなるため、情報漏洩対策になります。

スクリーンショット警告機能がある

はたLuck(R)では、スクリーンショットを撮ろうとすると警告が出るため、スタッフが安易に画面保存をしたことで情報漏洩するリスクが低減します。

シャドーITを防ぐための対策をとろう

シャドーITによる情報漏洩やマルウェアへの感染は、企業にとって大きなリスクです。同時に、何気ない行動が大きな問題に発展してしまった従業員も、大きな罪悪感にかられることになります。

このような不幸な事態を引き起こさないためには、日頃からシャドーITを防ぐ対策をとっておくことが大切です。従業員が現在利用しているツールを確認し、ルールの策定や代替ツールの提供を進めましょう。