シャドーITとは？セキュリティリスクと企業が取るべき対策を解説

企業のデジタル化が進む中、従業員が会社の許可なく独自に使用するIT機器やサービス「シャドーIT」が、深刻なセキュリティ問題として注目されています。

テレワークの普及により、管理者の目が届きにくい環境が増え、多くの企業がシャドーIT対策に頭を悩ませています。便利で効率的に見えるシャドーITですが、情報漏洩やサイバー攻撃の入口となり得ます。

本記事では、シャドーITとは何か、どのようなリスクがあるのか、そして企業が実施すべき具体的な対策について詳しく解説します。

シャドーITとは何か

シャドーITとは、システム管理者や情報部門が把握・許可していないIT機器、ソフトウェア、クラウドサービスなどのことを指します。企業が認識していないため、適切なセキュリティ管理が行われず、さまざまなリスクを生み出す要因となっています。
企業のPCには、顧客情報や従業員の個人情報、営業データ、設計図など機密性の高い情報が数多く保管されています。これらの情報が盗まれたり流出したりすれば、賠償責任や競争力の低下、企業の信用失墜など、重大な問題を引き起こす可能性があります。

シャドーITの具体例

シャドーITは、従業員の利便性を高める一方で、企業のセキュリティを脅かす深刻なリスクを抱えています。以下では、実際の業務現場で起こりやすいシャドーITの具体例を、実際の利用シーンとともに紹介します。

クラウドストレージサービス

代表的なサービス

• Google Drive
• Dropbox
• OneDrive（個人版）
• iCloud Drive
• Box（個人版）

シーン1: 容量制限の回避

会社のメールシステムには添付ファイルのサイズ制限があり、大容量ファイルを取引先に送れない状況が発生します。従業員は個人のGoogle Driveアカウントにファイルをアップロードし、共有リンクをメールで送信することがあります。これにより、機密情報が個人アカウントに保存され、企業の管理範囲外に置かれてしまいます。

シーン2: 在宅勤務での利便性追求

在宅勤務が増える中、自宅と会社の間で効率的にファイルを共有したいというニーズが高まっています。従業員は利便性を求めて、業務ファイルを個人のDropboxアカウントにアップロードし、デバイス間で同期させています。この結果、個人デバイスに業務データが保存され、退職後も元従業員がアクセス可能な状態が続く危険性があります。

シーン3: 外出先での資料確認

営業担当者が顧客先でプレゼンテーションを行う際、急な資料修正が必要になるケースがあります。このような状況で、従業員は個人のiCloud Driveに資料を保存し、iPhoneで編集作業を行うことがあります。これにより、業務データが個人のApple IDに紐づいて管理され、会社の統制外となってしまいます。

チャットツール・SNS

代表的なサービス

• LINE（個人版）
• WhatsApp
• Telegram
• Discord
• Facebook Messenger
• Instagram DM

シーン1: 緊急時の連絡手段

会社のメールシステムに障害が発生し、通常の業務連絡ができない状況が起こりました。チームメンバーは緊急対応として、LINEグループを作成して業務連絡を継続しています。しかし、この対応により重要な業務内容が個人のメッセージ履歴に残り、企業の情報管理ポリシーから外れる結果となっています。

シーン2: 外部パートナーとの連絡

取引先の担当者とのコミュニケーションを円滑にするため、従業員は個人のLINEアカウントを使って直接やり取りを行っています。業務の効率化を図る目的で、契約関連のファイルもLINE経由で共有しています。この結果、契約情報や機密データが個人アプリに蓄積され、情報漏洩のリスクが高まっています。

シーン3: プロジェクトチーム内の情報共有

社内のチャットツールが使いにくく、プロジェクトメンバー間のコミュニケーションに支障をきたしています。チームリーダーがDiscordでプロジェクト専用サーバーを作成し、メンバー間の情報共有を活性化させています。しかし、この取り組みにより、プロジェクトに関する重要情報が会社の管理下を離れ、セキュリティリスクが生じています。

フリーメールサービス

代表的なサービス

• Gmail
• Yahoo!メール
• Outlook.com（個人版）
• iCloudメール

シーン1: 外部との頻繁なやり取り

特定の取引先との連絡頻度が高く、会社のメールシステムを経由すると時間がかかるため、従業員は個人のGmailアカウントを使って直接連絡を取っています。この方法により業務効率は向上していますが、重要な業務メールが個人アカウントに蓄積され、会社の監査対象から外れてしまう問題が発生しています。

シーン2: 自宅での作業継続

在宅勤務時に会社のメールシステムにアクセスできない状況で、緊急の業務対応が必要になりました。従業員は重要な資料を個人のメールアドレスに転送し、自宅で作業を継続しています。この対応により、機密情報が個人のメールサーバーに保存され、セキュリティ統制が効かない状態となっています。

シーン3: 容量制限回避

会社のメールシステムの容量制限により、大容量ファイルの送信ができない状況が発生しています。従業員は業務を継続するため、Yahoo!メールを使用して大容量ファイルを送信しています。この結果、業務データが外部のメールサービスを経由することになり、情報漏洩リスクが高まっています。

私物デバイス

対象デバイス

• 個人のスマートフォン
• 私物のノートPC・タブレット
• 家庭用ルーター
• 個人のUSBメモリ・外付けHDD

シーン1: 急な在宅勤務対応

緊急事態宣言の発令により、急遽在宅勤務が決定されました。会社支給のPCが準備できない状況で、従業員は個人のノートPCに業務データをダウンロードして作業を継続しています。しかし、セキュリティ対策が不十分な個人デバイスに機密データが保存されることで、情報漏洩リスクが大幅に増加しています。

シーン2: 外出先での業務継続

営業担当者が顧客先にいる際、緊急の業務対応が必要になることがあります。このような状況で、従業員は個人のスマートフォンを使用して社内システムにアクセスし、業務を処理しています。この行動により、個人デバイスに業務アプリの認証情報が保存され、セキュリティリスクが生じています。

シーン3: データ持ち運びの利便性

別拠点での会議に参加するため、資料を持参する必要が生じました。従業員は利便性を重視し、個人のUSBメモリに会議資料をコピーして持参しています。しかし、USBメモリの紛失や盗難が発生した場合の情報漏洩リスクや、ウイルス感染の可能性など、重大なセキュリティ脅威が存在します。

私的ネットワーク

対象ネットワーク

• 個人契約のモバイルデータ通信
• カフェ・空港等のフリーWi-Fi
• 家庭用インターネット回線
• テザリング

シーン1: 外出先での作業

出張先でインターネット接続が必要になった際、従業員は空港で提供されているフリーWi-Fiを使用して業務メールをチェックしています。利便性を優先した結果、暗号化されていない通信経路で機密情報のやり取りが行われ、第三者による情報の傍受リスクが発生しています。

シーン2: 会社ネットワークの制限回避

会社のファイアウォール設定により、業務に必要な特定のウェブサイトへのアクセスがブロックされています。従業員は業務を円滑に進めるため、個人のスマートフォンのテザリング機能を使用してアクセス制限を回避しています。この行動により、セキュリティ統制を迂回した危険なサイトへのアクセスが可能になってしまいます。

AI・生成AIサービス

シーン1: 業務効率化への期待

レポート作成の効率化を図りたい従業員が、個人のChatGPTアカウントを使用して業務を進めています。より具体的で有用なアドバイスを得るため、顧客情報を含む資料を入力データとして使用しています。しかし、この行動により機密情報がAIサービスの学習データとして使用される可能性があり、情報漏洩の重大なリスクが発生しています。

シーン2: プログラミング支援

開発業務の効率化を目指すエンジニアが、個人のGitHub Copilotアカウントを使用してコード生成を行っています。社内システムの開発において、既存のコードベースを参考にしながら新機能の実装を進めています。この結果、企業の重要な知的財産がAIサービスに学習され、競合他社に技術的優位性が流出する可能性があります。

シャドーIT対策

シャドーITが発生する原因に対して、どのような対策を実施すればよいのでしょうか。

組織的な対策

セキュリティポリシーの明確化

セキュリティポリシーが曖昧だと、従業員も抜け道を作りやすくなります。システム管理部門は明確でわかりやすいポリシーを制定し、社員に周知する必要があります。導入を許可されたソフトやサービスを具体的に提示したり、明確な基準を示すとわかりやすくなります。

システム導入プロセスの改善

新しいテクノロジーやシステム、サービスの導入に関して、明確なプロセスを定めるとともに、導入の申請に対して迅速に対応できるようにしましょう。

システム管理部門と利用者の協力関係の構築

さまざまなセキュリティ制限がなぜ必要なのか、利用部門にしっかり理解してもらうことはもちろん、システム管理部門は利用部門の要望を汲み取り、迅速で柔軟な対応を行うことで、利用者と良好な関係を構築し、シャドーITが不要な環境を整備することが重要です。

システム的な対策

IT資産管理ツールの導入

シャドーIT対策となるセキュリティツールがIT資産管理ソフトです。
PCにインストールされているソフトウェア情報を収集し、可視化する機能や、Webサイトの閲覧状況などのモニタリングはもちろん、特定のソフトを起動できないよう制御し、情報管理者が意図しないソフトウェアの利用を防止したり、クラウドサービスへのアクセスを禁止したりすることが可能です。
そのほか、外部メディアの利用を制御したり、重要なファイルのコピー記録やスクリーンショットを取った瞬間を記録し保存することが可能です。

当社が提供する「ALSOK IT資産管理」は、上記のような機能をクラウドサービスで提供するとともに、運用や設定の代行・支援をALSOKが行います。
システム管理者への負担が大きい運用管理の多くをALSOKに任せることができるため、簡単にIT資産管理を実現可能です。

シャドーITに関するよくある質問

Q: シャドーITが発生する主な原因は何ですか？

A: 主な原因は、従業員が業務で使用しているIT環境に不便を感じていることです。企業が提供するツールが使いにくかったり、効率的なファイル共有手段が整備されていなかったりすると、従業員は利便性と効率化を求めて、個人で使い慣れた無料のクラウドサービスやアプリを独自に導入してしまいます。また、テレワークの普及により、管理者の目が届きにくくなったことも一因です。

Q: 従業員にシャドーITをやめさせるにはどうすればよいですか？

A: まずは従業員への教育が重要です。シャドーITがもたらすセキュリティリスクを理解してもらい、なぜセキュリティ制限が必要なのかを説明しましょう。同時に、従業員が不便を感じないよう、企業側が使いやすいツールを提供することも大切です。また、IT資産管理ツールを導入して、システム的に制御することも有効な対策となります。

Q: IT資産管理ツールを導入すれば、シャドーITは完全に防げますか？

A: IT資産管理ツールは非常に有効な対策ですが、それだけで完全に防ぐことは難しいでしょう。ツールによる技術的な制御に加えて、セキュリティポリシーの明確化、従業員への教育、システム導入プロセスの改善、管理部門と利用者の協力関係の構築など、組織的な対策を組み合わせることが重要です。技術的対策と人的対策の両面から取り組むことで、より効果的にシャドーITを防止可能です。

まとめ