社員の「便利」が会社を危険にさらす。シャドーITの解説と対処

企業のデジタル化が加速する中、従業員が組織の許可なく独自に導入・使用するIT機器やサービス「シャドーIT」が、深刻なセキュリティリスクとして注目されています。

テレワークの普及により、この問題はさらに顕在化しており、多くの企業が対策に追われています。シャドーITは、一見便利で効率的に見えるものの、情報漏洩やサイバー攻撃の入り口となる可能性があります。

本記事では、シャドーITの脅威と、組織が取り組むべき対策について詳しく解説します。

シャドーITの概要とリスク

「シャドーIT」とは、システム管理者や管理部門が許可・確認していないうちに導入されたハードウェアやソフトウェア、クラウドサービス等のことです。システム管理者が認識していないことから、適切な管理がされずリスクにつながりやすいとされています。
一般的に企業で管理しているPCには、顧客情報や従業員などの個人情報、営業情報や設計図など様々な秘密の情報が保管されています。これらの情報が盗まれたり、あるいは流出した場合、被害者への金銭による賠償や競争力低下、さらには会社の信用低下など多くの問題を引き起こしてしまいます。

シャドーITの具体例

シャドーITは、一見便利で効率的な作業を可能にする反面、組織のセキュリティを脅かす重大なリスクを内包しています。以下では、実際の業務現場で発生しやすいシャドーITの具体例を、利用シーンとともに詳しく解説します。

クラウドストレージサービス

代表的なサービス

• Google Drive
• Dropbox
• OneDrive（個人版）
• iCloud Drive
• Box（個人版）

シーン1: 容量制限の回避

会社のメールシステムには添付ファイルのサイズ制限があり、大容量のファイルを取引先に送信することができません。そこで従業員は、個人のGoogle Driveアカウントに該当ファイルをアップロードし、共有リンクを生成してメールで送信しています。この行動により、機密情報が個人アカウントに保存され、アクセス制御が組織の管理下から外れてしまうリスクが発生します。

シーン2: 在宅勤務での利便性追求

在宅勤務が普及する中、自宅と会社の間でファイルを効率的に共有したいというニーズが高まっています。従業員は利便性を求めて、業務で使用するファイルを個人のDropboxアカウントにアップロードし、デバイス間で同期させています。しかし、この結果として個人デバイスに業務データが保存され、退職後も元従業員がアクセス可能な状態が続く可能性があります。

シーン3: 外出先での資料確認

営業担当者が顧客先でプレゼンテーションを行う際、急遽資料の修正が必要になるケースがあります。このような状況で、従業員は個人のiCloud Driveに資料を保存し、iPhoneを使って編集作業を行っています。この行動により、業務データが個人のApple IDに紐づいて管理され、組織の統制下から外れてしまいます。

チャットツール・SNS

代表的なサービス

• LINE（個人版）
• WhatsApp
• Telegram
• Discord
• Facebook Messenger
• Instagram DM

シーン1: 緊急時の連絡手段

会社のメールシステムに障害が発生し、通常の業務連絡が取れない状況が発生しました。チームメンバーは緊急事態に対応するため、LINEグループを作成して業務連絡を継続しています。しかし、この対応により業務に関する重要な内容が個人のメッセージ履歴に残存し、組織の情報管理ポリシーから外れる結果となっています。

シーン2: 外部パートナーとの連絡

取引先の担当者とのコミュニケーションをより円滑にするため、従業員は個人のLINEアカウントを使用して直接やり取りを行っています。業務の効率化を図る目的で、契約関連のファイルもLINE経由で共有しています。この結果、契約情報や機密データが個人のアプリケーション上に蓄積され、情報漏洩のリスクが高まっています。

シーン3: プロジェクトチーム内の情報共有

社内で提供されているチャットツールが使いにくく、プロジェクトメンバー間のコミュニケーションに支障をきたしています。そこでチームリーダーがDiscordでプロジェクト専用のサーバーを作成し、メンバー間の情報共有を活発化させています。しかし、この取り組みにより、プロジェクトに関する重要な情報が会社の管理下を離れ、セキュリティリスクが生じています。

フリーメールサービス

代表的なサービス

• Gmail
• Yahoo!メール
• Outlook.com（個人版）
• iCloudメール

シーン1: 外部との頻繁なやり取り

特定の取引先との連絡頻度が高く、会社のメールシステムを経由すると時間がかかるため、従業員は個人のGmailアカウントを使用して直接連絡を取っています。この方法により業務効率は向上していますが、重要な業務メールが個人アカウントに蓄積され、組織の監査対象から外れてしまう問題が発生しています。

シーン2: 自宅での作業継続

在宅勤務時に会社のメールシステムにアクセスできない状況で、緊急の業務対応が必要になりました。従業員は重要な資料を個人のメールアドレスに転送し、自宅で作業を継続しています。この対応により、機密情報が個人のメールサーバーに保存され、セキュリティ統制が効かない状態となっています。

シーン3: 容量制限回避

会社のメールシステムの容量制限により、大容量ファイルの送信ができない状況が発生しています。従業員は業務を継続するため、Yahoo!メールを使用して大容量ファイルを送信しています。この結果、業務データが外部のメールサービスを経由することになり、情報漏洩のリスクが高まっています。

私物デバイス

対象デバイス

• 個人のスマートフォン
• 私物のノートPC・タブレット
• 家庭用ルーター
• 個人のUSBメモリ・外付けHDD

シーン1: 急な在宅勤務対応

緊急事態宣言の発令により、急遽在宅勤務が決定されました。会社支給のPCが準備できない状況で、従業員は個人のノートPCに業務データをダウンロードして作業を継続しています。しかし、セキュリティ対策が不十分な個人デバイスに機密データが保存されることで、情報漏洩のリスクが大幅に増加しています。

シーン2: 外出先での業務継続

営業担当者が顧客先にいる際、緊急の業務対応が必要になることがあります。このような状況で、従業員は個人のスマートフォンを使用して社内システムにアクセスし、業務を処理しています。この行動により、個人デバイスに業務アプリケーションの認証情報が保存され、セキュリティリスクが生じています。

シーン3: データ持ち運びの利便性

別拠点での会議に参加するため、資料を持参する必要が生じました。従業員は利便性を重視し、個人のUSBメモリに会議資料をコピーして持参しています。しかし、USBメモリの紛失や盗難が発生した場合の情報漏洩リスクや、ウイルス感染の可能性など、重大なセキュリティ脅威が存在します。

私的ネットワーク

対象ネットワーク

• 個人契約のモバイルデータ通信
• カフェ・空港等のフリーWi-Fi
• 家庭用インターネット回線
• テザリング

シーン1: 外出先での作業

出張先でインターネット接続が必要になった際、従業員は空港で提供されているフリーWi-Fiを使用して業務メールをチェックしています。利便性を優先した結果、暗号化されていない通信経路で機密情報のやり取りが行われ、第三者による情報の傍受リスクが発生しています。

シーン2: 会社ネットワークの制限回避

会社のファイアウォール設定により、業務に必要な特定のウェブサイトへのアクセスがブロックされています。従業員は業務を円滑に進めるため、個人のスマートフォンのテザリング機能を使用してアクセス制限を回避しています。この行動により、セキュリティ統制を迂回した危険なサイトへのアクセスが可能になってしまいます。

AI・生成AIサービス

シーン1: 業務効率化への期待

レポート作成の効率化を図りたい従業員が、個人のChatGPTアカウントを使用して業務を進めています。より具体的で有用なアドバイスを得るため、顧客情報を含む資料を入力データとして使用しています。しかし、この行動により機密情報がAIサービスの学習データとして使用される可能性があり、情報漏洩の重大なリスクが発生しています。

シーン2: プログラミング支援

開発業務の効率化を目指すエンジニアが、個人のGitHub Copilotアカウントを使用してコード生成を行っています。社内システムの開発において、既存のコードベースを参考にしながら新機能の実装を進めています。この結果、企業の重要な知的財産がAIサービスに学習され、競合他社に技術的優位性が流出する可能性があります。

シャドーIT対策

これらのシャドーITが発生する原因に対してどのような対策を行えばよいのでしょうか。

組織的な対策

セキュリティポリシーの明確化

セキュリティポリシーが曖昧だと利用者も抜け道を作りやすくなります。システム管理部門は明確でわかりやすいポリシーを制定し、社員に周知する必要があります。導入を許可されたソフトやサービスを具体的に提示したり、明確な基準を示すとわかりやすくなります。

システム導入のプロセスの改善

新しいテクノロジーやシステム、サービスの導入に関して、明確なプロセスを定めるとともに、導入の申請に対して迅速に対応できるようにしましょう。

システム管理部門と利用者の協力関係の構築

様々なセキュリティの制限がなぜ必要なのか、利用部門にしっかり理解してもらうのはもちろんのこと、システム管理部門は利用部門の要望を汲み取り、迅速で柔軟な対応を行うことで利用者と良好な関係を構築し、シャドーITが不要な環境を整備すると良いでしょう。

システム的な対策

IT資産管理ツールの導入

シャドーITの対策となるセキュリティツールがIT資産管理ソフトです。
PCにインストールされているソフトウェア情報を収集し、可視化する機能や、Webサイトの閲覧状況などのモニタリングはもちろんのこと、特定のソフトを起動できないよう制御し、情報管理者が意図しないソフトウェアの利用を防止したり、クラウドサービスへのアクセスを禁止したりすることができます。
そのほか、外部メディアの利用を制御したり、重要なファイルをコピー記録やスクリーンショットをとった瞬間を記録を保存することが可能です。

当社が提供する「ALSOK IT資産管理」は、上記のような機能をクラウドサービスで提供するとともに、運用や設定の代行・支援をALSOKが行います。
システム管理者への負担が大きい運用管理の多くをALSOKに任せることができるため、簡単にIT資産管理を実現できます。

まとめ