シャドーITとは、企業など組織の管理者が公式に使用を認めていないデバイスやアプリケーション、ITサービスなどを従業員が勝手に使用しているものを指します。
シャドーITを放置することで、マルウェア感染や情報漏えいなどのリスクが生じるため、対策が必要です。
本コラムでは、シャドーITの発生原因や情報セキュリティリスク、対策方法などをご紹介いたします。
SASEリーダーによるセキュリティソリューション「Netskope(ネットスコープ)」のサービスページはこちら
シャドーITとは
シャドーITとは、企業など組織の管理者が公式に使用を認めていないデバイスやアプリケーション、ITサービスなどを従業員が勝手に使用しているものを指します。
たとえば、未許可の私用デバイス(スマートフォン、タブレット端末、ノートPCなど)から顧客に連絡したり、未許可の外部のストレージに売上データを保存したり、未許可のチャットツールで業務についてのやりとりを行ったりといったことが該当します。
なお、管理者の許可を得て私用のデバイスを業務に利用することは「BYOD(Bring Your Own Device)」といいます。
「シャドーITによるリスク」で後述しますが、管理者が把握していないITが業務に利用されることで、情報セキュリティ上のさまざまなリスクが発生するため、基本的にシャドーITの存在は良いものではありません。
シャドーITが発生する原因
このようなシャドーITは、なぜ発生してしまうのでしょうか?
主な原因は、以下の5点です。
許可されている業務用のデバイスやシステムの利便性が低い
一つ目は、企業など組織の管理者が業務に許可しているデバイスやシステムだけでは、従業員が業務上の不便さを感じていることです。その結果、より利便性が高く、業務を効率化してくれると思うデバイスやクラウドサービスなどを利用してしまうのです。
その際、許可を得るための申請を行なわないということは、承認・申請フローが複雑だったり時間がかかったりという原因が考えられます。
これに関しては、実際に「ITコンシューマライゼーション」と呼ばれる現象が起きています。ITコンシューマライゼーションとは、一般消費者向けのITサービスが、企業や官庁などの業務で使用されるITシステムとして採用されることをいいます。
従来、最先端のITは、企業や官庁などの業務向けに提供された後、一般消費者向けに下りてくるという流れが通例でした。しかし、近年、一般消費者向けに提供されるITが高度化しているために、逆の流れが起こるようになりました。
スマートフォンなどモバイル端末の普及
二つ目に、スマートフォンやタブレット端末、ノートPCといったモバイル端末が普及し、所有する従業員が多いことが挙げられます。自宅にデスクトップPCは所有していないが、モバイル端末は複数、持っているという従業員は、少なくないでしょう。
そもそも、従業員が個人でモバイル端末を所有していなければ、業務に使用することはできません。
スマートフォンなどモバイル端末の普及が、シャドーITを後押しする要因の一つになっていることは明らかです。
無料や安価で利用できるクラウドサービスの普及
三つ目の要因は、無料や安価で利用できるクラウドサービスが普及したことです。
個人でモバイル端末などを所有していない従業員であっても、会社のパソコンからクラウドサービスにアクセスして業務に利用することは、十分に考えられます。
特に、クラウドサービスが無料のものだったり、月額数百円などで安価に利用できるものだったりすれば、そのハードルは下がります。
従業員のシャドーITに対する危機意識が低い
四つ目の要因は、シャドーITを発生させている張本人である従業員側に、シャドーITのリスクに関する知識がなく、シャドーITの利用を軽く見ていることです。
上記のような条件が揃っていたとしても、シャドーITのリスクを知っていれば、自制心が働いて利用を思いとどまり、シャドーIT発生までに至らない可能性があります。
ネットワークの監視・管理が徹底できていない
五つ目の要因は、業務に利用されているネットワークの監視・管理が徹底できていないことです。
情報システム部門など、ITを管理する側が、従業員がいつどのネットワークへアクセスしているかを全社的に把握できていれば、たとえば、リスクの高い端末やクラウドサービスは利用させないといった対策を講じることができます。
ネットワークの監視・管理が徹底できていなければ、そもそも、自組織にシャドーITが存在しているかどうかも明確に把握できません。
シャドーITによるリスク
では、シャドーITを放置していると、具体的にどのようなリスクがあるのでしょうか?
主に次の3点のリスクが考えられます。
マルウェア感染
ファイアウォールやウイルス対策ソフトなどが未導入のデバイスは、無防備でマルウェア感染しやすい状態です。私用のデバイスでは、セキュリティ対策が持ち主に任さられているため、その方面に無頓着な従業員であれば、まったく対策していないケースすらあるでしょう。
また、未許可のフリーウェアやクラウドサービスの中には、マルウェア感染を目的とした悪意あるものが混在しています。
もしも、マルウェア感染した端末で社内ネットワークに接続すれば、社内ネットワークにつながれたほかの端末にも感染が広がってしまう恐れがあります。
マルウェアに感染すると、端末内のデータを勝手に外部に送信したり、システムやデータを暗号化した上で元に戻す条件として身代金を要求されたり、乗っ取られてDDos攻撃などのサイバー攻撃の踏み台にされたりする恐れがあります。
情報漏えい
シャドーITを放置することで、さまざまな経路からの情報漏えいリスクが生じます。
上記のように、端末がマルウェア感染してしまった場合のほか、端末のID/パスワードが漏えいして不正アクセスされ、ローカルに保存しているデータを窃取される恐れもあります。また、セキュリティ対策が脆弱なクラウドサービスを利用していると、クラウドサービスそのものが不正アクセスされて情報漏えいにつながる危険性があります。
サイバー攻撃では、窃取した情報の一部を公開し、残りを公開されたくなければ、身代金を払えと要求する事例も報告されています。
また、端末の紛失や盗難からの情報漏えいリスクについても見逃せません。業務用端末であっても、紛失・盗難があれば、同様に情報漏えいの恐れがありますが、本来であれば業務関連のデータが保存されているはずのない私用の端末が業務に利用されることで、リスクが2倍、3倍へと膨れ上がってしまいます。
私用のデバイスやクラウドサービス上には、プライベートな連絡先が登録されており、送信先を誤ってデータを送ってしまうというミスも起こり得ます。
従業員が自分の意志で会社の機密情報を持ち出す内部不正も、私用のデバイスやクラウドサービスで業務データを扱うことで起こりやすくなります。
データの改ざん・消失
マルウェア感染やその他の理由によって、データにアクセスされると、漏えいされるだけでなく、データそのものを改ざんされたり、削除されたりする恐れもあります。
重要データが改ざんされたり、削除されたりすれば、業務に支障をきたすだけでなく、組織の資産が失われることになります。
端末やクラウドサービス上に保存されたデータに限らず、Webサイトの掲載情報を改ざんされて、マルウェアを仕込まれることもあり、被害が広がる恐れがあります。
シャドーITを防止するための対策
シャドーITを防止するためには、以下のような対策を取ることが重要です。
使い勝手の良い端末やクラウドサービスを導入する
まずは、IT管理者が業務用に認めている端末やシステム、クラウドサービスの利便性を高めるための見直しを行いましょう。
公式の端末やシステム、クラウドサービスだけで十分な利便性があれば、従業員はほかのITを業務利用しようなどと考える必要がないからです。
情報セキュリティに関するガイドラインを定める
情報セキュリティポリシーに沿って、さらに具体的な行動指針となるガイドラインを定めましょう。シャドーITについては、「管理者が許可したデバイスのみを業務に利用する」「その他に利用したいものがある場合は、申請して許可を得る」といった内容を盛り込むことになります。ここで定めたガイドラインは、次項の情報セキュリティ教育にも活用できます。
もし、情報セキュリティポリシーがない場合は、セキュリティポリシーを整備するところからスタートする必要があります。
従業員への情報セキュリティ教育を実施する
次に、従業員の情報セキュリティに対する意識と知識を高めるために、情報セキュリティ教育を実施しましょう。情報セキュリティといっても幅広いので、今回の目的であるシャドーITに関する内容や、報告例や被害の多い情報漏えいに関する内容を中心にした研修カリキュラムを組むと良いでしょう。
ネットワークのアクセス監視を行い、利用状況を把握する
社内・社外を問わず、業務に利用されているネットワークの利用状況を把握するために、適切な監視を行うことも重要です。
利用状況を把握した上で、自組織の情報セキュリティポリシーに従って、リスクの高いデバイスやクラウドサービスなどの利用は停止させるなどの措置が必要です。
まとめ
ご紹介してきたように、さまざまな要因から、どこの企業や官庁でも発生しやすく、リスクの高いシャドーITへは、適切な対策を取っていくことが重要です。
そのためには、管理者側でシャドーITの発生状況を把握した上で、継続利用の可否について判断を行う必要があります。
ただ、ルールや規則で従業員を縛り付けて一元的にシャドーITを撲滅しようとするだけでは、反発が起きかねません。従業員側の利便性を確保しつつ、情報セキュリティを維持するためには、ある程度のシャドーITは容認しつつ、高リスクなものだけ排除するといった、いわば折衷案を取ることも大切です。
たとえば、Netskopeなら、許可したクラウドサービスであるか、未許可のクラウドサービスであるかに限らず、業務に利用されているすべてのクラウドサービスを可視化できるため、利用状況を詳細に把握できます。
Netskopeでは、シャドーITを把握した後の制御も簡単に行えます。クラウドサービスを「ストレージサービス」「コミュニケーションツール」などのカテゴリに分け、カテゴリごとに利用の可否を設定できる一方、クラウドサービスごとに「アップロード」「閲覧」といった詳細な設定を行うことも可能です。
Netskopeを活用すれば、従業員の利便性と管理者の情報セキュリティ対策を両立させることができます。
Netskopeについて詳しくは、こちらのページをご覧ください。
