シャドーIT - 対策方法6選と5つのリスクについて解説
⇒お役立ち資料「個人スマホで情報共有!? いま注目のBYOD、導入のポイント」はこちら
シャドーITとは
シャドーITとは、組織内で用いられる情報システムやそれらを構成する機器やソフトウェアなどとは別に、IT部門やシステム管理部門などの許可なく従業員の判断でITツールを導入、使用されてしまうことを指します。 セキュリティソフトウェア開発・販売を行なうトレンドマイクロが、2020年に27カ国13,200人のリモートワーカーに行った調査「Head in the clouds」によると、56%が会社の端末で業務用ではないツールを使用し、66%が会社のデータをそのツールにアップロードしていることがわかりました。 実際に組織内では、業務用として正規に導入された機器やツールのほかに、以下が用いられることもあります。- 従業員が持ち込んだスマートフォンやタブレットなどの機器
- 私用のデバイスに入っているソフトウェア
- 部署が独自に決済して導入した機器やシステム
シャドーITの対策方法6選
1. 現状を把握するために、従業員の声に耳を傾ける
従業員がシャドーITを導入する大きな理由は、作業を効率化するためとされています。そのため、経営層やシステム管理部門などが現状を把握する必要があります。 従業員の声に耳を傾けて「どんな点が不便だと感じているのか」や「作業を効率化するためには何が必要なのか」といった点を確認しましょう。 参考:ソフトウェア管理機能 | 漏洩チェッカー2. CASB(キャスビー)の導入
CASB(キャスビー)とは、「Cloud Access Security Broker」の略称です。2012年にアメリカの調査会社のガードナー社が提唱した考え方を指します。CASBは「可視化」「データセキュリティ」「コンプライアンス」「脅威防御」の4つで構成されています。 CASBは、第1世代、第2世代、次世代に分けることができます。- 第1世代:シャドーITの可視化
- 第2世代:API連携によるクラウドサービスの利用状況の把握
- 次世代:従来のCASBが持つ機能に加えリアルタイム制御を実現
3. ガイドラインの設定
シャドーITに関するガイドラインを設定することも有効とされています。労働環境を整えたあとで、私用のデバイスや無料サービスの業務利用に関するガイドラインを作ることが大切です。 私用のデバイスやサービスを利用しなくてはいけない事態に陥った時は、システム管理者の許可を取ることを義務付けるなどの文言を盛り込むと良いでしょう。4. 社員教育
「シャドーITを使用するとどのようなリスクがあるのか」を社員に周知することも大切です。危険性に関する教育を企業全体で行い、危険性と損害について全体で意識できるようにしましょう。5. MDMツールの導入
MDM(モバイル管理)ツールを導入することにより、私用のスマートフォンの紛失・盗難によるセキュリティリスクを低減できます。 MDMツールは、業務用途以外での使用を禁じたり、業務で使う場合のみ使用を許可したりなど段階に合わせてセキュリティレベルを設定することが可能です。6. 社内クラウドによる管理
無料のクラウドサービスが増えており、利用する従業員も増えています。これらの対策として挙げられるのが、法人向けのクラウド型サーバーの導入です。企業が専用のクラウド型サーバーを導入することで、セキュリティリスクを低減できるでしょう。 この時に「セキュリティ」と「使いやすさ」に注目する必要があります。 セキュリティ面では情報を暗号化したり、IPアドレスによるアクセス制限をしたりなど、さまざまな対策がされているものを選ばなければなりません。 また使いやすさにおいては、一般的な無料のクラウドサービスと同様もしくはそれ以上であることも重要です。使い勝手が悪いと従業員はシャドーITの利用をやめない可能性があるためです。 ▼参照: 「禁止」より「管理」が重要!シャドーITを防ぐ4つの対策|Work × IT CASBとは?シャドーITとは? | 次世代CASBシャドーITによる5つのリスク
では、具体的にシャドーITにはどのようなリスクがあるのでしょうか。ここでは、シャドーITによるリスクをご紹介します。1. サイバー攻撃
個々人がダウンロードしたアプリやデータは、会社のセキュリティチェックを通っていません。そのため、第三者によってトロイの木馬やウイルス、ワームといったサイバー攻撃を受けてしまうリスクが高まります。 また、攻撃を受けた端末で社内ネットワークやデバイスに接続してしまい、組織内に感染を拡げてしまう可能性があります。2. 情報漏洩
ファイル共有サービスやチャットアプリなどは無料で利用できるものも多くあります。ただし、ビジネスで使うにはセキュリティ面で不安が残り、何かの設定ミスによって第三者による閲覧や編集ができるようになった場合は情報漏洩のリスクがあります。 また、私用のパソコンやスマートフォン、USBメモリなど物理的なデバイスを使用している場合も要注意です。トレンドマイクロが実施した調査「Head in the clouds」によると、リモートワーカーの39%が個人のデバイスから会社のデータに頻繁にアクセスしていることがわかっており、オンライン上での対策を行っていても、紛失や盗難による情報漏洩の可能性があります。3. 不正アクセス
許可されていないクラウドサービスを利用している場合、そのサービスに不正アクセスが行われると情報漏洩が起こる可能性があります。 たとえば、フリーメールを業務で使用していた場合、メールサービスに不正アクセスが起こるとメールの本文や添付ファイルから情報が漏洩する危険性があります。4. 個人メールからの誤送信
個人用のメールアドレスを使用している場合、業務用のメールアドレスから送る必要のあるメールを、個人メールから誤送信する可能性があります。相手が企業でも個人も顧客でも、個人メールから送られてきたメールは不審に感じます。 そのため、開封してもらえず情報が伝えられないケースも少なくありません。また、相手からの信用を失ってしまう場合も考えられます。5. データ損失の恐れ
シャドーITで使われているアプリやデータは、組織内で使われているバックアップの対象になっていません。そのため、デバイスの故障や紛失、盗難、ミスによる消去などが合った場合、データが損失する可能性があります。 ▼参照: The Risks of ‘Shadow IT’ and What Organizations Can Do About It|AODOCS What’s lurking in the shadows? How to manage the security risks of shadow IT|welivesecurity シャドーITとは何か?リスクとトラブル事例、未然に防ぐ対策を解説|SEDesignシャドーITが発生する3つの原因
シャドーITの対策を行うためには、発生する原因も知っておく必要があります。ここでは、シャドーITが発生する原因をご紹介します。1. 現在のツールやアプリだと非効率である
現在、組織内で用いられているツールやアプリが非効率だと、シャドーITが発生する原因になります。 従業員が不便だと訴えても、新しいツールやアプリを導入するまでには時間がかかるケースもあります。そのため、従業員は効率的に業務をこなすため、より便利だと思われるツールやアプリを独自に導入するのです。2. ITシステム管理部門の承認を受けると時間がかかる
効率的と思われるツールやアプリも、ITシステム管理部門の承認を受けるには時間がかかります。 しかし、その間にも業務はあるため、より効率的に作業を行うために許可を得ずにツールやアプリを導入するケースが考えられます。3. リモートワークの普及により、IT管理部門の存在が見えにくくなった
近年普及したリモートワークにより、従業員はIT管理部門の存在を感じにくくなりました。その結果、組織内で許可されていないツールを使う心理的なハードルが下がったと考えられます。情報やツールを一元化し、シャドーIT対策
シャドーITを防ぐためには、多角化するツールを一元化することが重要
シャドーITが発生する要因として、従業員が現状のツールでスムーズに業務ができていないことがあげられます。 特にアルバイトを抱える企業においては、私用のSNSでの連絡が横行し、情報漏えいのリスクが高くなりやすいです。 『TUNAG(ツナグ)』は、組織課題に対する解決策を「社内制度」として設計し、プラットフォームで運用するサービスです。マルチデバイス対応でスマホのアプリで操作可能で、社用端末を持たない従業員でも使用することができるため、組織内で許可されていないアプリの使用を防ぎ、情報漏えいのリスクの軽減につなげます。 シャドーITの対策として、情報共有やコミュニケーションのツールを一元化できる『TUNAG(ツナグ)』をぜひご活用くださいませ。 ▼関連記事 BYODとは?デメリット・メリットと導入時に考慮すべき点を解説! テレワークに潜むシャドーITのリスク - 漏洩チェッカー 社内アプリとは?事例3社や3つの注意点、作り方について解説 | 社内ポータル・SNSのTUNAG(ツナグ)
シェア
ポストおすすめ記事
人気のダウンロード資料
