変化に対し敏感に
行動は俊敏に
継続的な考え方を

BLOG

シャドーITとは？なぜ起きるのか？代表的な事例や対策を簡単解説！

2022年4月26日 2022年5月28日

テクノロジー

「シャドーITという言葉を聞くけれど、よくわからないので知りたい」

「会社でシャドーITの対策を始める必要ができたけれどいまいちよく理解できていない」

「会社で使っているサービスが多すぎて何がシャドーITの対象か分からない」

この記事をご覧になっている方はこんな悩みを抱えているのではないでしょうか。クラウド化の波により企業はセキュリティ対策に苦戦していますが、その中にはシャドーITも含まれています。この記事ではシャドーITとは何か、起きる理由や事例などについて記載しています。

シャドーITとは？
シャドーITはなぜ起きるのか
シャドーITの代表事例
シャドーITによるセキュリティリスク
シャドーITへの対策方法
まとめ

シャドーITとは？

シャドーITとは、企業が把握していない、または許可していない外部サービスやデバイスを使用して業務を行ってしまう状態のことです。具体的には個人所有のデバイスやスマートフォンなどを使用して会社のリソースにアクセスしたり、会社で使用していないクラウドサービスを使って業務をするなどです。

シャドーITはなぜ起きるのか

企業では社内で使用できるツールやサービス、端末などを管理、制限しているところが多く、これはセキュリティ観点から非常に大切なことです。しかしクラウドサービスの普及によりたくさんの便利なサービスが登場し、ユーザーがサービスを手軽に使えるようになりました。

テレワークになり社内リソースへのアクセスが手間で他のサービスで代用した、一時的に会社支給のパソコンが使えなくて個人所有のものを使用したなど様々な理由があると思いますが、シャドーITは多くの場合が必要にかられたり、業務効率を上げることを目的とした結果に起きてしまいます。

シャドーITの代表事例

具体的にどのようなものがシャドーITの対象となってしまうのでしょうか。ここでは代表的なものについてご紹介します。

オンラインストレージサービス

オンラインストレージサービスは無料で使用できるものが多く用意されています。代表的なものにGoogle Drive、Dropboxが挙げられます。どこからでもアクセスと共同編集が可能で、バックアップとしても使えます。権限設定できるものもあり、ファイルの共有や展開なども容易です。

社内ファイルを個人のオンラインストレージで使ってしまうと、その情報を会社が管理することはできません。たとえばファイルが誰でも見えるような設定になってしまっていて情報が漏洩しても会社側は把握することが難しくなります。

チャットツール

チャットツールも無料で使用できるものが多く、簡単な相談や雑談などを行うために取り入れているケースがあります。chatworkやSlackなどは個人でもビジネスでも導入されています。簡単なコミュニケーションには欠かせないチャットツールですが、会社で管理していないチャットツールを使用するとやはりこちらも会社では管理対象外となります。チャット内で社内の情報などが記載されても把握することができません。

私物のデバイス

私物のデバイスは、個人所有のパソコンやスマートフォンが挙げられます。会社からパソコンが支給されずにプライベートのものを使うことはもちろん、自分のパソコンやスマートフォンから社内リソースにアクセスするなども考えられます。また、スマートフォンはパソコンにつなげればデータを移行することもできるため、そういったケースで使用された情報がもしデバイスに保存されていた場合の管理もまた非常に難しくなります。

フリーメール

フリーメールでメールアドレスを持つ人が非常に増え、特にGoogleやYahooでアカウントを持っている方は多いのではないでしょうか。端末でメールを開く必要のある従来のメールより、どこからでもメールが送受信、確認できるフリーメールはとても便利です。そのため、会社が管理していない場合どのような情報が扱われているか分からなくなってしまいます｡

シャドーITによるセキュリティリスク

もし前述したようなサービスを使用していたときに起きうるセキュリティリスクとしてアカウントの乗っ取りや情報漏洩が考えられます。パソコンでウイルス感染する、クラウド上にあるサービスを使用していてアカウントを乗っ取られるなどはどんなに対策していてもあり得ます。そこから情報漏洩すると、どこから情報が漏れてしまったのか、会社のセキュリティに問題があったのかなどを調べて多くの人や時間を割く必要が出てきます。