変化に対し敏感に
行動は俊敏に
継続的な考え方を
BLOG
シャドーITとは?なぜ起きるのか?代表的な事例や対策を簡単解説!
「シャドーITという言葉を聞くけれど、よくわからないので知りたい」
「会社でシャドーITの対策を始める必要ができたけれどいまいちよく理解できていない」
「会社で使っているサービスが多すぎて何がシャドーITの対象か分からない」
この記事をご覧になっている方はこんな悩みを抱えているのではないでしょうか。クラウド化の波により企業はセキュリティ対策に苦戦していますが、その中にはシャドーITも含まれています。この記事ではシャドーITとは何か、起きる理由や事例などについて記載しています。
目次
シャドーITとは?
シャドーITとは、企業が把握していない、または許可していない外部サービスやデバイスを使用して業務を行ってしまう状態のことです。具体的には個人所有のデバイスやスマートフォンなどを使用して会社のリソースにアクセスしたり、会社で使用していないクラウドサービスを使って業務をするなどです。
シャドーITはなぜ起きるのか
企業では社内で使用できるツールやサービス、端末などを管理、制限しているところが多く、これはセキュリティ観点から非常に大切なことです。しかしクラウドサービスの普及によりたくさんの便利なサービスが登場し、ユーザーがサービスを手軽に使えるようになりました。
テレワークになり社内リソースへのアクセスが手間で他のサービスで代用した、一時的に会社支給のパソコンが使えなくて個人所有のものを使用したなど様々な理由があると思いますが、シャドーITは多くの場合が必要にかられたり、業務効率を上げることを目的とした結果に起きてしまいます。
シャドーITの代表事例
具体的にどのようなものがシャドーITの対象となってしまうのでしょうか。ここでは代表的なものについてご紹介します。
オンラインストレージサービス
オンラインストレージサービスは無料で使用できるものが多く用意されています。代表的なものにGoogle Drive、Dropboxが挙げられます。どこからでもアクセスと共同編集が可能で、バックアップとしても使えます。権限設定できるものもあり、ファイルの共有や展開なども容易です。
社内ファイルを個人のオンラインストレージで使ってしまうと、その情報を会社が管理することはできません。たとえばファイルが誰でも見えるような設定になってしまっていて情報が漏洩しても会社側は把握することが難しくなります。
チャットツール
チャットツールも無料で使用できるものが多く、簡単な相談や雑談などを行うために取り入れているケースがあります。chatworkやSlackなどは個人でもビジネスでも導入されています。簡単なコミュニケーションには欠かせないチャットツールですが、会社で管理していないチャットツールを使用するとやはりこちらも会社では管理対象外となります。チャット内で社内の情報などが記載されても把握することができません。
私物のデバイス
私物のデバイスは、個人所有のパソコンやスマートフォンが挙げられます。会社からパソコンが支給されずにプライベートのものを使うことはもちろん、自分のパソコンやスマートフォンから社内リソースにアクセスするなども考えられます。また、スマートフォンはパソコンにつなげればデータを移行することもできるため、そういったケースで使用された情報がもしデバイスに保存されていた場合の管理もまた非常に難しくなります。
フリーメール
フリーメールでメールアドレスを持つ人が非常に増え、特にGoogleやYahooでアカウントを持っている方は多いのではないでしょうか。端末でメールを開く必要のある従来のメールより、どこからでもメールが送受信、確認できるフリーメールはとても便利です。そのため、会社が管理していない場合どのような情報が扱われているか分からなくなってしまいます。
シャドーITによるセキュリティリスク
もし前述したようなサービスを使用していたときに起きうるセキュリティリスクとしてアカウントの乗っ取りや情報漏洩が考えられます。パソコンでウイルス感染する、クラウド上にあるサービスを使用していてアカウントを乗っ取られるなどはどんなに対策していてもあり得ます。そこから情報漏洩すると、どこから情報が漏れてしまったのか、会社のセキュリティに問題があったのかなどを調べて多くの人や時間を割く必要が出てきます。
シャドーITへの対策方法
それではシャドーITにどのように対策を行っていけばよいのでしょうか。会社に許可されていないサービスを使用してしまう人の多くが、必要に駆られたり便利だから使用してしまう、または社内のルールをよく知らないということがあり得ます。
管理部門としてはすぐにユーザーの希望に添えないということはよくあると思いますので、企業のガイドラインやルールの設定、社員への周知と意識管理の徹底をしっかりと行うことが重要です。
まとめ
この記事ではシャドーITについて下記をご紹介しました。
- シャドーITとは何か
- なぜ起きるのか
- 代表的な事例
- セキュリティリスク
- 対策方法
社内の統制や管理は非常に難しい事項ですが、セキュリティの強固が叫ばれる昨今、対応していく必要性があります。社内のセキュリティについて悩む方のご参考になれば幸いです。