放置は危険!シャドーITのリスク
会社で(仕事で)パソコン・スマートフォン等の端末、USBメモリや外付けHDD等の記憶媒体、外部サービスを使用する場合、基本的には会社が支給(指定)したものを使用するはずですが、状況によって私物の端末や媒体等を使用することがあるかもしれません。
しかし、 私物の端末・媒体を仕事に使用することにはリスクもあります。そこで、今回は「シャドー IT」のリスクについてまとめてみました。
●シャドーITとは?
仕事に使用する端末・媒体・外部サービスはセキュリティのために会社が管理することが大前提です。しかし何らかの理由から、会社の管理外の(私物の)端末・媒体・外部サービスを仕事に使用してしまうことがあるかもしれません。
そのように、会社の管理外にある(主に使用者の私物の)端末・媒体・外部サービスなどを仕事に使用することを「シャドーIT」といいます。
私物端末などの仕事での使用には「BYOD(Bring Your Own Device)」もありますが、BYODの場合はたとえ私物であっても、会社が管理・把握(誓約書の届出義務やセキュリティ対策実施義務等)をしたうえで許可するものなので、シャドーITとは別ものになります。
●なぜシャドーITが発生するのか?
シャドーITが発生してしまう原因には次のようなことがあります。
| 原因 | 事例 |
| 【1】会社が黙認してしまう(ルールや管理体制がない) | 社内に管理部門がない(管理者がいない)、または管理体制が有効に機能していないため、社員の独断で私物の端末や媒体、サービスの利用可否を決めることができてしまう |
| 【2】社員のセキュリティ意識の欠如 | 業務データ(機密情報・個人情報)の漏えい・不正使用発生による会社への影響を理解していない、「これくらいはいいはず」という思い込み、セキュリティ対策の重要性の理解不足 |
| 【3】効率化や業務遂行のために「必要だから仕方ない」という意識 | 勤務時間外に取引先との連絡をとるため、残業するなと言われているがどうしても続きをやりたいから、などの理由で業務データを私物のUSBメモリにコピーしたり、メールで転送したりして自宅などで作業する |
「1」は特にリスクが高く、組織としての適切なセキュリティ管理ができていない状態です。そのため、社員個人の判断で私物端末等を利用できてしまい、シャドーITが慢性化してしまうおそれがあります。
「2」については、利用する社員に悪気がないことが多いですが、適切なセキュリティ意識(知識)に欠けたまま利便性を優先してしまうと、シャドーITが発生してしまうことがあり、やはりリスクとなります。
「3」のように、会社のルール(禁止・制限事項)は理解していても、ルール通りの運用では手間(不便)だから、とか、急ぎで対応しないといけないから、などの理由から、ルールを破っていることを自覚しつつシャドーITをしてしまう人もいるかもしれません。しかし、いかなる理由であっても、会社のルールを破ることは規律違反にもなります。
業務遂行上どうしても私物端末などを利用する必要がある場合は、できれば事前に理由を会社(管理者)に伝え、管理者と協議し、許可を得られた場合に限り例外的に使用をも認めてもらうようにしましょう。
●シャドーITがなぜ危険なのか?
シャドーITによって、次のようなことが発生するリスクがあります。
| シャドーIT事例 | 事件・事故事例 |
| 自宅のWi-Fiを使って自宅で仕事する | 自宅Wi-Fiのパスワードが未設定だったため通信中の業務データが盗まれて流出する |
| 私物のPCやスマホで業務データや業務アプリ(サービス)を使う | セキュリティ対策が不十分なためマルウエアに感染して業務データやユーザー情報などが流出・不正利用される、家族や友人など業務上不要な者にデータを見られてしまう |
| 私的に利用しているクラウドサービスに業務データを保管する | ID・パスワードが脆弱でアカウントを乗っ取られてしまい保管していたデータが漏えい・不正利用される、公開・共有設定が不十分で誰でもデータにアクセスできてしまう |
| 私物の記憶媒体(USBメモリなど)を会社のPCに接続してデータを持ち出す | 業務データを保管したUSBメモリを移送中に飲酒してしまいUSBメモリを紛失し業務データが流出する、私物USBメモリがマルウエア感染していたため社内PCがマルウエア感染してしまう |
| 私的なメールアドレスを使って取引先と連絡をとる | マルウエアに感染してメール情報を悪用される、誤送信により友人・知人など業務上不要な者にデータを見られてしまう |
一般的に、会社が管理する端末・媒体・機器や、業務利用が前提のアプリ・サービスと比べると、個人所有の端末・媒体や個人向けアプリ・サービス(特に無料のもの)はセキュリティ機能が不十分であり(弱く)、上記の事件・事故が発生するリスクが高くなります。
また、私物端末などは会社の管理が及ばないこと、および行動範囲が通常業務のそれとは異なることから、事件・事故が発生するリスクは通常業務時よりも高くなりますし、なにより、シャドーITが横行している環境下では、内部不正も発生しやすくなり、シャドーIT自体がセキュリティ上のリスクとなり得ます。
●シャドーITに有効な対策は?
シャドーITへの対策には次のようなものがあります。
- 社内ルールの策定と社員教育(ルールの周知、処罰の明示、など)
- 端末等の管理ツールの導入(社内端末の操作ログの取得、機能制限設定、など)
- 重要データへのアクセス制限(許可した者以外アクセスできなくする)
- 業務使用外部サービスのID・パスワードの厳格管理(無断でログインさせない)
- 利便性と安全性のバランスを保った対応(ある程度社員の要望に応える姿勢を見せる)
シャドーITは会社にとってリスクがあります。とはいえ、多様な働き方に対応する必要もあるため、従来の会社支給端末等の管理手順の見直し等柔軟な対応も必要かもしれません。
