シャドーITとは、会社の許可を得ずに、従業員が自己判断で業務に導入した、デバイス・アプリケーション・クラウドサービスなどを指す言葉です。

シャドーITを放置してしまうと、情報漏洩やアカウント乗っ取り、また、マルウェア感染などのセキュリティリスクが引き起こされる恐れがあります。

そのため、企業側は、シャドーITの発生を防ぐために、従業員へのセキュリティ教育を実施したり、IT資産管理ツールの導入をしたりといった適切な対策が求められます。

本記事では、シャドーITについて、概要やセキュリティリスク、発生を防ぐ方法などをわかりやすく解説します。

また、シャドーIT対策に有効な IT資産管理・MDM「LANSCOPE エンドポイントマネージャークラウド版」についてもあわせて紹介しているので、ぜひ確認ください。

シャドーITとは

シャドーITとは、会社の許可を得ずに、従業員が自己判断で業務に導入した、デバイス・アプリケーション・クラウドサービスなどを指す言葉です。

シャドーITの具体例としては、以下が挙げられます。

例に挙げた通り、無料で利用できるものは、従業員が個人で気軽に導入しやすく、シャドーITになりやすい傾向があります。

しかし、会社に承認されていないツールやシステムを業務利用すると、情報漏洩やアカウント乗っ取り、マルウェア感染などのリスクが引き起こされる恐れがあります。

企業側は、シャドーITのリスクを正しく把握し、社内で発生しないように適切に対策する必要があります。

なぜシャドーITが発生するのか、どのように対策するべきなのかを詳しく確認していきましょう。

シャドーITとBYODの違い

シャドーITと比較されやすい言葉として、「BYOD（ビーワイオーディ）」が挙げられます。

BYODは、Bring Your Own Device の略称で、従業員が個人所有しているデバイスを、システム管理部門の管理下で業務に活用することを指します。

一方でシャドーITは、企業のシステム管理部門の許可を得ずに従業員が独自に導入・使用するデバイスやソフトウェアを指します。

シャドーIT	企業が承認していない端末やサービスを、業務利用すること
BYOD	社員の私用端末や個人利用サービスを、企業の承認を得て業務利用すること

企業から承認を得ていないデバイスやサービスを業務に利用してしまうと、情報漏洩やアカウント乗っ取り、悪用などのセキュリティリスクが発生する恐れがあります。

たとえば、従業員が個人的に利用しているクラウドストレージやチャットツールを業務に使用することで、機密情報が漏洩するリスクが高まるでしょう。

また、企業のセキュリティポリシーに従っていないサービスでは、マルウェア感染や不正アクセスのリスクも高まります。

一方でBYODは、企業の承認を得ている私用デバイスのため、セキュリティリスクを低減した状態で、安全に業務利用することができます。

従業員の私用デバイスを用いるという点で、セキュリティ面に懸念を抱き、BYODの導入に消極的な企業が多いですが、MDMやCASBなどを利用して、うまく管理や制限を取り入れることで、セキュリティリスクを最小限に抑えつつ、業務の効率化や柔軟な働き方を実現できるようになります。

BYODについてより詳しく知りたい方は、下記の記事をあわせてご確認ください。

シャドーITが広まった背景

シャドーITが拡大した要因として、以下が想定されます。

シャドーITが拡大した背景として、テレワークの普及が挙げられます。

新型コロナウイルス感染症の影響で、多くの企業がリモートワークを導入し、オフィスではなく自宅で業務をおこなう機会が増えました。

この結果、同僚と隣り合って仕事をする機会や上司と対面でやりとりする機会が減少し、企業が管理・承認していないIT機器やサービスを気軽に使いやすくなり、シャドーITが拡大しました。

また、個人向けツールの高機能化と無料化もシャドーITの拡大に寄与しています。

たとえば、Google DriveやDropboxなどのクラウドストレージサービス、SlackやLINEなどのチャットツールは、無料で利用できる上に高機能であるため、従業員が業務効率化のために個人的に利用する機会が増えています。

無料で使えるサービスやツールは、導入ハードルが低く、個人でも使いやすいため、企業のシステム管理部門が把握していないサービスやツールが業務に利用されるリスクを高めています。

さらに、企業のIT部門が提供するツールやサービスが従業員のニーズにマッチしていないことも、シャドーITが増える原因です。

たとえば、企業が提供するメールサービスが使いにくい場合、個人的に使い慣れたGmailやYahoo!メールなどを業務利用してしまうケースがあるでしょう。

企業のIT部門が従業員のニーズを十分に理解していないと、シャドーITが拡大するリスクがあります。

また、従業員のセキュリティリテラシーの不足も、シャドーITの拡大に大きく影響しています。

多くの従業員は、シャドーITがもたらすセキュリティリスクを十分に理解していないため、無意識のうちにリスクの高い行動をとってしまいます。

たとえば、公共Wi-Fiを利用して業務データにアクセスしたり、個人的なクラウドストレージに機密情報を保存したりなどが挙げられます。

このように、シャドーITが広まった背景には、テレワークの普及、個人向けツールの高機能化・無料化、企業のIT部門の対応不足、セキュリティリテラシーの不足などが挙げられます。

企業がシャドーITの発生・拡大を防ぐためには、シャドーITが発生する要因を正しく把握し、適切な対策を講じる必要があります。

シャドーITのセキュリティリスク

シャドーITが引き起こす恐れがあるセキュリティリスクを紹介します。

具体的にどのようなセキュリティリスクが想定されるのか詳しく確認していきましょう。

個人・機密情報の漏洩

シャドーITが引き起こす代表的なセキュリティリスクとして、個人情報や機密情報の漏洩・窃取が挙げられます。

企業の承認を得ずに利用しているデバイスやサービスは、担当部門によって管理されていないため、セキュリティの設定や情報管理が不十分なケースが多く、情報漏洩や流出の被害に発展しやすいです。

シャドーITによる情報漏洩の具体例としては以下が挙げられます。

シャドーITがもたらす被害の中でも「内部不正による情報漏洩」の危険性は、昨今問題視されています。

独立行政法人情報処理推進機構（IPA）が選出する「情報セキュリティ10大脅威」においても過去5年以上のランクインが続いており、 2025年の組織編でも、第4位にランクインしています。

出典： 情報セキュリティ10大脅威 2025 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

内部不正行為は、組織の社会的信用の失墜や損害賠償といった被害に発展する可能性もある重大な問題です。

マルウェア感染と拡大

社内でシャドーITが発生すると、組織のネットワークやシステムに、マルウェア感染の被害が及ぶ恐れがあります。

たとえば、アンチウイルスソフトなどが未導入の私用スマホがマルウェアに感染し、その感染デバイスで会社のネットワークへ接続した場合、マルウェアの感染被害が拡大してしまう可能性があるでしょう。

また、組織のネットワークがマルウェアへ感染することで、攻撃者の不正アクセスを招いたり、内部データが窃取・改ざんされたりといった被害も生まれかねません。

アカウントの乗っ取り・悪用

セキュリティや認証設定の脆弱なシャドーITは、IDやパスワードを盗まれやすく、アカウントの乗っ取り被害に遭いやすい特徴があります。

アカウントが不正利用されてしまうと、以下のようなリスクが発生します。

このように「シャドーIT」の存在は、組織においてセキュリティインシデントの重大な因子となり得ます。

企業側は、すべてのIT資産やサービス利用は「インシデントのリスクがある」ことを前提に、シャドーITの存在を無くすような体制を整えることが重要です。

シャドーITをなくすためにも、なぜシャドーITが発生するのかの原因を詳しく確認していきましょう。

シャドーITが発生する原因

シャドーITの発生を防ぐためには、なぜシャドーITが発生するのかの原因を正しく把握し、適切に対処することが必要があります。

本記事では、シャドーITが発生する主な原因を3つ解説します。

詳しく確認していきましょう。

1．従業員のリテラシーが不足しているため

セキュリティリテラシーが未熟な従業員は、シャドーITのリスクや問題点を深く考えずに、私用デバイスや未許可のサービスを業務に利用してしまうケースがあります。
また、シャドーITの利用が悪いという認識がなく、おこなっているケースもあるでしょう。
企業側は、従業員への情報セキュリティ教育を実施したり、ルール違反への罰則を明確にしたりなど、従業員のセキュリティ意識の向上を目指す必要があります。

業務遂行・効率化のため

円滑な業務遂行を目指すために、従業員の独断でツールやサービスを活用したり、私用デバイスを活用したりなどで、シャドーITとなっているケースもあります。

たとえば、外出先や自宅で、社用のスマートフォンやPCを使用できないとき「私用スマホから、会社のフォルダへアクセスする」「自宅のPCから取引先へメールを送る」などが該当します。

また、業務効率化を目指せるツールが無料で使える場合、問題視せずに使ってしまっているケースもあるでしょう。

組織が黙認しているため

企業・組織が従業員のシャドーIT利用を黙認しているケースもあります。

テレワークの急速な普及により、セキュリティ環境が整っていないまま、新しい働き方へ移行した企業は多く、その中で組織の管理下にないデバイスやサービスの利用を黙認してしまっているケースがあります。

2021年に独立行政法人情報処理推進機構（IPA）が実施した調査によると、「（コロナ禍等の影響により）会社が許可していないアプリケーションやサービスの業務利用を一時的に『やむを得ず』認め、現在も認めている組織」が、テレワークが普及した後も、一定数存在していることが報告されています。

▼会社が未許可の「アプリケーション・ソフトウェア・クラウドサービス」の業務利用率

出典：IPA （独立行政法人情報処理推進機構）│ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査 （2021年4月7日）

本来、企業・組織はシャドーITによるセキュリティのリスクを踏まえ、ポリシーの策定や従業員への注意喚起を、率先して取り組まなければなりません。

しかし実際には、多くの企業が、シャドーITの取り締まりをはじめ、社内規定やルールの改訂・遵守確認などをおこなえていないのが現実です。

シャドーITが発生しやすいサービス

シャドーITが発生しやすいサービスの例を紹介します。

無料であったり、プライベートで使っていたりするサービスは、シャドーITの意識がなく、使ってしまっているケースもあります。

無意識のうちに使用しているものがないか、改めて確認していきましょう。

1．クラウドサービス

インターネットがあればどこからでもアクセス可能なクラウドサービスは、便利な一方で、シャドーITになりやすいという特徴があります。

クラウドサービスの例としては、Google ドライブや Microsoft 365 、boxなどが挙げられ、具体的なシャドーITの例としては、以下が挙げられます。

2．チャットツール

個人で登録したチャットツールやSNSを使って、業務連絡やファイルのやり取りすることも、シャドーITに該当します。

たとえば、社内で利用しているチャットツールとは異なるチャットツールを利用しているお客様に合わせて個人でアカウントを開設することも、シャドーITに該当するため、注意が必要です。

また、個人SNSから同僚に業務連絡することもシャドーITに該当します。

チャットツールやSNSが発達する昨今、気軽に個人で登録してしまったり、連絡をしてしまったりするケースがあります。

企業に許可を得ていないツールやサービスの利用はシャドーITに該当することを改めて認識するようにしましょう。

3．フリーメール

チャットツールと同様に、個人で登録したフリーメールアドレスを使って、業務連絡やファイルのやり取りなどをおこなうことは、シャドーITに該当します。

フリーメールの例として、「Gmail」や「Yahoo!メール」などが該当します。

プライベートで利用しているアカウントで、同僚や取引先に連絡をしたり、ファイルを送信したりすることは避けましょう。

4．無線LAN・公共Wi-Fi

会社が管理していない「無線LAN」や「公共Wi-Fi」を使うことも、シャドーITに該当します。

たとえば、以下の行為がシャドーITに該当します。

テレワークやリモートワークが増え、社内ネットワーク以外で業務をする機会も増えています。

思わぬところから情報漏洩したり、マルウェアに感染したりする事態を防ぐためにも、適切なセキュリティ対策・意識が求められます。

5．私用デバイス

BYODのポリシーや会社の許可が無いにもかかわらず、従業員が私用のスマートフォンやPCを業務的に使用することは、シャドーITに該当します。

たとえば、以下の行為がシャドーITになり得ます。

これらの行為は一見、問題無いように見受けられますが、どちらもシャドーITに該当します。

私用デバイスを業務利用する場合は、必ず事前に会社から承認を得るようにしましょう。

シャドーITが原因で起こったインシデント事例

シャドーITが原因で起こったインシデント事例を3つ紹介します。
セキュリティリスクを意識せずにシャドーITをおこなってしまうと、どのようなインシデントが発生するのリスクがあるのか、改めて確認していきいましょう。

市民46万人分の情報が入ったUSBメモリを紛失した事例

2022年6月、関西圏のとある市では、業務委託先業者の不正行為により、住民基本台帳に記録した市民情報46万517人分が漏洩する事態が発生しました。

同市が「臨時給付金支給」の管理を委託していた事業所スタッフは、作業のために必要な市民の個人情報をUSBメモリへ無断で転送し、許可なくこのUSBを持ち出しました。

このスタッフは、帰宅時に飲食店へ立ち寄り、当該のUSBメモリを入れていたかばんを紛失、その後、かばんを発見できなかったため、警察に遺失物届を提出し、事件が発覚しました。

企業	同市の委託先業者
被害時期	2022年6月
対象となるシャドーIT	USBメモリ
被害内容	市の業務委託先事業者の職員が、市民の個人情報を無断記録したUSBメモリを自宅へ持ち帰り、帰宅中に紛失。約46万人分の個人情報が漏洩するリスクが発生した。

最終的にUSBメモリ内の情報は暗号化していたため、漏洩には至らなかったものの「組織の許可なく私用のUSBメモリを使用し、機密情報の持ち出しをおこなった」という、委託先のシャドーIT利用が原因で発生した、セキュリティ事故の代表的な事例です。

無断で私用PCを業務利用し、遠隔操作を受けた事例

2022年10月、県立高校の教員が私用PCを業務へ利用し、攻撃者に遠隔操作を受けた被害事例が報告されています。

当該教員が定期テストの問題を自宅で作成していた際、PC画面に「ウイルスに感染した」という警告が表示されました。

表示された連絡先に電話したところ、金銭の支払いを要求され、その要求に応じてしまいました。

結果としてPCはウイルスに感染していなかったものの、PCに保存されていた運動部員23名の個人情報が漏洩した可能性が示唆されました。

所属組織の許可を得ずに業務データを私用デバイスに移す行為は、同県のセキュリティ基準にも反していたため、当該教員は適切な処分を受けたとのことです。

企業	県立高校
被害時期	2022年10月
対象となるシャドーIT	私用パソコン
被害内容	私用パソコンを学校業務のため無断使用していたところ、遠隔操作を受け、部員23名の個人情報漏洩などの可能性

顧客情報を不正に持ち出した事例

2023年3月、大手通信企業の業務委託先企業の元派遣社員が、顧客の個人情報を不正に持ち出した事案が報告されました。

元派遣社員は、業務で使用していたPCから、個人として契約する外部ストレージにアクセスし、顧客の個人情報を持ち出しました。

元派遣社員が使用していたPCから、業務で必要のない外部通信が発生したことがネットワーク監視によって検知され、その後のログ確認やヒアリングで、事件が発覚しました。

結果として、外部ストレージへの第三者によるアクセスや、持ち出された個人情報が不正利用された形跡はなく、直接的な被害はありませんでした。

企業	大手通信企業の業務委託先企業
被害時期	2023年3月
対象となるシャドーIT	外部ストレージ
被害内容	大手通信企業の業務委託先企業の元派遣社員が業務パソコンから外部ストレージへ顧客の個人情報を不正に持ち出した。約596万件の個人情報が不正利用されるリスクが発生した。

シャドーITに有効なセキュリティ対策

最後にシャドーITの防止に有効なセキュリティ対策を4つ紹介します。

社内でシャドーITが発生すると、情報漏洩やアカウント乗っ取り、マルウェア感染など、企業の経営を脅かす事態に発展しかねません。

リスクを正しく把握し、適切な対処を講じる必要があります。

1．IT資産管理ツールによる端末・ログ管理

IT資産管理ツールを導入し、デバイス・ログ管理を実施することが、シャドーIT対策となります。

IT資産管理ツールを導入すると、社内ネットワークに接続されたPCやスマートフォンなどのIT資産に関する情報を洗い出し、管理することが可能です。

たとえば、PCやスマートフォンの利用状況やソフトウェアのインストール情報などが検知できるため、許可されていないデバイスやアプリケーションが使用されていないかを確認することが可能です。

また、従業員の操作ログを取得することで、不正なファイル共有や持ち出しなど、違反行動を取り締まり、インシデント発生前に抑止することもできます。

そのほかにも、USBメモリや外付けHDDなどの外部メディアの接続を検知し、未許可のメディアを使用禁止にする等の対応も可能です。

エムオーテックス株式会社（以下、MOTEX）が提供するIT資産管理・MDMツール「 LANSCOPEエンドポイントマネージャー クラウド版」の詳細については後述します。

2．MDMの導入による管理強化

「MDM」とは、Mobile Device Managementの略称で、日本語では「モバイルデバイス管理」と呼びます。

MDMは、従業員用のスマートフォンやタブレットなどのモバイルデバイスを一括操作し、セキュリティ対策をするために取り入れられるデバイス管理システムです。

MDMでは、インストールできるアプリを制御することが可能なため、管理者が把握していないアプリがインストールされることを防ぐことができます。

また、MDMのログ管理機能を活用すれば、従業員が使用しているデバイスの利用状況（電話の発着信、アプリの利用時間など）を把握することも可能です。

前述した「IT資産管理ツール」と機能が似ていますが、IT資産ツールはPCの管理に、MDMはモバイルデバイスの管理に特化している点で異なります。

MOTEXが提供する「LANSCOPEエンドポイントマネージャー クラウド版」は、 PC管理とモバイル管理が1つに集約されたツールです。

デバイス管理の効率化・強化を目指す企業・組織の方は、ぜひ活用をご検討ください。

3．CASBによるクラウドサービス管理

CASBを活用してクラウドサービスを管理することも、シャドーITの防止に効果的です。

CASBとは「Cloud Access Security Broker」の略称で、クラウドサービスの利用状況を可視化し、組織のセキュリティポリシーを適用するサービスです。

CASBはクラウドサービスと端末の中間に配置され、クラウドサービスの利用状況を把握するのに大きな効果があります。

「誰が」「いつ」「どのデバイスで」クラウドを利用したかや、接続したクラウドサービスが組織のコンプライアンスに適合しているか、データの漏洩に繋がる操作が行なわれていないか、などの監視も可能です。

4．社内ポリシー策定と従業員教育

シャドーITの防止には、ツールやシステムの導入だけでなく、従業員のセキュリティリテラシーを向上させることも重要です。

まずは、企業・組織のセキュリティ対策の方針や行動指針を明示したセキュリティポリシーを作成しましょう。

従業員が順守すべきポリシーを策定し、研修などを通じて周知・定着を図ることで、重要性を認知させることが可能です。

また研修では、シャドーITが社内に存在することで、どのようなリスクが発生する恐れがあるのか、具体的にどのような被害が発生したことがあるのかなどを共有することで、セキュリティ意識向上の効果が期待できるでしょう。

さらに、シャドーITが発生する要因のひとつとして、業務効率化に必要なデバイスやサービスが十分に揃っていないため、個人が導入してしまうケースが挙げられます。

企業・組織の担当者は、従業員へのヒアリングなどを通して、必要なツールやサービスの導入を検討し、シャドーITの発生を防止しましょう。

シャドーIT対策にはIT資産管理・MDM「LANSCOPE エンドポイントマネージャークラウド版」

企業・組織の「シャドーIT対策」であれば、組織のPC・スマホを一元管理できる「LANSCOPE エンドポイントマネージャー クラウド版」がおすすめです。

先述の通り、シャドーITの使用を防止するには、管理者が不正利用の端末やサービスを適切に把握し、従業員に注意を促せる体制づくりが必要です。LANSCOPE エンドポイントマネージャークラウド版であれば「IT資産管理」機能により、未承認の端末やアプリケーションを見える化し、不正利用の取り締まりを簡単に行えます。

また「操作ログ」機能により、アプリ利用やWebサイトの閲覧、ファイル操作、Wi-Fi接続 において「どのPCで」「誰が」「いつ」「どんな操作をしたか」なの利用状況をすべて把握できるため、シャドーITの検出はもちろん、シャドーITによる不正操作の内容も確認することが可能です。

まとめ

本記事では「シャドーIT」をテーマに、発生する原因や想定されるリスク、防止方法などを解説しました。

テレワークやリモートワークなど、オフィス以外の場所で働く機会が増えた昨今、シャドーITは増加傾向にあり、企業・組織はそのリスクを正しく把握し、適切に対処することが求められています。

MOTEXでは、 PC・スマホをクラウドで一元管理できる「LANSCOPEエンドポイントマネージャー クラウド版」を提供しています。

シャドーITの防止やIT資産の適切な管理を目指す企業・組織の方は、ぜひ導入をご検討ください。