Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
シャドーITとは、組織の経営層やシステム管理部門の許可を得ず、従業員が自己判断で業務に導入した、PCやスマートフォン等のデバイス・アプリケーション・クラウドサービスなどを指す言葉です。
テレワークが推進され働き方が多様化した昨今、社内で業務を行う機会が増加したことから、シャドーITの利用と、それに伴うセキュリティ事故が増加しています。
この記事では、今話題の「シャドーIT」の脅威と、組織が取り組むべき対策について、初心者にもわかりやすくご説明します。
▼本記事を要約すると
- シャドーITとは、組織のシステム管理部門の管理・許可を経ず、個人が自主的に導入・使用するデバイスやソフトウェアのこと。
- シャドーITの「例」として、個人所有のデバイスやフリーメール、クラウドストレージ、フリーWi-Fiの利用などが該当する。
- シャドーITは、内部不正や情報漏洩のリスクがある視
- BYODとは「業務に私用デバイスを使用すること」であり、企業の許可を得ている点でシャドーITと異なる。
- シャドーITのセキュリティ対策には「IT資産管理ツール」や「CASB」の導入、従業員へのセキュリティ教育やポリシー策定などがある
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
シャドーITとは
システム管理部門に管理・把握されておらず、各部門や個人の独自判断で業務利用されているPCやスマートフォン・サービスなどを「シャドーIT」と呼びます。
例えば、従業員が個人的にクラウドストレージを使用して業務データを共有する、あるいは非公式のチャットツールで社外とやり取りする場合などが、シャドーITに該当します。
シャドーITは、管理部門の目が行き届かず、組織が定めたセキュリティポリシーも順守されないため、しばしば情報漏洩や不正アクセス、マルウェア感染といったセキュリティリスクの原因となります。
テレワークの推進により、社内ネットワークに限らない働き方が一般化されたことで、シャドーITの活用がますます助長されています。というのも、テレワークでは従業員が自宅や外出先で業務を行うため、企業が管理・承認していないIT機器やサービスを利用する機会が、必然的に多くなるためです。
シャドーITの具体例
シャドーITの具体例としては、以下の様なものがあります。
- 「私用のパソコンやスマートフォン」を業務で使用する
- 「GmailやYahoo!メールなど、フリーのメールアドレス」を業務で使用する
- 「LINEや Slack など、会社が承認していないチャットサービス」を業務で使用する
- 「Google DriveやDropboxなど、会社が承認していないクラウドストレージサービス」を業務で使用する
- フリーWi-Fi や無線LANを活用する
フリーWi-Fi や無線LAN は、会社のネットワークに比べ、暗号化などのセキュリティレベルが低いケースが多く、中間者攻撃などの標的になりやすい性質があります。
また上記の項目からわかるように、シャドーITの多くは悪意なく、業務の円滑化を目的として取り入れられるケースが大半です。そのため、シャドーITを無くすためには、従業員のリテラシー教育や社内ポリシーの定着が欠かせません。
シャドーITとBYODの関係性
シャドーITとよく比較される概念に、「BYOD(読み:ビーワイオーディ)」があります。 Bring Your Own Device の略称で、従業員が個人所有しているデバイスを、システム管理部門の管理下で業務に活用することを指します。
企業が把握できないシャドーITに対し、BYODは企業の許可を得て、私用端末を利用する点に明確な違いがあります。
| シャドーIT | 企業が承認していない端末やサービスを、業務利用すること。 |
|---|---|
| BYOD | 社員の私用端末や個人利用サービスを、企業の承認を得て業務利用すること |
セキュリティ面のリスクからBYODの導入に消極的な企業が多い一方、うまく管理や制限を取り入れることで、業務の効率化や働き方の柔軟性があがるといったメリットが期待できます。
シャドーITは「内部不正による情報漏洩」の大きな要因に
シャドーITはセキュリティインシデントの中でも、企業や組織の関係者が機密情報や情報資産を不正に扱い、情報漏洩などに発展する「内部不正」の要因として、そのリスクが注目されています。
シャドーITによる「内部不正」のリスクとして、以下の様な事例が想定されます。
- 離職する職員がシャドーITを利用し、転職先に情報を持ち出し・流用する。
- シャドーITにて、競合他社に機密情報を横流しする
「内部不正」の危険性は国内的にも重大視されており、I独立行政法人情報処理推進機構(IPA)が選出する「情報セキュリティ10大脅威 2023」の組織編でも、第4位に「内部不正による情報漏洩」がランクインしています。
内部不正行為は、組織の社会的信用の失墜や損害賠償といった被害に発展する可能性もあります。組織はその要因の1つとなる「シャドーIT」を管理し、不正行為のリスク低減に努める必要があるでしょう。また、従業員への注意喚起を行い、1人1人の危機意識を定着させる働きかけも重要です。
シャドーITが発生する原因とは?
先述のとおり「シャドーITが発生する原因」の大半は、従業員の明確な悪意によるものではありません。
なぜシャドーITが慢性化してしまうのか、主な理由は「従業員のリテラシー不足」「業務の効率化」「組織の黙認」の3点です。
1.従業員のリテラシー不足
1つ目の原因は「セキュリティへのリテラシーが未熟な従業員が、リスクや問題点を深く考えずに私物を業務に利用してしまうこと」です。
- シャドーITを行うことで「どういったリスクがあるか」想像できていない
- 「そもそもシャドーITの利用が悪い」と判断できていない
等のケースがあります。対策案としては、従業員へのリテラシー教育と、・ルール違反への罰則を明確にし、従業員のセキュリティ意識を高めることが必要です。
2.業務遂行・効率化のため
2つ目の原因として「円滑な業務遂行のため、シャドーITを従業員の独断で取り入れている」ケースが挙げられます。
例えば、外出先や自宅で、社用のスマートフォンやPCを使用できないとき「私用スマホから、会社のフォルダへアクセスする」「自宅のPCから取引先へメールを送る」などが該当します。
3.組織の黙認
3つ目のシャドーITの原因として「組織自体が、従業員のシャドーIT利用を黙認している」場合もあります。テレワークの急速な普及により、セキュリティ環境が整っていないまま、プライベート端末や従業員個人の利用サービスを業務利用を認めてしまっているケースが、これに該当します。
少し古いデータですが、2021年の独立行政法人情報処理推進機構(IPA)によれば「(コロナ禍等の影響により)会社が許可していないアプリケーションやサービスの業務利用を一時的に『やむを得ず』認め、現在も認めている組織」が、テレワークが普及した後も、一定数存在していることが報告されています。
▼会社が未許可の「アプリケーション・ソフトウェア・クラウドサービス」の業務利用率
出典:IPA (独立行政法人情報処理推進機構)│ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査 (2021年4月7日)
本来、企業組織はシャドーITによるセキュリティのリスクを踏まえ、ポリシーの策定や従業員への注意喚起を、率先して取り組まなければなりません。しかし実際には、多くの企業が「シャドーITの取り締まり」をはじめ、社内規定やルールの改訂・遵守確認などを行えていないのが現実です。
シャドーITで想定される、セキュリティリスク
1.個人・機密情報の漏洩
2.マルウェア感染と拡大
3.アカウントの乗っ取り・悪用
それぞれの詳細をご説明します。
1.個人・機密情報の漏洩
シャドーITにおけるもっとも代表的なセキュリティリスクとして「個人や組織の機密情報における漏洩・窃取」があります。組織管理の行き届かない端末・サービスは、しばしばセキュリティの設定や情報管理が不十分のため、漏洩や流出の被害に発展してしまうためです。
▼シャドーITによる「情報漏洩」の例
- クラウドサービスの管理設定が甘く、第三者による不正アクセスで情報が窃取される
- セキュリティの脆弱な公共Wi-Fiの利用で、通信データが第三者に盗み見られる
- 会社情報の入った私物端末を紛失し、第三者に中身を見られてしまう
機密情報の漏洩は、損害賠償事件や企業の信用問題など、組織の将来に大きく関与する重大なインシデントです。
2.マルウェア感染と拡大
シャドーITにより、組織のネットワークやシステムに、マルウェア感染の被害を及ぼす可能性もあります。
例えば、アンチウイルスソフトなどが未導入の私用スマホがマルウェアに感染し、その端末で会社のネットワークへと接続した場合、マルウェアの感染被害が拡大してしまいます。
組織のネットワークがマルウェアへ感染することで、攻撃者の不正アクセスを招いたり、内部データが窃取・改ざんされたり、といった被害が生まれます。
3.アカウントの乗っ取り・悪用
セキュリティや認証設定の脆弱なシャドーITは、IDやパスワードを盗まれやすく「アカウントの乗っ取り」被害に遭いやすい特徴があります。
アカウントが不正利用されることで
- SNSの乗っ取りによる、不適切な情報発信(嘘の情報・誹謗中傷など)
- ECアカウントの勝手な利用・申し込み
- オンラインバンキングでの不正送金
等に悪用されるリスクが想定されるでしょう。
このように「シャドーIT」の存在は、組織においてセキュリティインシデントの重大な因子となり得ます。すべてのIT資産やサービス利用は「インシデントのリスクがある」ことを前提に、シャドーITの存在を無くすよう、体制を整えることが重要でしょう。
シャドーITを取り締まるには、従業員の「操作ログ」や「利用履歴」を管理することが効果的です(詳しくは、以下の章の中で説明します。)
シャドーITリスクのある5つのサービス
続いて、シャドーITとなりうる「サービス例」をご紹介します。無意識のうちに自身や従業員が使用しているものがないか、改めてチェックしてみてください。
1.クラウドサービス
2.チャットツール
3.フリーメール
4.無線LAN・公共Wi-Fi
5.私用端末
1.クラウドサービス
組織のネットワークに関与せず、インターネットがあればどこからでもアクセス可能な「クラウドサービス」は、便利な一方 ”シャドーITになりやすい” という特徴があります。
具体的な使用例として
- 会社のクラウドサービスに、個人利用のアカウントでアクセスする
- 業務使用するファイルを、個人アカウントので保存したり外部共有したりする
等が想定されます。またクラウドサービスの例としては「Google ドライブ」や「 Microsoft 365 」「box」などが該当します。
2.チャットツール
個人で登録したチャットツールやSNSのDMを使って、業務連絡やファイルのやり取りなどを行うことで、シャドーITとなってしまいます。
- 社内チャットは「Slack」だが、お客様がSlackでなく「チャットワーク」を使っていたため、個人でチャットワークのアカウントを開設し、利用する
- 業務時間外に、個人LINEから同僚へ仕事の連絡を送る
等の例が該当します。
3.フリーメール
チャットツール同様、個人で登録したフリーメールアドレスを使って、業務連絡やファイルのやり取りなどを行うことは、シャドーIT利用となります。
フリーメールの例として「Gmail」や「Yahoo!メール」などが該当します。
4.無線LAN・公共Wi-Fi
会社が管理していない「無線LAN」や「公共Wi-Fi」を使うことも、シャドーITに該当します。
使用例としては
- 利用許可なく、自宅の無線LANを使用する
- 外出先で、駅やカフェの公共Wi-Fiを使用する
ことなどが挙げられます。
5.私用端末
先述した、BYODのポリシーや会社の許可が無いにもかかわらず、従業員が私用のスマートフォンや PC を業務的に使用する場合、シャドーITとなります。
- 業務時間以外、社用PCが使えないため、休日に私用PCで仕事をする
- 移動中、資料を確認したいため、私用スマートフォンから会社のファイルを開き、閲覧する
< これらの行為は一見、問題無さそうですが、どれもシャドーITに該当します。私用端末を仕事で使用する際は、必ず事前に会社承認の取得を行いましょう。
シャドーITによる被害事例
「シャドーIT」を原因に、大規模なセキュリティ事故に発展した被害事例は、国内でも後を絶ちません。
今回はその中から、2022年以降に起きた被害事例を2つご紹介します。
1. 市民46万人分の情報が入ったUSBメモリを紛失した事例
| 企業 | 同市の委託先業者 |
|---|---|
| 被害時期 | 2022年6月 |
| 対象となるシャドーIT | USBメモリ |
| 被害内容 | 市の業務委託先事業者の職員が、市民の個人情報を無断記録したUSBメモリを自宅へ持ち帰り、帰宅中に紛失。約46万人分の個人情報が漏洩するリスクが発生した。 |
セキュリティ面のリスクからBYODの導入に消極的な企業が多い一方、うまく管理や制限を取り入れることで、業務の効率化や働き方の柔軟性があがるといったメリットが期待できます。
2022年6月、関西圏のとある市では、業務委託先業者の不正行為により、住民基本台帳に記録した市民情報46万517人分が、漏洩するリスクに見舞われました。
市が「臨時給付金支給」の管理を委託していた事業所スタッフは、作業のため、必要な市民の個人情報をUSBメモリーへ無断で転送。市や事業所への許可なく、市政情報センターから、個人情報の入ったUEBを持ち出しました。
しかし社員は帰宅時に飲食店へ立ち寄り、当該のUSBメモリーを入れていたかばんを紛失。その後、かばんを発見できなかったため、警察に遺失物届を提出し、事件が発覚しました。
最終的にUSBメモリ内の情報は暗号化していたため、漏洩には至らなかったものの「組織の許可なく私用のUSBメモリーを使用し、機密情報の持ち出しを行った」という、委託先のシャドーIT利用が原因で発生した、セキュリティ事故の代表的な事例です。
2. 教員が無断で私用PCを利用、生徒の個人情報が流出した可能性
| 企業 | 県立高校 |
|---|---|
| 被害時期 | 2022年10月 |
| 対象となるシャドーIT | 私用パソコン |
| 被害内容 | 私用パソコンを学校業務のため無断使用していたところ、遠隔操作を受け、部員23名の個人情報漏洩などの可能性 |
2022年10月、県立高校の教員が私用パソコンを無断で業務へ利用し、攻撃者に遠隔操作を受けた被害事例です。
教師が自宅で定期テストの問題を作成していたところ、「ウイルスに感染した」というメッセージが表示。慌てて表示された連絡先に電話したところ、金銭の支払いを要求されたため、教師は支払いに応じたとのことです。
結果的に教師のパソコンは感染に至っていなかったものの、私用パソコンには運動部員23名個人情報も記録されており、漏洩の可能性も示唆されました。学校長の許可を得ず業務データを私用端末に移す行為は、同県のセキュリティ基準にも反していたため、教諭は適切な処分を受けたとのことです。
こちらもシャドーITの利用が、セキュリティインシデントに発展した事例の1つです。
シャドーITに有効なセキュリティ対策
シャドーITの防止に有効なセキュリティ対策として、以下のような例が挙げられます。
1.IT資産管理ツールによるログ管理
2.CASBによるクラウドサービス管理
3.社内ポリシー策定と従業員教育(私物端末の禁止など)
それぞれ説明します。
1.IT資産管理ツールによる端末・ログ管理
シャドーITへの有効な対策1つ目は「IT資産管理ツールによる端末・ログの取得管理」です。
IT資産管理ツールは、ネットワークに接続された、組織内のIT資産(PCやスマホ等)全ての「使用状況」「インストールされているソフトウェア」を洗い出せるため、「許可されていないデバイスやアプリケーション = シャドーITの検出」が可能です。
また、資産管理ツールより従業員の操作ログを取得することで、不正なファイル共有や持ち出しなど、違反行動を取り締まり、インシデント発生前に抑止することもできます。
その他、USBメモリや外付けHDDなどの外部メディアの接続を検知し、未許可のメディアを使用禁止にする等の対応も可能です。
2.CASBによるクラウドサービス管理
シャドーITへの有効な対策2つ目は「CASBによるクラウドサービス管理」です。
CASBとは「Cloud Access Security Broker」の略称で、クラウドサービスの利用状況を可視化し、組織のセキュリティポリシーを適用するサービスです。CASBはクラウドサービスと端末の中間に配置され、クラウドサービスの利用状況を把握するのに大きな効果があります。
「誰が」「いつ」「どのデバイスで」クラウドを利用したかや、接続したクラウドサービスが組織のコンプライアンスに適合しているか、データの漏洩に繋がる操作が行なわれていないか、などの監視も可能です。
3.ポリシー策定と従業員教育(私物端末の禁止など)
シャドーITへの対策、3つ目は「セキュリティに関するポリシー策定と従業員教育」です。
セキュリティポリシーとは、組織内がセキュリティ対策の方針や行動指針を明らかにした文書を指します。シャドーITを防ぐため、まずは従業員が順守すべきポリシーを策定し、研修などを通じて周知・定着を図ることが重要です。
また、組織に無断でデバイスやサービスを用いることが、どのように組織のセキュリティへ影響するか、従業員のリテラシー教育を行うこともシャドーITへの対策として欠かせません。
さらに、シャドーITが用いられる要因の1つに、業務上必要なデバイスやサービスが十分に揃っていないことが挙げられます。組織は業務を遂行する上で必要なツール・アプリケーションの適切な選定を行い、従業員からのツール導入の要望へ柔軟に対応する姿勢が求められます。
シャドーIT対策なら、IT資産管理ツール「LANSCOPE エンドポイントマネージャー」にお任せ
企業・組織の「シャドーIT対策」であれば、組織のPC・スマホを一元管理できる「LANSCOPE エンドポイントマネージャー クラウド版」がおすすめです。
先述の通り、シャドーITの使用を防止するには、管理者が不正利用の端末やサービスを適切に把握し、従業員に注意を促せる体制づくりが必要です。LANSCOPE エンドポイントマネージャーであれば「IT資産管理管理」機能により、未承認の端末やアプリケーションを見える化し、不正利用の取り締まりを簡単に行えます。
また「操作ログ」機能により、アプリ利用やWebサイトの閲覧、ファイル操作、Wi-Fi接続 において「どのPCで」「誰が」「いつ」「どんな操作をしたか」なの利用状況をすべて把握できるため、シャドーITの検出はもちろん、シャドーITによる不正操作の内容も確認することが可能です。
まとめ
本記事では、組織の情報漏洩や内部不正といったセキュリティリスクの要因となりうる「シャドーIT」をテーマに、その危険性や対策について解説しました。
▼本記事のまとめ
- シャドーITとは、組織のシステム管理部門が把握していない(無許可の)、個人が独自に業務利用するIT資産( PCやスマートフォン・クラウドサービスなど)を指す。
- 具体例として、個人所有のデバイスやフリーメール、未承認のチャットサービスやクラウドストレージ、フリーWi-Fiの利用などが該当。情報漏洩や不正アクセスの原因が、懸念視されている。
- BYODとは従業員が私用デバイスを業務で利用することを侵害し、企業の許可を得ている点でシャドーITとは異なる。
- シャドーITに有効なセキュリティ対策として「IT資産管理ツール」や「CASB」の導入、従業員へのセキュリティ教育やポリシー策定などがある。
シャドーITは、情報漏洩のリスクを増加させる、ルールを逸脱した問題行為です。それを防ぐためには、適切なセキュリティ対策を施した環境で、従業員が十分なリテラシーを持ちながら業務を遂行することが大切です。
また、シャドーITをはじめ組織のルールを整備・改善するためには多くの工数が必要ですが、情報漏洩をはじめとするセキュリティ事故を防ぐことは、結果的に組織はもちろん働く従業員を守り、会社の成長を後押しすることに繋がります。
ぜひ本記事をきっかけに、現在の「シャドーITへの取り組み・社内ルール」を見直してみてはいかがでしょうか?IPAが選出した、2023年度の「情報セキュリティ10大脅威」の詳細と、各脅威への対策案をまとめた以下の資料も、ぜひご活用ください。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
