シャドーITとは?リスクとセキュリティ対策、導入管理すべきサービスを解説
目次
近年は多くの企業でシャドーITが重大なセキュリティリスクとして認知されており、実際にシャドーITを原因とする情報漏えい事故も多発している状況です。自社でも未許可のデバイス・サービスを使う従業員が増え、シャドーITのリスク対策が知りたいという企業担当の方もいるのではないでしょうか。
どの企業にも起こり得るシャドーITの危険性とリスクヘッジの考え方、クラウドサービスのスマートな活用方法を理解することで、セキュリティ対策と業務効率化を両立させられます。
そこでこの記事では、シャドーITの概要や対策の必要とポイント、企業が整備したいクラウドサービスについてご紹介します。
シャドーITとは?
セキュリティ事故の多くはヒューマンエラーを原因としますが、企業が関知しないシャドーITとの相性は最悪です。業務利用するデバイスやサービスには、企業によるコントロールが求められます。
テレワーク化が進んできた最近では、従業員が私物のデバイスを業務で使用することも考えられます。まずはシャドーITが自社にとって重大な脅威であることを把握しましょう。
放置すると危険なシャドーIT
シャドーITとは、企業などの組織で使われるデバイスやサービスのうち、経営層や情報システム部門の把握・管理が及んでいないものを指します。例えば、従業員が企業の許可を得ずに使用する私物デバイスや、ユーザー部門が独自に導入したクラウドサービスなどです。
シャドーITは経営層や情報システム部門が知らないうちに導入・利用されているため、マルウェア感染や情報漏えいのリスクが高く、想定外のトラフィックで通信障害が発生する恐れもあります。
なおシャドーITの対義語はサンクションIT(Sanctioned IT)です。こちらは企業が自社で契約したり、利用を許可したりしたデバイスやサービスを指します。
どの企業にも有り得るシャドーIT
シャドーITは導入時の検討やセキュリティマネジメントが不十分であり、また利用実態を把握しにくいため、企業の情報セキュリティにとって重大な脅威です。
デバイスや外部サービスの利用率は、企業を対象とした政府の統計よりも、従業員を対象とした民間シンクタンクの統計のほうが高くなる傾向にあります。つまり企業が把握しているサンクションITよりも実際の利用デバイス・サービスは多く、多数のシャドーITを含むと考えるのが妥当です。シャドーITはどの企業にも有り得ることとして対策する必要があるでしょう。
シャドーITのセキュリティリスクと対策の必要性
シャドーITは総じてサンクションIT(企業が関知するサービスやデバイス)よりセキュリティリスクが高く、情報漏えいや不正アクセス、社内LAN内でのマルウェア感染爆発などの主な原因になり得ます。シャドーITはすでに自社で蔓延している恐れもあるため、早急な対策が必須であることを把握しましょう。
ヒューマンエラーによる情報漏えい
シャドーITのセキュリティリスクとして警戒すべきもののひとつは情報漏えいです。許可なく業務利用される私物デバイスは、各種サービスを個人アカウント・社用アカウント両方で使い、プライベートとビジネス両方の連絡先を登録しています。
個人用アカウントと混同してデータの送信先を間違えてしまうと、企業から見た部外者に誤送信することになり、情報漏えい事故に直結するのは懸念すべきリスクです。特に大量の業務データを保存するクラウドストレージはヒューマンエラーのリスクが高く、利用を把握していない企業はリスク管理もできません。
アカウントの乗っ取りと不正アクセス
個人で管理するデバイスやクラウドサービスは、適切なセキュリティ対策が施されていないケースもよくあります。脆弱性を残したまま業務利用することでアカウントが乗っ取られ、デバイス・サービスの利用履歴が攻撃者に筒抜けになり、なりすましや不正な編集・ダウンロードの被害に遭うことも珍しくありません。
さらにシャドーITは企業の管理下にないため対処が遅れ、サンクションITより不正アクセスの被害が拡大しやすいことも懸念点です。
社内LAN内でのマルウェア感染爆発
サイバー攻撃が社内LANへ浸透しやすいこともシャドーITのリスクです。私物デバイスはプライベートな利用中にマルウェアに感染するリスクが高く、感染源となっていることを知らないまま業務利用することで、社内LANで感染爆発を起こすケースがあります。
私物デバイスは情報システム部門の管理外にあるため対処も遅れ、結果的に感染源がサンクションITの場合より甚大な被害をもたらすのは懸念点です。加えて脆弱性が発見されても適切に対策されず、重大なセキュリティホールを残したままになってしまいます。
シャドーITはなぜ起こる?
シャドーITは利便性の高いデバイスやサービスを安価に利用できるようになるほど自然に起こるため、そのきっかけを企業はコントロールできません。シャドーITの蔓延しやすさや対策の難しさの原因はここにあります。
急速なコンシューマライゼーションによるもの
最近では、多くのデバイスやクラウドサービスが登場しています。一般消費者向けのデバイスやサービスの発達も早く、法人向け商品に関してはそれらを後追いする形というケースも珍しくありません。そのため、企業が一般向けサービスのデバイスやサービスを導入する状況も多く、これらがシャドーITを加速させる原因とも考えられています。
また、一般消費者向けのサービスは無料、もしくは安価で利用できることや、従業員の私物デバイスが業務デバイスよりも性能が優れていることも多いでしょう。従業員はより業務を効率化させるために、より便利なデバイスやサービスを利用するという流れもシャドーITを加速させる背景でしょう。
シャドーITで利用される主なもの
シャドーITの主な例は以下の通りです。
・私物のPC・スマホやUSBメモリ
・LINEなどの一般消費者向けチャットツール
・Gmailなどのフリーメール
・iCloudなどの無料のクラウドストレージ
スマホの高性能化もあって、ビジネスの基本ツールと一般消費者向けツールの差は小さくなっています。日常的に利用するデバイスやサービスを業務に流用することは容易に想像できるでしょう。特に利便性の高いクラウドサービスはシャドーITを招きやすい傾向にあります。
シャドーITのリスクを軽減する3つのポイント
シャドーITは一種の社会現象で、そのきっかけは企業にコントロールできません。対策しなければ自社内にも自然に蔓延してしまいます。そこで重要なのは、自社内でシャドーITの必要がない状況にすることです。
ここからは、シャドーITの必要がない状況とはどのような状態なのかという点について詳しく見ていきましょう。
使いやすいサービスを企業が整備する
シャドーITが起こる原因をひと言で言えば、サンクションITが使いにくいことです。業務利用するサービスが使いにくければ、従業員は無料または安価なクラウドサービスなどを利用してしまうでしょう。サンクションITが整備されていなければシャドーITは止められません。
そこで必要な対策は、企業が業務に必要なサービスを先に整備することです。セキュリティ機能の優れた法人向け製品の中から、利便性の高いクラウドストレージやビジネスチャットなどを選定・導入しましょう。
あえてBYODを認めシャドーITを制御する
シャドーITの対策としてサービス整備とともに考えたいのは、BYOD (Bring Your Own Device)を認めることです。BYODとは、私物デバイスを持ち込んで業務利用することを指します。
シャドーITの線引きを曖昧にしたままだと、従業員は独自に使いやすいサービスを探し利用してしまい、企業も利用実態を把握できません。また、企業デバイスを全て最新のデバイスにそろえるということは、費用的に難しいことも多いでしょう。
あえてBYODを認め、ルールと管理方法を定めることで、私物デバイスの業務利用状況を企業の管理下に置けます。BYODの許可・利用に関するルールを設定し、シャドーITの抜け道をなくすことも大切です。
サービス利用の把握とポリシー策定をする
クラウドサービス利用の把握やセキュリティポリシーの策定も重要です。シャドーITが増えやすいのはクラウドサービスですが、個人アカウントだと外部からの利用実態の把握は困難でしょう。専用ツールを使えばクラウドサービスの利用状況を一元的に把握・管理できます。
またシャドーITの最大の問題はセキュリティリスクです。セキュリティポリシーを策定し、アカウントや利用範囲についてのルールを明文化しましょう。併せてセキュリティ教育を実施し、安全なデバイス・サービス利用のルールを周知徹底することも大切です。
シャドーITのセキュリティ対策に効果的なツール
シャドーITのセキュリティ対策には、クラウドサービスの利用実態を把握するCASBがよく活用されます。また、利便性が高くセキュリティ機能にも優れたクラウドサービスを整備することも必要です。特に機密情報や顧客情報に関わるサービスとして、クラウドストレージ・顧客情報管理ツール・コミュニケーションツールは導入必須といえます。
CASB
シャドーITが多いのはクラウドサービスですが、この対策にはCASB (Cloud Access Security Broker)が効果を発揮します。CASBとは、クラウドサービスの利用状況を監視・制御するツールの総称です。主な機能には以下のようなものがあります。
・クラウドサービスへのアクセスの可視化
・不正アクセスやデータ流出の阻止
・送受信データの暗号化
CASBによるクラウドサービス利用の把握と、セキュリティポリシーに基づく制御を組み合わせることで、シャドーITのセキュリティ対策ができます。
クラウドストレージ
シャドーITの防止には、企業が使いやすいクラウドストレージを標準化することは必須です。ちょっとしたデータの保存や共有に、無料のクラウドストレージを個人アカウントで利用する従業員は珍しくありません。一般消費者向けのクラウドストレージはセキュリティ機能が弱いものもある他、外部から情報の扱いを把握できないのも懸念点です。
業務データを個人アカウントで保存することによる情報漏えいリスクを排除するためにも、セキュリティ機能と使いやすさを両立させた法人用クラウドストレージを整備しましょう。
【関連記事:『ビジネスに最適のクラウドストレージのメリットは?高コスパの「Box」の魅力も解説』】
顧客情報管理ツール
顧客情報はシャドーITにより個人で管理することも少なくありません。例えば入手した名刺を担当者個人のスマホアプリのみで管理することなどが挙げられます。企業の財産ともいえる顧客情報は、個人レベルではなく企業が一元管理することで、営業活動の属人化を防げます。また、情報の確認や入力の手間の削減による業務アップも図れ、部署を越えた情報共有によって営業力も高められるでしょう。この目的に利用できるツールには、名刺管理ツールやSFA(営業支援システム)が挙げられます。
名刺情報や営業履歴などをクラウド型の名刺管理ツールやSFAで一元管理することで、顧客関連情報の漏えい防止と営業効率化の両立が可能です。情報共有を前提とした法人向けサービスを選定・導入し、従業員各自による低セキュアの情報管理を脱却しつつ、組織的な営業力を強化しましょう。
【関連記事:『SFAとは?CRMとの違いや導入のポイント、MA・名刺管理との連携を解説』】
コミュニケーションツール
従業員は業務連絡にプライベートでも使うメーラーや、独自のチャットツールを利用する場合があります。特にLINEなどの一般消費者向けのチャットツールは、プライベートと併用して利用していることも多く、宛先の間違いなども起こりやすく、情報漏えいリスクが常にあるのは懸念点です。
そこで企業がコミュニケーションツールを整備することも、シャドーITのセキュリティ対策に求められます。法人向けのビジネスチャットやWeb会議システムを整備し、利用ルールも策定・周知徹底することで、シャドーIT不要のコミュニケーションシステムを構築可能です。
【関連記事:『ビジネスチャットの比較ポイントは?メリット・注意点とツールの一本化を解説』】
シャドーITのセキュリティ対策に効くクラウドサービスはイッツコム!
イッツコムは容量無制限かつ高セキュアな法人向けクラウドストレージ「Box」、顧客関連情報を安全にクラウド管理できる「ホットプロファイル」、ビジネスチャットとWeb会議システムを一本化できる「Zoom」を提供しています。いずれも利便性とセキュリティ機能に優れ、またビジネスの基盤となるツールであるため、シャドーIT対策に最適です。
容量無制限かつ高セキュアな法人向けクラウドストレージ「Box」
多くの企業が抱えるシャドーITのリスクは、従業員が低容量かつ低セキュアの個人向けクラウドストレージで業務データを保存・共有することです。この問題は、企業が容量無制限かつ高セキュアなクラウドストレージを整備することで解決できます。
そこで導入したいのが、世界最高峰のセキュリティレベルを誇る法人向けクラウドストレージ「Box」です。全ての有料プランは容量無制限で、あらゆるファイルを安全に一元管理できます。
送信データ・保存データの強力な暗号化やマルウェア対策はもちろん、7種類のアクセス権限や70種類以上のログ監視などに対応し、情報の扱いを詳細にコントロールできるのも魅力です。外部ユーザーとの安全なファイル共有や共同編集にも対応するため、Box単体でオンラインコラボレーションも活性化できます。
イッツコムなら無償のサポートデスクやカスタマーサクセスを利用でき、データ移行や運用設計などの有償サービスも含め、Boxの導入から運用まで一括サポートが可能です。
顧客関連情報を安全にクラウド管理できる「ホットプロファイル」
顧客情報は企業にとって重要な財産です。個人のスマホアプリなどを使用した個人管理から脱却し、企業での一元管理を進めましょう。そうすることによって、顧客との接点が可視化され、部署や部門を超えた効率的な営業活動が可能です。
そこで導入したいのが、顧客関連情報を安全なクラウド上で一元管理できる「ホットプロファイル」です。名刺のスキャンやCSVファイルの読み込みだけでクラウド上に顧客データベースを作成し、営業履歴や最新の企業ニュースと関連付け、社内人脈を一元管理・共有できます。
また、顧客情報の一元管理は担当者の退社時の引き継ぎの際や担当者の不在時にも役立ちます。顧客情報や過去のやりとり、進捗状況をすべて確認できるので、業務が停止したり顧客を待たせたりするリスクも軽減できるでしょう。
ビジネスチャットとWeb会議システムを一本化できる「Zoom」
個人利用のコミュニケーションツールを業務連絡に流用することも、シャドーITのセキュリティリスクです。これは宛先間違いによる情報漏えい事故を起こしやすく、外部から管理できずセキュリティポリシーを守りにくいため、使いやすいコミュニケーションツールを整備することも求められます。
そこで導入したいのが、ビジネスチャットとWeb会議システムを一本化できる「Zoom」です。有料版ならミーティングを実質無制限(30時間/1回)で利用でき、参加者のアクセス管理機能やクラウドレコーディングにも対応します。「Zoom Chat」機能により、Zoomミーティングとシームレスに連携するビジネスチャットとして利用できるのも魅力です。
イッツコムは日本語サポート付きの有料版Zoomをプロプラン1ライセンスから提供しており、一般的な代理店より低コストで利用できます。管理者向けの各種マニュアルも充実している他、請求書払いに対応していることも強みです。
まとめ
シャドーITはコンシューマライゼーションによって自然に起こるため、対策を講じなければ自社内に蔓延してしまいます。必要な対策は、利便性とセキュリティ機能に優れたクラウドサービスを整備し、シャドーITの必要がないIT環境を整えることです。
イッツコムが提供する「Box」「ホットプロファイル」「Zoom」は、機密情報や顧客情報を安全に管理・共有して情報漏えいを防ぎ、ビジネスの基盤ツールとして業務効率化にも大いに貢献します。シャドーIT対策とビジネスの加速の両立をお求めなら、必須ツールをトータルサポートできるイッツコムにご相談ください。
