シャドーITとは？ セキュリティリスクが生じるケースと必要な対策

スマートフォン・タブレットなどのモバイル端末の普及や、テレワークの推進に伴い、“シャドーIT”という言葉をよく耳にするようになりました。

テレワークによって業務に使用する端末やサービスの幅が広がることで、企業が許可していない端末を使用するシャドーITによる、新たなセキュリティ課題が生まれています。

本記事では、シャドーITの概要やセキュリティリスク、企業が取り組む対策について解説します。

シャドーITとは、企業が許可していない端末やシステム、クラウドサービスを業務で使用することです。

シャドーITが起きると、企業側で端末の適切な管理ができないため、情報漏えいやアカウントの乗っ取り、マルウェア感染といったセキュリティリスクが高まります。

また、シャドーITと混同されやすい言葉に“BYOD”と“サンクションIT”が挙げられますが、それぞれ意味が異なります。

▼シャドーIT・BYOD・サンクションITの違い

BYODとは、従業員の個人端末を業務に使用することです。使用する端末は、企業の許可を得ていることが前提となっており、未許可の状態で使用することはシャドーITに当たります。

従業員の個人端末を使用するBYODでは、企業によるセキュリティ対策や端末管理が行き届きにくく、端末の紛失による情報漏えい、マルウェア感染などのリスクがあります。このようなリスクを防ぐには、企業側がBYODで使用する端末を把握して、使用する用途や業務範囲などを制限することが重要です。

なお、BYODについてはこちらの記事で詳しく解説しています。併せてご覧ください。

BYODとは？ 概要や導入するメリット・デメリット、成功事例を紹介！

https://moconavi.jp/blog/2019/12/1492/

働き方改革や新型コロナウイルスの影響によるテレワークの浸透など、ワークスタイルの多様化が進むなか、注目されているのが「BYOD」です。この記事では、業務効率化を模索する企業の担当者が知っておくべき、BYODの概要や、メリットやデメリット、導入して成功した事例などを詳しく解説しています。

サンクションITとは、企業が許可した端末やシステム、クラウドサービスなどを業務に使用することです。シャドーITとは反対の意味を持ち、企業がIT環境を整えるための基本となる考え方といえます。

ファイルサーバーやメーラー、スケジューラーなど、すべての端末とアプリケーション（以下、アプリ）を企業が把握・管理することで、セキュリティリスクを抑えられます。

シャドーITが起きてしまう理由には、以下が挙げられます。

▼シャドーITが起きてしまう理由

• 業務に役立つサービスやツールが登場している
• ルールを整備せずにテレワークを導入している
• 従業員のセキュリティリスクへの意識が低い

近年、業務に役立つツールやインターネット環境があれば利用できるクラウドサービスが登場しており、利便性の向上に寄与しました。

しかし、職場での業務体制に不満があったり、非効率になったりしている場合には、従業員が独断で許可していないツール・サービスを利用することがあります。

自宅にいながら業務ができる環境となったことで、終わらなかった仕事を自宅に持ち帰って、私物のパソコンで作業する従業員も現れるようになりました。また、コロナ禍で対面営業や出社を制限した企業では、十分なセキュリティルールを整備しないままにテレワークを導入していることもシャドーITが起きる要因の一つです。

管理者や従業員にシャドーITの認識がなく、許可されていない端末・サービスを利用したり、許可されていると誤解して使用したりすることによって、シャドーITが発生しやすくなります。

シャドーITが起きると、さまざまなセキュリティリスクにつながります。ここではセキュリティリスクが生じやすいケースについて解説します。

企業が許可していない従業員の個人端末を業務に使用すると、シャドーITによるセキュリティリスクにつながります。

▼個人端末の業務利用によるリスク

• プライベートでアクセスしたサイトからマルウェアに感染する
• アカウントを乗っ取られる
• 家族や友人に見られてしまい、機密情報が漏えいする

クラウドサービスが普及したことで、業務に必要なデータをオフィスから持ち出さなくても、自宅で簡単に業務を行えるようになりました。場所を選ばないフレキシブルな働き方ができるほか、従業員の個人端末なら日頃から操作に慣れているため、業務の効率化にも有効と考えられます。

しかし、個人端末の場合、ネットワークへのアクセス状況や保存されたデータを企業側で把握できないため、インシデントが発生した際の原因究明に時間がかかります。

このようなリスクを軽減しつつ、安全な環境でテレワークを行うためには、ネットワーク環境や端末上のセキュリティ対策を進めることが重要です。

今や当たり前となったビジネスシーンでのチャットツールやSNSによるコミュニケーションですが、企業で利用を許可していないにもかかわらず業務で利用されることがあります。

▼SNSやチャットツールのリスク

• 端末の紛失・盗難により、チャットツール内の関係者とのやり取りが流出する
• SNSやチャットツールでのなりすましが発生する

例えば、上司・同僚・部下などの名前や業務に関する具体的な話を出されると、疑うことなく情報を伝えてしまうことがあります。その結果、情報を悪用されたり、ID・パスワードを知られて機密情報にアクセスされたり、データを改ざんされたりといった重大なインシデントに発展する可能性があります。

データの共有・保存ができるクラウドサービスは、ビジネスで広く利用されています。しかし、無料で使えるサービスも多く、個人利用がしやすいため、シャドーITとなっていることも少なくありません。

▼クラウドサービスの利用によるリスク

• 業務データをクラウドサービスにアップロードして、社外でダウンロードすることによる情報の持ち出し
• 自宅でクラウドサービスにアップロードして、会社でダウンロードする際のマルウェア感染・情報漏えいのリスク

IT系の企業では、社内開発のためにIaaSやPaaS環境を管理部門の承諾なく利用していることもあります。利用時に設定ミスや脆弱性の見落としがあると、誰でもアクセスできる状態になり、不正アクセスの原因となるため注意が必要です。

フリーWi-Fiへの接続も、シャドーITによるセキュリティリスクの一つです。

外出先で業務を行うとき、交通機関や公共施設が提供しているフリーWi-Fiはとても便利です。しかし、フリーWi-Fiは誰でも使用できるため、セキュリティリスクが伴います。

▼フリーWi-Fiへ接続するリスク

• 通信内容を傍受されて、情報を抜き取られる
• 端末を遠隔操作される
• コンピューターウイルスに感染する

情報の不正取得や、ウイルスを仕掛けることを目的とする“なりすましアクセスポイント”と呼ばれる偽物のフリーWi-Fiも存在します。

2022年6月21日、兵庫県尼崎市において全市民46万人分の個人情報が保存されたUSBメモリを紛失するというインシデントが発生しました。

▼状況

• 業務委託先の関係社員が、データ移管作業のために許可を得ずに必要な情報が記録されたUSBメモリをかばんに入れて運搬していた
• 作業終了後に飲食店に立ち寄り、その後帰宅したときに、USBメモリを入れていたかばんの紛失が判明
• その後、USBメモリは無事に見つかり、情報が漏えいした形跡はなかった

▼結果
メディアに大きなニュースとして取り上げられるとともに、市民の不信感を集めることとなった。

▼対応
再発防止に向けて、尼崎市USBメモリ紛失事案調査委員会を設置して、対処や検証を進めている。

このように、許可していない端末や記録媒体などを利用するシャドーITが発生すると、会社の知らないところで情報漏えいを起こすリスクがあります。

企業においても、以下のようなケースで紛失による情報漏えいのリスクが生じると考えられます。

▼企業におけるシャドーITのケース

• 営業担当者が営業資料や顧客リストを持ち出して、自分のノートパソコンを使って確認・修正をする
• 許可のないUSBメモリに業務資料データを保存して、自宅やコンビニのプリンタで印刷する

シャドーITは、管理者の目の届かないところで行われるため、その全容を把握することは難しくなります。シャドーITの対策について、管理者が抱えている課題を解説します。

シャドーITは、従業員一人ひとりが悪意をもって行っているわけではありません。業務効率化や新しい働き方に取り組むなかで、無意識のうちに行っていることも多いと考えられます。そのため、企業側が一方的に規制をしてしまうと、反発が起きたり、代替案を求められたりすることもあります。

従業員にアンケートを実施して、使用する端末やクラウドサービスの状況を調査しても、都合の悪い情報は隠されてしまう可能性もあるため、シャドーITの規制は難しくなります。

また、ルールを策定してシャドーITを禁止したとしても、実際にシャドーITが完全になくなったかを把握するのは技術的に難しく、管理者による制御には限界があります。

通信内容を把握するのが難しいことも、シャドーITの対策における課題の一つです。シャドーITを発見するには、「いつ、誰が、どこで、どのような情報のやり取りをしているか」を把握することが必要です。通信経路上のゲートウェイに通信内容を検査する機能があれば、アクセスを遮断する対応も行えます。

しかし、広く使われているクラウドサービスでは、Webサイトの通信全体にHTTPSを利用するSSL化がされていることが一般的です。その場合、ゲートウェイでの情報収集ができないため、シャドーITを発見することが難しくなります。

通信内容を監視して、クラウドサービスの利用実態を把握できたとしても、そのログを定期的に分析して、シャドーITの状況把握や対策を行うには労力がかかります。

クラウドサービスにはさまざまな種類があり、シャドーITとして利用する目的も異なります。従業員が利用しているクラウドサービスを把握したとしても、利用可否を判断するには、各サービスの機能やセキュリティ面を調査することが必要です。

一つのクラウドサービスへの対策を検討している間に新たなシャドーITが生まれることもあるため、管理者の負担になると考えられます。

シャドーITを防ぐには、業務環境の見直しや端末・サービスの利用状況を管理者が把握できる仕組みを整えることが重要です。

ここでは、5つの対策について解説します。

1つ目の対策は、業務を効率的に行える環境を整備することです。

従業員が現在の業務環境に不便を感じていたり、非効率な作業で負担になったりしている場合、個人端末やサービスを無許可で使用されてしまう可能性があります。

効率的に業務を行える端末やサービスを用意して、企業が許可することによって、シャドーITをしなくてもよい環境を構築できます。

2つ目の対策は、社内ガイドラインの作成です。

従業員が個人利用している端末や、許可していない外部のサービス・ツールなどを利用する際のルールを定めることで、無意識によるシャドーITを防止できます。

また、企業が許可していない端末やサービスなどを使用する際には、システム管理者の許可を得るための申請ワークフローを設けることもポイントです。

3つ目の対策は、ログの取得および管理です。

外部からの不正アクセスや内部による情報漏えいを防ぐために、ネットワークとシステムへのログ取得・管理を行う必要があります。

シャドーITを防ぐために取得・管理するログには、以下が挙げられます。

▼ログの種類

また、サイバー攻撃では、最初の攻撃から認知に至るまでに1年近くを要するケースもあるため、ログは十分な期間保存しておくことが重要です。

4つ目の対策は、CASB（キャスビー）によるアクセスの監視です。

CASBとは、“Cloud Access Security Broker”の略称で、プロキシのようにネットワーク上に設置するアクセス監視ツールです。

従業員が使用する端末とクラウドサービスの中間となるゲートウェイの役割があり、以下のような機能を利用できます。

▼CASBが提供する主な機能

• クラウドサービスの利用状況の可視化・分析
• 機密情報の持ち出しのチェックとブロック（データ保護）
• アクセス権限の設定・監視
• セキュリティポリシーの設定・監査（コンプライアンス機能）
• マルウェア感染やサイバー攻撃、不正なアクティビティへの防御（脅威防御）

CASBを導入することで、クラウドサービスにどの端末からアクセスがあったか、どのようなデータが保存されているか、セキュリティポリシーに違反していないかなどを監視できます。不審な挙動をすぐに把握できるため、セキュリティリスクに迅速に対応できるようになります。

なお、CASBは社内ネットワークのゲートウェイに設置する方法と、インターネットのクラウド上に設置する方法があります。クラウド上のCASBは、ランニングコストが発生しますが、社内への機器の設置・管理が不要になるほか、ユーザーの増減にも対応しやすくなります。

社内ネットワーク内にCASBを設置する場合、機器の設置・管理が必要になり、初期費用も高くなりやすいですが、各端末に対する設定は不要になります。

5つ目の対策は、MDM・MAMの導入です。

MDMは、“Mobile Device Management”の略称で、モバイル端末を管理することを指します。MDMツールを導入することで、業務に使用するモバイル端末を一元管理して、端末上のセキュリティ対策を行えます。

MAMは、“Mobile Application Management”の略称で、モバイル端末にインストールされたアプリを管理することです。MAMツールを導入すると、業務に使用するアプリやアプリ内のデータを管理して、アプリベースでセキュリティ対策を行えるようになります。

▼MDM・MAMの特徴

シャドーITの対策には、MAMの機能が備わった『moconavi』の活用がおすすめです。シャドーITによるセキュリティリスクを防ぐには、MDMやCASBなどのツールが役立ちますが、それぞれ以下の問題点があります。

▼MDMやCASBの問題点

• MDMではアプリ内での制御やデータ管理ができない
• CASBは異常の検知に特化しており、防御はできない

このような問題に対応するには、MAMを活用して幅広いセキュリティ対策を行うことが重要です。

moconaviはモバイル端末に安全なビジネスアプリを提供するMAM（モバイルアプリケーション管理）ツールです。CASBの要件を満たした機能が実装されており、moconaviだけでシャドーIT対策を実現することが可能です。

また、端末にデータを残さない仕様となっているため、紛失や盗難が起きた際に端末内の情報が漏えいしてしまう心配がありません。従業員の個人端末を使用して業務を行うBYODでのセキュリティ対策としても有効です。

さらに、端末自体を管理するのではなく、アプリを通して業務環境にアクセスするため、 個人のプライバシーには干渉せずに、セキュアかつ安心なBYODを実現できます。シャドーIT対策をお考えの企業のご担当者さまは、ぜひmoconaviをご検討ください。