シャドーITとは?事例や課題、対策を解説

  • 投稿日:2021 - 3 - 10
  • 更新日:2021 - 3 - 15
  •   

スマートフォンやタブレットといったモバイル機器や、各種のクラウドサービスは業務効率化や働き方の変化に大きく貢献しています。しかし、一方で企業側が把握していない端末やクラウドサービスを利用する「シャドーIT」が増えたことは、情報セキュリティにおける大きな問題です。この記事では、現場で生じるシャドーITの具体例や、シャドーIT対策における課題、企業が行なうべき対策について解説します。

シャドーITとは?

「シャドーIT」とは、企業の従業員が組織で承認されていないパソコンやスマートフォンなどの端末や、ファイル転送サービスやフリーメールなどのクラウドサービスを業務で利用することです。多くの場合、シャドーITは従業員が業務の効率化や仕事の持ち帰りを目的に行ないますが、情報の持ち出しに使われる場合もあります。

働き方改革によって残業ができなくなり、持ち帰り仕事を余儀なくされるケースや、テレワークに便利なサービスを自己判断で使いたいケースなどでシャドーITが多く見られます。従業員がシャドーITに対して問題を感じていないケースや、シャドーITの利用が事業部単位に及んでいるために組織で承認されたツールと誤解しているといったケースも少なくありません。

シャドーITは“勝手BYOD”と呼ばれることもあります。組織が許可した端末を業務利用する“正しいBYOD”と違い、シャドーITの場合は企業側で利用目的やセキュリティ体制などのチェックが行き届かないため、マルウェア感染などがあった場合には対応が遅れ、被害が大きくなってしまう可能性がありますし、情報の持ち出しが秘密裏に行なわれる可能性もあります。具体的には、システム上のトラフィックデータやアカウントのアクセス権限、アクティビティ(振る舞い)などに対して認証・確認を都度行い、最低限の許可のみを与えます。また、不審なアクティビティや兆候があれば素早く検知・対応できるようにします。ゼロトラストのアプローチなら、システム内部への侵入があった場合でもセキュリティ被害を最小限に抑えることが可能です。

シャドーITの事例

実際に現場で見られるシャドーITには、どのような例があるのでしょうか。具体的なケースやツールの種類について見てみましょう。

会社以外の環境での業務

シャドーITで多い例として、会社以外の環境での業務があります。

営業メンバーがUSBメモリに営業資料や顧客リストをコピーして持ち出し、自分のノートパソコンを使って資料の確認や修正を行なったり、自宅やコンビニのプリンタで資料の印刷を行なったりするなどです。同様の方法で、業務時間内に終わらなかった仕事を持ち帰って行なうケースも多く見られます。

こうした場合、情報を保存した端末の紛失・盗難や、不十分なセキュリティによってマルウェアへの感染が起こってしまうこともあります。また、持ち出した情報がその後削除されないまま端末に残り続けてしまうことも少なくありません。

SNSやチャットツールによるコミュニケーション

LINEなどのSNSによるコミュニケーションは今や一般的で、ビジネスの場でもSlackやChatworkなどのチャットツールの利用が増えています。しかし、企業で利用を許可していないにも関わらず、業務に利用してしまった場合には問題です。また、プライベートのメッセージのやりとりの中に、間違って業務のメッセージやファイルを送信してしまうこともあります。

送信した情報が誰でも閲覧できる状態で公開されるSNSも多く、設定が適切に行なわれていない場合は特に情報漏洩のリスクが大きくなります。もしも企業の機密情報が間違って送信された場合、その情報が拡散されてしまい、企業に不利益をもたらすこともあります。チャットツールはモバイル環境でもスムーズなやりとりができるのが長所ですが、電車や施設の中など人の多い環境下での利用は端末をのぞき見されるリスクもあります。また、盗難や紛失などが生じた場合にはアプリを起動すると中の情報を全部見ることができるため、情報漏えいリスクも大きいのです。

クラウドサービスの利用

データ量の大きなファイルをやりとりするためのファイル送信サービスや、Yahoo!メールやGmailに代表されるwebメールサービス、DropboxやOneDriveなどはビジネスにおいても利用されることが多いサービスです。無料で使えるサービスも多く個人利用がしやすいため、クラウドサービスがシャドーITになっていることも少なくありません。

業務用データをこれらサービス上にアップロードして社外でダウンロードすることは情報の持ち出しにあたります。また、逆に自宅などで作業したファイルをアップロードし、会社でクラウドサービスを経由してダウンロードする場合もマルウェア感染や情報の漏えいに注意が必要です。2015年には「I Love Translation」という翻訳サイトを利用したときに、翻訳を行なった情報がすべて保存されてしまい、検索エンジン経由で閲覧可能な状態になっていたという事件もありました。

IT系の企業や部署では、社内開発のためにIaaSやPaaS環境を管理部門の承諾なく利用していることがあります。これらの利用時に設定ミスや脆弱性の見落としがあると、誰でもアクセスできる状態になっていたり、不正アクセスの原因になったりするため注意が必要です。

シャドーIT対策の課題

シャドーITは基本的に管理部門の目の届かないところで生じており、その全容を把握するのが難しい面があります。シャドーITへの対策では、どのような点が課題になっているのでしょうか。

運用面・技術面で規制や制御が難しい

シャドーITの多くは情報の持ち出しを目的としたものではなく、業務の効率化や業務の継続・完了を目的として始まります。そのため、一方的に規制を行なうと代替案を求められたり反発されたりすることが少なくありません。

把握のためにアンケートを実施しても、不利な情報は隠されてしまう可能性があるため、状況の把握や規制が難しいといった問題もあります。

また、ルール上は禁止になっていたとしても、実際にシャドーITが完全になくなったか把握することは技術的に難しく、管理者側による制御には限界があることも課題です。

通信内容の把握が難しい

シャドーITを防ぐための方法のひとつに、通信内容を把握する方法があります。いつ、誰が、どこで、どんな情報のやりとりをしているかが把握できれば、シャドーITの発見が可能です。通信経路上のプロキシなどのゲートウェイに通信内容の検査機能があればアクセスの遮断などの対応ができます。

しかし、今はデータのやりとりを行なうクラウドサービスでは、webサイトの通信全体にHTTPSを利用するSSL化が一般的になっています(常時SSL化)。常時SSL化された場合、ゲートウェイ検査による上記の情報収集やシャドーITの把握が困難です。

クラウドサービス利用の情報収集が難しい

たとえ通信内容の監視によってクラウドサービスの利用実態が把握できるとしても、そのログを定期的に分析してシャドーITの状況把握や対策を行なうのは非常に手間がかかります。そのため、通信内容の監視が行なわれていてもその分析作業にまで手が回らないという管理者も少なくありません。

クラウドサービスはその種類も非常に多く、シャドーITとして利用する場合の目的もさまざまです。利用しているクラウドサービスが把握できたとしても利用の可否を判断するためには、各サービスの機能やセキュリティ面の調査や、同じ目的で利用されている他のシャドーITや類似サービスとの比較が必要です。対策を検討している間にも新たなシャドーITが生まれることもあるため、検討にスピードが求められることも管理者への負担を一層大きくしています。

シャドーITへの対策

シャドーITへの対策では、社員教育や利用ツール・サービスの選定を行なうことで一定の効果が期待できます。しかし、これらの方法ではシャドーITの把握や制御を完全に行なうことはできません。今、シャドーIT対策として注目されている技術がCASBです。

CASBは「キャスビー」と読み、”Cloud Access Security Broker”の略です。CASBはプロキシのようにネットワーク上に設置され、従業員が使用するデバイスとクラウドサービスとの中間でゲートウェイとなってさまざまな機能を提供します。

CASBが提供する主な機能は次のとおりです。

  • クラウドサービスの利用状況の可視化・分析
  • 機密情報の持ち出しのチェックとブロック(データ保護)
  • アクセス権限の設定・監視
  • セキュリティポリシーの設定・監査(コンプライアンス機能)
  • マルウェア感染やサイバー攻撃、不正なアクティビティへの防御(脅威防御)

業務用の端末やアプリケーションで用いる通信がCASBを経由するように設定することで、CASB以降の通信先の把握が可能になります。また、通信の安全性の確保や、アクセスしたサービスにおける不審・不正な行動の検知・即時対応も可能です。CASBの中には、クラウドサービスの種類だけでなく、機能や主な用途の情報も提供してくれるものもあり、正規のサービス検討の際に便利です。

CASBは社内ネットワークのゲートウェイに設置する場合もあれば、インターネットのクラウド上に設置する場合もあります。クラウド上のCASBはランニングコストが発生しますが、利用者増などがあってもパフォーマンスを維持しやすく、社内での機器管理が不要になるのがメリットです。社内ネットワーク内にCASBを設置する場合、初期費用が高いことや機器管理がデメリットにはなりますが、社内の各端末に対する設定が不要になるのがメリットです。

シャドーI T対策にはmoconavi

シャドーIT

シャドーITは、業務上の目的のために会社で許可されていない端末やクラウドサービスを利用する行為です。必要性から仕方なく、あるいは罪悪感なく行なわれているケースもありますが、セキュリティ面では大きなリスクとなるため企業には早めの対応が求められています。

moconaviはモバイル端末に安全なビジネスアプリを提供するMAM(モバイルアプリケーション管理ツール)です。CASBの要件を満たした機能が実装されており、moconaviだけでシャドーIT対策を実現することが可能です。また、端末にデータを残さない仕様で、紛失や盗難の際にも端末内の情報漏えいの心配もありません。

シャドーIT対策をお考えの企業のご担当者様は、ぜひmoconaviの利用についてご検討ください。

この記事をシェアする

ニューノーマル 時代に必要な働き方とオフィスの共存とは?

ニューノーマル 時代に必要な働き方とオフィスの共存とは?

緊急事態からニューノーマルへ 事業継続と働き方改革を実現するデジタルワークプレイス

コロナ禍によって多くの企業がテレワークを実施し、その実現性やメリットを体感する一方で、突貫工事で課題が浮き彫りになったテ レワーク環境。非常事態でも動じない事業継続性と、ニューノーマルな 働き方やオフィスとの共存には何が必要なのか解説した資料です。

前の記事:ゼロトラストとは?仕組みやメリット・デメリット、有効な製品を紹介
次の記事:テレワークにおけるコミュニケーション不足の対策とは?課題と解決策を解説

関連記事

テレワーク事例:コロナ時代のテレワークに必要な働く環境とは?走りながら進めたルール整備 テレワーク事例:コロナ時代のテレワークに必要な働く環境とは?走りながら進めたルール整備 【国別で調査!】テレワークは実際にどれくらいの割合で導入されているのか? 【国別で調査!】テレワークは実際にどれくらいの割合で導入されているのか? テレワークに合った評価制度とは?事例とともに人事評価の改善点を解説 テレワークに合った評価制度とは?事例とともに人事評価の改善点を解説