シャドーITとは?事例やリスク、その対策を解説

  • 投稿日:2021 - 3 - 10
  • 更新日:2021 - 6 - 11
  •   

「シャドーIT」とは企業側が把握していない端末やクラウドサービスを従業員が利用すること。スマートフォンなどのモバイル機器や、クラウドサービスは業務効率化や働き方の変化に大きく貢献している一方、シャドーITが増え、情報セキュリティにおける大きな課題となっています。現場で生じているシャドーITの事例やリスク、取り組むべき対策と課題について解説します。

シャドーITとは?

「シャドーIT」とは、従業員が企業で使用が許可されていないパソコンやスマートフォンなどの端末や、ファイル転送サービスやフリーメールなどのクラウドサービスを業務で利用することです。

働き方改革によって残業ができなくなったことで、終わらなかった仕事を自宅に持ち帰ったり、業務効率化やテレワークに便利なサービスを自己判断で使ったりするなどシャドーITが増えています。従業員がシャドーITについての知識がなく、未許可の端末やクラウドサービスの利用が部署単位で及んでいる場合、組織で承認されたツールと誤解しているといったケースも少なくありません。

シャドーITは“勝手BYOD”と呼ばれることがあります。BYODとは個人端末を業務利用することですが、組織が許可した端末に限られます。そのような“正しいBYOD”と違い、未許可のまま企業が把握していない中で、個人端末を業務で利用するため、セキュリティ体制や管理が行き届かず、端末の紛失やマルウェア感染などがあった場合には対応が遅れて被害が大きくなってしまう可能性があります。また、情報の持ち出しが秘密裏に行なわれてしまうこともあるのです。

シャドーITの事例とリスク

実際に現場で見られるシャドーITには、どのような例があるのでしょうか。具体的なケースやツールの種類について見てみましょう。

会社以外の環境での業務

営業メンバーがUSBメモリに営業資料や顧客リストをコピーして持ち出し、自分のノートパソコンを使って資料の確認や修正を行なったり、自宅やコンビニのプリンタで資料の印刷を行なったりするといったケースです。同様の方法で、業務時間内に終わらなかった仕事の自宅への持ち帰りも多く見られます。

こうした場合、情報を保存した端末の紛失・盗難や、不十分なセキュリティによってマルウェアへの感染が起こってしまうこともあります。また、持ち出した情報がその後削除されないまま端末に残り続けてしまうことも少なくありません。

SNSやチャットツールによるコミュニケーション

今や当たり前となったビジネスシーンでのチャットツールや、SNSによるコミュニケーションですが、企業で利用を許可していないにも関わらず、業務で利用されることがあります。

SNSは送信した情報が誰でも閲覧できる状態で公開されることも多く、適切な設定がされていない場合、誤って送信してしまった企業の機密情報が拡散されて情報漏えいし、企業に不利益をもたらすこともあります。

また、モバイル端末でもスムーズなやりとりができるチャットツールですが、電車や施設の中など人の多い環境下で利用した際の覗き見や、端末の紛失や盗難による情報漏えいのリスクも大きいのです。

クラウドサービスの利用

データ量の大きなファイルをやりとりするためのファイル送信サービスや、Yahoo!メールやGmailなどのwebメールサービス、DropboxやOneDriveなどのストレージサービスといった、クラウドサービスはビジネスで広く利用されています。無料で使えるサービスも多く個人利用がしやすいため、シャドーITとなっていることも少なくありません。

業務用データをこれらサービス上にアップロードして社外でダウンロードすることは情報の持ち出しにあたります。また、逆に自宅などで作業したファイルをアップロードし、会社でクラウドサービスを経由してダウンロードする場合もマルウェア感染や情報漏えいに注意が必要です。2015年には「I Love Translation」という翻訳サイトを利用したときに、翻訳を行なった情報がすべて保存されてしまい、検索エンジン経由で閲覧可能な状態になっていたという事件もありました。

IT系の企業や部署では、社内開発のためにIaaSやPaaS環境を管理部門の承諾なく利用していることがあります。利用時に設定ミスや脆弱性の見落としがあると、誰でもアクセスできる状態になっていたり、不正アクセスの原因になったりするため注意が必要です。

シャドーIT対策の課題

シャドーITは基本的に管理部門の目の届かないところで生じており、その全容を把握するのが難しい面があります。シャドーITへの対策では、どのような点が課題になっているのでしょうか。

運用面・技術面で規制や制御が難しい

シャドーITの多くは情報の持ち出しを目的としたものではなく、業務効率化や業務の継続・完了を目的として始まります。一方的に規制を行なえば反発が起きたり、代替案を求められたりすることもあるでしょう。

把握のためにアンケートを実施しても、不利な情報は隠されてしまう可能性があるため、状況の把握や規制が難しいといった問題もあります。

また、ルール上は禁止になっていたとしても、実際にシャドーITが完全になくなったか把握することは技術的に難しく、管理者による制御には限界があります。

通信内容の把握が難しい

シャドーITの防止策の一つに、通信内容を把握する方法があります。いつ、誰が、どこで、どんな情報のやりとりをしているか把握することでシャドーITを発見します。通信経路上のプロキシなどのゲートウェイに通信内容の検査機能があればアクセス遮断などの対応が可能です。

しかし、広く使われるようになっているクラウドサービスでは、webサイトの通信全体にHTTPSを利用するSSL化されていることが一般的です。その場合ゲートウェでの情報収集ができず、シャドーITの把握ができません。

クラウドサービス利用の情報収集が難しい

たとえ通信内容の監視によってクラウドサービスの利用実態が把握できるとしても、そのログを定期的に分析してシャドーITの状況把握や対策を行なうのは非常に手間がかかります。そのため、通信内容の監視が行なわれていてもその分析作業にまで手が回らないという管理者も少なくありません。

クラウドサービスはその種類も非常に多く、シャドーITとして利用する場合の目的もさまざまです。利用しているクラウドサービスが把握できたとしても利用の可否を判断するためには、各サービスの機能やセキュリティ面の調査や、同じ目的で利用されている他のシャドーITや類似サービスとの比較が必要です。対策を検討している間にも新たなシャドーITが生まれることもあるため、検討にスピードが求められることも管理者への負担を一層大きくしています。

シャドーIT対策として注目されるCASB

シャドーITへの対策では、社員教育や利用ツール・サービスの選定を行なうことで一定の効果が期待できます。しかし、これらの方法ではシャドーITの把握や制御を完全に行なうことはできません。そこで今、シャドーIT対策として注目されている技術がCASBです。

CASBは「キャスビー」と読み、”Cloud Access Security Broker”の略です。CASBはプロキシのようにネットワーク上に設置され、従業員が使用するデバイスとクラウドサービスとの中間でゲートウェイとなってさまざまな機能を提供します。

CASBが提供する主な機能は次のとおりです。

  • クラウドサービスの利用状況の可視化・分析
  • 機密情報の持ち出しのチェックとブロック(データ保護)
  • アクセス権限の設定・監視
  • セキュリティポリシーの設定・監査(コンプライアンス機能)
  • マルウェア感染やサイバー攻撃、不正なアクティビティへの防御(脅威防御)

業務用の端末やアプリケーションで用いる通信がCASBを経由するように設定することで、CASB以降の通信先の把握が可能になります。また、通信の安全性の確保や、アクセスしたサービスにおける不審・不正な行動の検知・即時対応も可能です。CASBの中には、クラウドサービスの種類だけでなく、機能や主な用途の情報も提供してくれるものもあり、正規のサービス検討の際に便利です。

CASBは社内ネットワークのゲートウェイに設置する場合もあれば、インターネットのクラウド上に設置する場合もあります。クラウド上のCASBはランニングコストが発生しますが、利用者増などがあってもパフォーマンスを維持しやすく、社内での機器管理が不要になるのがメリットです。社内ネットワーク内にCASBを設置する場合、初期費用が高いことや機器管理がデメリットにはなりますが、社内の各端末に対する設定が不要になるのがメリットです。

シャドーI T対策にはmoconavi

シャドーIT

シャドーITは、業務上の目的のために企業で許可されていない端末やクラウドサービスを利用する行為です。必要性から仕方なく、あるいは罪悪感なく行なわれているケースもありますが、セキュリティ面では大きなリスクとなるため企業には早急な対応が求められています。

moconaviはモバイル端末に安全なビジネスアプリを提供するMAM(モバイルアプリケーション管理ツール)です。CASBの要件を満たした機能が実装されており、moconaviだけでシャドーIT対策を実現することが可能です。また、端末にデータを残さない仕様で、紛失や盗難の際にも端末内の情報漏えいの心配もありません。

シャドーIT対策をお考えの企業のご担当者様は、ぜひmoconaviの利用についてご検討ください。

この記事をシェアする

ニューノーマル 時代に必要な働き方とオフィスの共存とは?

ニューノーマル 時代に必要な働き方とオフィスの共存とは?

緊急事態からニューノーマルへ 事業継続と働き方改革を実現するデジタルワークプレイス

コロナ禍によって多くの企業がテレワークを実施し、その実現性やメリットを体感する一方で、突貫工事で課題が浮き彫りになったテ レワーク環境。非常事態でも動じない事業継続性と、ニューノーマルな 働き方やオフィスとの共存には何が必要なのか解説した資料です。

前の記事:ゼロトラストとは?仕組みやメリット・デメリット、有効な製品を紹介
次の記事:テレワークにおけるコミュニケーション不足の対策とは?課題と解決策を解説

関連記事

テレワーク事例:コロナ時代のテレワークに必要な働く環境とは?走りながら進めたルール整備 テレワーク事例:コロナ時代のテレワークに必要な働く環境とは?走りながら進めたルール整備 【国別で調査!】テレワークは実際にどれくらいの割合で導入されているのか? 【国別で調査!】テレワークは実際にどれくらいの割合で導入されているのか? テレワークのセキュリティリスクを踏まえた対策の基本を解説 テレワークのセキュリティリスクを踏まえた対策の基本を解説