シャドーITとは?事例やリスク、その対策を解説

  • 投稿日:2021 - 3 - 10
  • 更新日:2022 - 9 - 28
  •   

「シャドーIT」という言葉を耳にしたことはありますか?
リモートワークが広がり、業務で使う端末の扱い方や使用するサービスが多様化するなかで注目されている課題です。
本記事では、現場で生じているシャドーITの事例やリスク、取り組むべき対策と課題について解説します。

シャドーITとは?

はじめに、シャドーITの言葉の意味や、混同されがちな「BYOD」「サンクションIT」という言葉との違いについて解説します。

シャドーITの意味

「シャドーIT」とは、従業員が企業で使用を許可されていないパソコンやスマートフォンなどの端末、ファイル転送サービスやフリーメールなどのクラウドサービスを業務で利用することです。

なぜシャドーITが起きてしまうのでしょうか?

働き方改革により残業ができなくなったことで、終わらなかった仕事を自宅に持ち帰ったり、業務効率化やテレワークに便利なサービスやツールを自己判断で使ったりするといった流れで発生します。

新型コロナウイルスの感染拡大により、テレワークを行う際のセキュリティルールがきちんと整備されないまま、テレワークを導入したことでシャドーITの認識がなく許可されていないサービスを利用するケースもあれば、許可されていないと知っていながら利用するといった場合も挙げられます。

さらに、従業員がシャドーITについての知識がなく、未許可の端末やクラウドサービスの利用が部署単位で広がっている場合、組織で承認されたツールと誤解して使っているといったケースも少なくありません。

シャドーITとBYODの違い

シャドーITは“勝手BYOD”と呼ばれることがあります。BYODとは個人端末を業務利用することですが、組織が許可した端末であることを示す表現です。そのような“正しいBYOD”と違い、未許可のまま企業が把握していないなかで、個人端末を業務で利用するのがシャドーIT。セキュリティ体制や管理が行き届かず、端末の紛失やマルウェア感染などがあった場合に対応が遅れて被害が大きくなってしまう可能性があります。また、情報の持ち出しが秘密裏に行なわれてしまう危険もあるのです。

シャドーITとサンクションITとの違い

サンクションITとは、企業が許可したクラウドサービスや端末を業務利用すること。まさにシャドーITの反対語であり、企業がIT環境を整えるうえで本来あるべき姿といえるでしょう。ファイルサーバーやメーラー、スケジューラーなど、すべての端末やアプリケーションを企業が把握・管理することでセキュリティリスクを最大限に抑えることが可能になります。

シャドーITでセキュリティリスクが生じるケース

業務上で考えられるシャドーITには、どのようなケースがあるのでしょうか。代表的なケースをご紹介します。

個人端末の業務利用

会社の許可なく従業員が個人所有するスマートフォンやパソコンを業務で使うことは、先述した“勝手BYOD”に当たり、シャドーITの典型的なケースといえるでしょう。

最近では業務でUSBの利用を禁止する企業は増えてきているようですが、クラウドサービスが普及することで、データそのものをオフィスから持ち出さなくても自宅で簡単に業務を行えるようになってきました。個人端末なら日頃から操作にも慣れているため、業務効率化という意味でも効果的といえるでしょう。

しかし、個人端末を業務で利用すると、プライベートでアクセスした不正なサイトからマルウェアに感染してしまったり、アカウントを乗っ取られてしまったりといったリスクが発生します。また、家族や友人に端末を見られた際に、業務の情報が知られてしまうといったケースもあるでしょう。

個人端末の場合、企業はそうした状況の確認ができず、インシデント事故が発生した際の原因究明や対策にも時間がかかってしまいます。

BYODはリモートワークとオフィスワークをフレキシブルに使い分けできる理想的な働き方「ハイブリッドワーク」を実現するうえで欠かせない考え方。しかし、セキュアかつ快適にハイブリッドワークを行えるようにするには、従業員任せにせず、企業側が責任をもって環境構築を進めることが重要なのです。

SNSやチャットツールによるコミュニケーション(なりすまし)

今や当たり前となったビジネスシーンでのチャットツールや、SNSによるコミュニケーションですが、企業で利用を許可していないにも関わらず、業務で利用されることがあります。

SNSは送信した情報が誰でも閲覧できる状態で公開されることも多く、適切な設定がされていない場合、誤って送信してしまった企業の機密情報が拡散されて情報漏えいし、企業に不利益をもたらすこともあります。

チャットツールはモバイル端末でもスムーズなやりとりができるため便利ですが、端末の紛失や盗難による情報漏えいのリスクも大きいのです。

また、悪意のある人が会社の関係者になりすまし、SNSのメッセージやチャットツール、メールなどを使って接近してくるというケースもあります。例えば上司や同僚、部下などの名前や業務に関する具体的な話を出されると、疑うことなく情報を伝えてしまうこともあるでしょう。これにより、その情報を悪用されたり、重要なIDやパスワードを知られて機密情報にアクセスされたり、情報漏えいやデータの改ざんといったインシデントに発展するなど、企業の多大な損失となってしまうこともあるのです。

クラウドサービスの利用

データ量の大きなファイルをやりとりするためのファイル送信サービスや、Yahoo!メールやGmailなどのwebメールサービス、DropboxやOneDriveなどのストレージサービスといったクラウドサービスはビジネスで広く利用されています。無料で使えるサービスも多く、個人利用がしやすいため、シャドーITとなっていることも少なくありません。

業務用データをこれらのサービス上にアップロードして社外でダウンロードすることは情報の持ち出しにあたります。また、逆に自宅などで作業したファイルをクラウドサービスにアップロードし、会社でダウンロードする場合もマルウェア感染や情報漏えいに注意が必要です。

2015年には「I Love Translation」という翻訳サイトを利用したときに、翻訳を行なった情報がすべて保存されてしまい、検索エンジン経由で閲覧可能な状態になっていたという事件もありました。

IT系の企業では、社内開発のためにIaaSやPaaS環境を管理部門の承諾なく利用していることがあります。利用時に設定ミスや脆弱性の見落としがあると、誰でもアクセスできる状態になり、不正アクセスの原因となるため注意が必要です。

フリーWi-Fiへの接続

外出先や出張先で業務をするとき、カフェやシェアオフィス、ホテル、駅や空港などの交通機関や公共施設が提供しているフリーWi-Fiはとても便利。フリーWi-Fiが使える場所を探して移動先を選ぶという人もいるでしょう。しかし、フリーWi-Fiは誰でも使えるが故にセキュリティ面での不安もあり、注意が必要です。

悪意のある人によって通信内容を傍受され、情報を抜き取られてしまったり、端末を遠隔操作され、盗聴・盗撮といった不正な使い方をされてしまったりといった被害を受ける可能性も。さらに、はじめから利用者の個人情報を盗んだり、ウイルスを仕掛けたりする目的で悪意をもって設置されている「なりすましアクセスポイント」と呼ばれる偽物のフリーWi-Fiも存在するため、注意が必要です。

ショルダーハッキング

個人端末をオフィス以外の場所で利用して仕事をしている際、背後から悪意のある人によって画面を覗き見され、ID・パスワードや機密情報などを盗み取られるという「ショルダーハッキング」もシャドーITによるリスクのひとつです。カフェや駅、空港、公共施設など、不特定多数の人が出入りする場所では特に注意が必要。後方の席からスマートフォンのカメラなどで端末の画面を撮影されてもなかなか気付きにくく、重要な情報を盗まれてしまうケースがあるのです。

実際に発生したシャドーITの事例

シャドーITの事例として、2022年には兵庫県尼崎市が、同市の全市民46万人分の個人情報が保存されたUSBメモリを紛失するというセキュリティインシデントが発生しました。

業務委託先の関係社員が、データ移管作業のために許可を得ずに必要な情報が記録されたUSBメモリをかばんに入れて運搬。作業終了後に飲食店に立ち寄り、その後帰宅したときに、USBメモリを入れていたかばんの紛失が判明したという事象でした。その後、USBは無事に見つかり、情報が漏えいした形跡はなかったようですが、大きなニュースとなり、同市は再発防止に向けて尼崎市USBメモリ紛失事案調査委員会を設置し、対処や検証を進めています。

このように、例えば営業担当者が営業資料や顧客リストを持ち出し、自分のノートパソコンを使って確認や修正の作業をしたり、自宅やコンビニのプリンタで印刷したりといったことが、会社の知らないところで行われる危険性もあるのです。

また、似たようなケースで、業務時間内に終わらなかった仕事のデータを自宅へ持ち帰るといったことも考えられるでしょう。

こうした場合、情報を保存した端末の紛失・盗難により、悪意のある人から情報を盗まれてしまう危険性があります。端末内に情報を残す一般的な仕組みのデバイスを使用している場合、持ち出しによるこのようなリスクをゼロにすることは難しいといえるでしょう。

シャドーIT対策の課題

シャドーITは基本的に管理部門の目の届かないところで行われており、その全容を把握するのが難しい面があります。シャドーITへの対策では、どのような点が課題になっているのでしょうか。

運用面・技術面で規制や制御が難しい

シャドーITは従業員一人ひとりが悪意をもって行っているわけではなく、業務効率化やBCP対策といった観点で新しい働き方に取り組むなかで、無意識のうちに行っていることも多いのです。そのため、一方的に規制をすれば反発が起きたり、代替案を求められたりすることもあるでしょう。

正しく利用されているか把握のために従業員にアンケートを実施しても、都合の悪い情報は隠されてしまう可能性もあるため、状況の把握や規制が難しいといった問題もあります。

また、ルール上は禁止になっていたとしても、実際にシャドーITが完全になくなったか把握することは技術的に難しく、管理者による制御には限界があるのです。

通信内容の把握が難しい

シャドーITの防止策の一つに、通信内容を把握する方法があります。いつ、誰が、どこで、どんな情報のやりとりをしているか把握することでシャドーITを発見。通信経路上のプロキシなどのゲートウェイに通信内容の検査機能があればアクセス遮断などの対応が可能です。

しかし、広く使われているクラウドサービスでは、webサイトの通信全体にHTTPSを利用するSSL化がされていることが一般的です。その場合ゲートウェイでの情報収集ができず、シャドーITの把握ができません。

クラウドサービス利用の情報収集が難しい

たとえ通信内容の監視によってクラウドサービスの利用実態が把握できるとしても、そのログを定期的に分析してシャドーITの状況把握や対策を行なうのは非常に手間がかかります。通信内容の監視が行なわれていても、その分析作業にまで手が回らないという管理者も少なくないでしょう。

クラウドサービスはその種類も非常に多く、シャドーITとして利用する場合の目的もさまざまです。利用しているクラウドサービスが把握できたとしても利用の可否を判断するためには、各サービスの機能やセキュリティ面の調査、同じ目的で利用されている他のシャドーITや類似サービスとの比較が必要です。対策を検討している間にも新たなシャドーITが生まれることもあるため、検討にスピードが求められることも管理者への負担を一層大きくしています。

シャドーIT対策として注目されるCASB

シャドーITへの対策では、社員教育や利用ツール・サービスの選定を行なうことで一定の効果が期待できます。しかし、これらの方法ではシャドーITの把握や制御を完全に行なうことはできません。そこで今、シャドーIT対策として注目されている技術がCASBです。

CASBは「キャスビー」と読み、”Cloud Access Security Broker”の略です。CASBはプロキシのようにネットワーク上に設置され、従業員が使用するデバイスとクラウドサービスとの中間でゲートウェイとなってさまざまな機能を提供します。

CASBが提供する主な機能は次のとおりです。

  • クラウドサービスの利用状況の可視化・分析
  • 機密情報の持ち出しのチェックとブロック(データ保護)
  • アクセス権限の設定・監視
  • セキュリティポリシーの設定・監査(コンプライアンス機能)
  • マルウェア感染やサイバー攻撃、不正なアクティビティへの防御(脅威防御)

業務用の端末やアプリケーションで用いる通信がCASBを経由するように設定することで、CASB以降の通信先の把握が可能になります。また、通信の安全性の確保や、アクセスしたサービスにおける不審・不正な行動の検知・即時対応も可能です。CASBのなかには、クラウドサービスの種類だけでなく、機能や主な用途の情報も提供してくれるものもあり、正規のサービス検討の際に便利です。

CASBは社内ネットワークのゲートウェイに設置する場合もあれば、インターネットのクラウド上に設置する場合もあります。クラウド上のCASBはランニングコストが発生しますが、利用者増などがあってもパフォーマンスを維持しやすく、社内での機器管理が不要になります。社内ネットワーク内にCASBを設置する場合、初期費用が高いことや機器管理がデメリットにはなりますが、社内の各端末に対する設定が不要になるのがメリットです。

シャドーI T対策にはセキュアなBYODを実現するmoconaviがおすすめ

シャドーIT

ご紹介したCASBは、あくまでも異変の検知が目的です。異変への対策には別のセキュリティツールが必要になる場合もあります。

そこでおすすめするのが「moconavi」です。

moconaviはモバイル端末に安全なビジネスアプリを提供するMAM(モバイルアプリケーション管理ツール)です。CASBの要件を満たした機能が実装されており、moconaviだけでシャドーIT対策を実現することが可能です。また、端末にデータを残さない仕様で、紛失や盗難の際にも端末内の情報漏えいの心配もありません。

個人のデバイスを使って業務を行う際も安心して使用できます。さらに、端末自体を管理するのではなく、アプリを通して業務環境にアクセスするため、 個人のプライバシーには干渉しないという仕組みでセキュアかつ安心なBYODを実現できます。

シャドーIT対策をお考えの企業のご担当者様は、ぜひmoconaviの利用についてご検討ください。

この記事をシェアする

ニューノーマル 時代に必要な働き方とオフィスの共存とは?

ニューノーマル 時代に必要な働き方とオフィスの共存とは?

緊急事態からニューノーマルへ 事業継続と働き方改革を実現するデジタルワークプレイス

コロナ禍によって多くの企業がテレワークを実施し、その実現性やメリットを体感する一方で、突貫工事で課題が浮き彫りになったテ レワーク環境。非常事態でも動じない事業継続性と、ニューノーマルな 働き方やオフィスとの共存には何が必要なのか解説した資料です。