シャドーIT対策は難しい?セキュリティリスクとトラブルを防ぐ4つの方法

2022.11.01

シャドーIT対策は難しい?セキュリティリスクとトラブルを防ぐ4つの方法

シャドーITは、業務で使う端末の扱い方や使用するサービスが多様化するなかで、企業にとってのセキュリティリスクになる課題です。

トラブルを事前に防ぐために、シャドーITへの対応に追われているシステム管理者も多くなっています。

ここではシャドーITとはなんなのか、また、シャドーITによるセキュリティリスクとその対策について解説します。

 シャドーITとは

 シャドーITとは

シャドーITとは、企業や組織内で管理部門・管理者の許可なく使われる情報システム、ソフトウェア、デバイス(情報端末)、クラウドサービスのことです。

働き方改革によって残業ができなくなり、持ち帰り仕事が増えたことや、テレワーク・リモートワークの普及によって、個人や事業部単位でクラウドサービスを利用するケースが出てきました。

このような環境のなかでは、従業員独自の判断で管理対象外のデバイスやサービスが業務に使用されている状態なので、セキュリティ面に重大なリスクを及ぼす可能性があります。

 シャドーITに頼ってしまう原因

シャドーITに頼ってしまう原因

シャドーITに頼ってしまう原因は大きく分けて3つあり、その根本は従業員が業務上で許可されているデバイスやサービスに不便を感じているからといえるでしょう。

 現在のツールは非効率だと感じている

現在、企業や組織内で使用されているツールを運用しているときに、「非効率で連携しにくい」といった状態になっていると、シャドーITが発生しやすくなります。

・無料で使えるDropboxやOneDriveなどのストレージサービスで情報を共有し、業務を遂行している

・新しいシステム導入後、まだ操作に練れていない従業員が今まで使っていた個人デバイスを使用し続けている

・自宅で作業したファイルを個人利用がしやすいクラウドサービスにアップロードし、会社でダウンロードする

このように、従業員は社内システムより便利だと思われるツールを独自に導入し、効率的に業務を行っています。

 管理者の承認を待っていると時間がかかる

管理者の承認に時間がかかることも、シャドーITが発生する原因になります。

効率的と思われるツールやアプリを導入しようとしたときに、管理部門や管理者の承認が遅いと、従業員は独断で効率的な方法を利用し始めます。

承認を待っている間も業務は継続しており、現在のツールは使いにくく、不満を抱えていると、便利なサービスに頼ってしまうでしょう。

管理者の対応が遅れた分だけ、シャドーITが増えていくかもしれません。

 IT管理部門の存在が見えにくい

近年普及したリモートワークやテレワークにより、IT管理部門の存在が見えにくくなっていることもシャドーITが発生する原因です。

企業や組織内では自社システム以外を使用することが許可されていない場合でも、社外で業務をしているとIT管理部門の存在が感じられなくなり、心理的なハードルが下がりシャドーITが横行します。

また、持ち帰り仕事が慣例化している企業では、自宅で社内ネットワークが使えずに、業務USBメモリを持ち帰って個人PCで営業資料や顧客リストを確認・修正しているケースもあります。

 シャドーITとして利用されやすいもの

シャドーITとして利用されやすいもの

・私物のデバイス / 個人端末

個人所有するスマートフォンやノートパソコン、タブレット、またUSBメモリなどがシャドーITの対象となりやすいものです。

個人のデバイス管理を企業や組織が行うのは難しいため、あらかじめ企業からデバイスを支給するといった対応が必要です。

 ・SNS / チャットツール

私用で多く使われるチャットツールは、簡単な業務連絡に使うパターンがあります。

LINEで「〇〇さんに連絡してください」などの連絡をしたり、Twitterやフェイスブックで「明日の会議は9時からです」と共有したりと、SNSツールは手軽に使えます。

「このくらいは大丈夫だろう」という情報でも、慣れてくると重大な情報でもSNSで連絡することに、危機感を抱かなくなる可能性があります。

管理者は個人のSNSを監視することができないので、法人が利用できるチャットツールなどの導入を検討してください。

 ・フリーメール

GmailやYahoo!メールなどのフリーメールも個人で便利に使えるツールなので、シャドーITとして利用されるケースがあります。

アカウントが簡単に取得できて大量のデータの受け渡しもできるツールなのに、無料で利用できるのが魅力です。

しかし、さまざまなリスクが潜んでいるので、企業や組織はセキュリティ対策をしているメール機能の導入を検討しなければなりません。

 ・クラウドストレージ

DropboxやBoxなどはシャドーITとして使われやすいクラウドストレージです。

テレワークなどで社内ネットワークが使えないとき、「どのようにファイルを共有するか」が検討され、選択されやすいのが一般的に普及されているクラウドストレージでしょう。

スマホやタブレットなどでもファイルのやり取りができるので、従業員は効率的だと判断し、利用者は多いようです。

それでもIT管理部門が把握できないクラウドストレージはリスクが多く、インシデント事故が発生した際の対処もできなくなるため、社外でも使用できるクラウド導入を進めてください。

 シャドーITによるセキュリティリスク

 シャドーITによるセキュリティリスク

情報漏えい / ショルダーハッキング

シャドーITによるリスクで挙げられる1番のリスクが情報漏えいです。

個人利用しているチャットツールやクラウドストレージは、モバイル端末でも手軽でスムーズなやりとりができるため便利ですが、端末の紛失や盗難による情報漏えいのリスクがあります。

加えて、スマホなどは背後から画面を覗き見されやすく、クライアント名や業務内容、ID・パスワード、重要情報などを盗み取られるという「ショルダーハッキング」も重大な情報漏えいに繋がります。

 フリーWi-Fiへの接続 / なりすましアクセスポイント

カフェやシェアオフィス、ホテルなどでフリーWi-Fiへの接続を行っている際、悪意のある人によって通信内容を傍受されるリスクが発生します。

情報を抜き取られることや端末を遠隔操作される危険、これにより、盗聴・盗撮といった不正な使い方をされてしまうリスクを考えなければなりません。

大多数が利用する公共施設やカフェでは、提供しているフリーWi-Fiが「なりすましアクセスポイント」と呼ばれる偽物のフリーWi-Fiになっていることもあり、注意が必要です。

 アカウントの乗っ取り

フリーメールやクラウドストレージなどのサービスは、セキュリティ面で不安があるため、アカウントを乗っ取られることも考えられます。

アカウントを乗っ取られると、情報を盗まれたり、誰でも閲覧できる状態で公開されたり、データを書き換えられてしまうケースが考えられます。

また、なりすまされて誤情報を発信されてしまうことも危惧しなければなりません。

このような事態は企業の信用に大きく関わるだけでなく、インシデントに発展した場合、クライアントや下請けにも損害を与えることになるでしょう。

企業の管理下にないツールやサービスは、アカウントが乗っ取られたときに個人では気づきにくく、迅速な対処ができないというリスクもあります。

 LANへの侵入 / サイバー攻撃

管理外の個人デバイスを社内ネットワークなどに接続した場合、ネットワーク全体が脅威にさらされる可能性があります。

個人のPCが知らないうちにマルウェアなどに感染していた場合、社内ネットワークに繋げたとたんにマルウェアが拡散して、ネットワーク全体に被害が広がります。

その後、データが盗まれたり書き換えられたり、破壊されたりといった被害も想定しておきましょう。

 企業ができるシャドーIT対策|トラブルを防ぐ4つの方法

 企業ができるシャドーIT対策|トラブルを防ぐ4つの方法

シャドーITの危険性の教育

シャドーITの危険性に関しては、企業や組織全体に周知して教育を行うことが急務で重要です。

そもそも、シャドーITの危険性に関して理解していない従業員は多く、リスクより利便性でシャドーITを使用している方が大多数でしょう。

シャドーITがなぜ危険なのか、セキュリティリスクが侵された場合にどのような損害を被るのかを、従業員をはじめ企業や組織全体で認識できるように周知してください。

 シャドーITを使わなくてもよい環境作り

テレワークやリモートワーク、社内ワークなど勤務場所に関わらず、業務で利用するITデバイスやサービスを使いやすく効率的な環境にしていくことが大切です。

業務利用を想定しているチャットサービスを用意したり、ビジネスプランのあるクラウドストレージでファイルを共有したりと、利便性とセキュリティ対策が施されている環境を作らなければなりません。

このような対策により、シャドーITを使わなくてもよい環境を作ってください。

 ガイドラインを設ける

セキュリティ対策が施された業務環境を整えた上で、個人デバイスや無料サービスの業務利用に対するガイドラインを作ることも有効です。

ケースバイケースの特例を整備し、システム管理者の許可を得ることを義務付けるワークフローなども役立ててください。

企業が承認している個人のデバイスやサービスを「BYOD」とよびますが、個人のプライバシーには干渉しない仕組みを持つビジネスアプリもあるので、ガイドラインを設けたうえでBYODを取り入れるのもいいでしょう。

個人デバイスによるツール利用の禁止をうたうだけでなく、許可に対し柔軟に対応してBYOD体勢を組めば、反発も少なく管理体制が維持できるようになります。

 アクセス監視を行う

シャドーITの危険性の教育を行い、企業や組織全体で共有できた時点からアクセス監視を行うことも有効です。

アクセス権限やログ管理のできる社内ツールを利用してもらうことで、情報がどのように扱われているかを把握でき、規制や制御が可能になります。

通信経路上のプロキシなどのゲートウェイに通信内容の検査機能を設け、シャドーITを発見次第アクセス遮断などの対応をすることで、従業員の危機意識も高まるかもしれません。

 まとめ

シャドーIT対策は難しい?セキュリティリスクとトラブルを防ぐ4つの方法 まとめ

シャドーITは、企業にとって大きなセキュリティリスクになります。

企業や組織内で管理部門・管理者の許可が感知できない状態で、情報漏えいやアカウントの乗っ取りなどが起きた場合には対処が困難になるでしょう。

テレワークやリモートワークなど社外での業務が増える中、シャドーITを無くすために従業員の意識改革を優先し、企業や組織は使いやすいデバイスやツールの業務インフラを今一度、見直してみても良いかもしれません。

人材不足でお悩みの企業様へ

IT業界では長年課題となっている「慢性的な人材不足」と「案件の低単価化」…

この課題を解決するBtoBマッチングサービスがあるのをご存じですか?

その名も「ふるリモエンジニア」。

ふるリモエンジニア」は、フルリモート案件に特化し、システム開発案件を発注したい企業と受注したい企業を直接つなげることで、全国から開発リソースの確保することが可能になります。

人材不足でリソースを確保したい

リソース不⾜が原因で、 相談や依頼のあったシステム開発の受注を断念した経験はありませんか?

ふるリモエンジニア」では、開発体制の⼀部をフルリモート化することで、全国の実績豊富な開発企業と協業体制を築きます。

人材不足、リソース不足でお困りの企業様はぜひ一度ご相談ください。(詳細はコチラ)

発注企業様向けに新しく『Freeプラン』をリリースいたしました。

今だけ『初期費用0円キャンペーン』実施中のため、「完全無料」で当サービスの利用を開始していただけます。

ぜひ、この機会に「ふるリモエンジニア」へお申し込みいただき、サービスをお試しください。

※案件のご掲載をご希望の場合は、有償プランへのアップグレードが必要となります。

エンジニアをお探しの企業様へ フルリモート開発で人材不足を解決!まずは資料請求してみませんか?

案件を獲得したい

ふるリモエンジニア」は、システム開発を依頼したい企業と直接つながることができるBtoBマッチングサービスです。

フルリモート案件に特化することで、全国どこでも開発が可能となり、いままで断念していた案件の獲得も可能となります。

案件を獲得したい企業様はぜひ一度ご相談ください。(詳細はコチラ)

案件をお探しの企業様向けに『お試しキャンペーン』を実施しております。

キャンペーン期間中は、エンジニア登録2名様まで「完全無料」で当サービスをお試しください。

ぜひ、この機会に「ふるリモエンジニア」へお申し込みいただき、サービスをお試しください。

※3名様以上のご登録をご希望の場合は、有償プラン月額11,000円へのアップグレードが必要となります。

お試しキャンペーン

フルリモートに特化した開発案件が見つかる!まずは資料請求してみませんか?

アバター画像

ふるリモ編集部

ふるリモメディア編集メンバーが不定期で更新します。
システムエンジニア業界と社会の動向から今話題の最新トピックまで、わかりやすく紹介します!

関連記事Related article

おすすめ記事Recommend

ジャンルから記事を探すSearch by genre

カテゴリから記事を探すSearch by category

案件をお探しの企業様へ フルリモートに特化した開発案件が見つかる「ふるリモエンジニア」のサービス詳細はこちら案件をお探しの企業様へ フルリモートに特化した開発案件が見つかる「ふるリモエンジニア」のサービス詳細はこちら
エンジニアをお探しの企業様へ ふるリモエンジニアならBtoBでエンジニアの⼈材不⾜を解決!サービス詳細はこちらエンジニアをお探しの企業様へ ふるリモエンジニアならBtoBでエンジニアの⼈材不⾜を解決!サービス詳細はこちら