シャドーITとは 原因やセキュリティリスク、対策を解説
クラウドサービスやテレワークの普及で、オフィス内で業務をする必要がなくなり自宅や外出先のカフェで業務をすることも一般的になりました。一方で、企業に無断で許可されていないツールやサービスを利用するシャドーIT(Shadow IT)という言葉も注目され始めていますので、本記事ではシャドーIT(Shadow IT)の原因やセキュリティリスク、対策を解説します。
シャドーIT(Shadow IT)とは
シャドーIT(Shadow IT)は、企業や組織が把握していないクラウドサービスやPCやスマートフォンやタブレット、サーバーなどのIT機器の事を指します。
具体的には、会社から承認されていないのにグーグルドライブで、従業員間でファイル共有を行ったり、LINEで業務情報をやりとりする などがシャドーITに該当します。
シャドーITが発生する原因
シャドーITが発生する原因として、新型コロナウイルスによるテレワークの普及により
私用のPCから業務を行えるようになった事、やPCやスマートフォンの低価格化と様々なクラウドサービスの普及により誰でも簡単に情報共有・連絡が可能になったためです。
テレワークの普及
新型コロナウイルスにより、日本でも急速にリモートワークが普及しました。それに伴い各情報をクラウド環境に保存したり、端末に依存しないクラウドサービスの契約も増加しました。
そうなると社用PCでなくても業務を行えるため、私用PCから業務したり自分が契約したいクラウドサービスを業務で従業員が発生しました。
働き方改革による残業時間の規制
働き方改革で残業時間が削減され、業務PCのログイン履歴などで残業時間を確認している会社もあるのではないでしょうか?
終了しなかった業務を行うために、私用PCへファイルを転送したり、私用PCから社内情報へアクセスする事例が増加し、シャドーITの温床になっています。
シャドーITで利用されるサービス
シャドーITで利用されているサービスは以下になります。
クラウドストレージサービス
グーグルドライブやBOXなどのクラウドストレージサービスは無料版もあり、私用で試しやすいこともありシャドーITで良く利用されます。
フリーメール
業務で作成が終わらなかった書類を、業務PCから私用PCへ送付する為にフリーメールが利用されることも多いです。フリーメールはリスト型攻撃による機械的なサイバー攻撃がやりやすく、危険です。
LineやSlack、チャットワークなどのチャットサービス
LineやSlack、チャットワークなどのチャットサービスはグループで利用されることが多く、
例えば、特定の営業チームが業務時間外でやりとりする為に利用するなどがあります。
こういったチャットサービスの利用は、会社にログが保存されないのでパワハラや業務過多を把握できない為、労働争議になった際非常にリスクになります。
個人所有のPC
自社のクラウドサービスで、接続元の制限などを行っていない場合私用PCから会社のネットワークへ接続する事が可能です。
この場合、私用PCから社内ネットワークへマルウェアを感染させるリスクがあります。
シャドーITのセキュリティリスク
シャドーITのセキュリティリスクを解説します。
自社のネットワークやPCへマルウェアやワームを拡散してしまう
業務上のファイルを従業員の私用PCやクラウドサービスへ保存している場合、
必ず私用PCから業務PCへのファイル送付を行います。
そのため私用PCやマルウェアやワームに感染していたりマルウェア付きのファイルを業務PCへ送付してしまうと、業務PCや業務上のネットワークへマルウェアを拡散してしまうリスクが発生します。
情報漏洩のリスク
私用のLINEや自身で契約したクラウドストレージサービスを利用していると、誤送信による情報漏洩や非公開設定が必要なのに、誤って一般公開してしまい機密情報が情報漏洩する可能性もあります。
また私用のPCやスマートフォンで業務上の個人情報をやりとりしていると、端末のローカルファイルに個人情報が保存される場合もあるので、端末の盗難や紛失により情報漏洩する可能性もあります。
アカウントの乗っ取りのリスク
クラウドサービスのアカウントが乗っ取りされると、機密情報や個人情報がそのまま漏洩します。
特に私用契約しているサービスは、アカウント乗っ取りや情報漏洩自体を気付かない可能性が高く、
企業側の対策が後手に回るリスクがあります。
労働基準法の違反やパワハラのリスク
私用PCでクラウドサービスを利用しているという事は、自社が把握していない業務をプライベートで行っているという事でもあり、労働基準法で定められている労働時間を超える可能性もあります。
また上司が私用のスマホから部下に対して、業務指示ややりとりを行っている場合はパワハラを誘発する場合もあります。
シャドーITの対策
シャドーITの対策は以下になります。
ガイドラインやルールの作成
ある程度私用PCからの業務を許可したり、VPN経由で社内環境へアクセスしてもらうなど従業員と会話し、柔軟なルールやガイドラインを策定します。
テレワーク環境の整備
必要なツールは申請して会社の経費で利用できるようにする。
リモートワーク対応の従業員向けスマートフォンやPCを配布するなど
従業員へのセキュリティ教育
私用PCからの業務が「なぜ危険なのか?」を定期的に従業員へ教育をする事も重要です。
以上の通りシャドーITはセキュリティ上のリスクがありますが、テレワークが普及したことにより一般的な企業でも発生するリスクになります。
適切に管理していくことにより、解消していくので現状把握を行いシャドーIT対策を行っていきましょう。