2021.06.14

ビジネス

シャドーITを事例つきで解説!企業のリスクや対策方法もチェック

シャドーITという言葉を聞いたことはあるでしょうか。テレワークの導入などをきっかけに、このシャドーITの問題に直面している企業も多いかもしれません。今回は、実際の事例を紹介しながら、企業ができる具体的な対策法について見ていきたいと思います。シャドーITって何?という方も、しっかり対策しておきたいという方も、ぜひ本記事を参考にしてみてください!

デバイス管理やセキュリティ対策のお悩み、
MDM導入で解決しませんか?
【 ただいま無料相談実施中! 】

シャドーITとは?

シャドーITとは、従業員が会社の許可を得ることなく、外部サービスや私用端末を使って業務を行うことを指します。こうしたシャドーITが行われると、社用端末であれば可能なセキュリティ対策などを講じることができません。つまり、シャドーITが行われることは、企業にとってのセキュリティリスクの発生にも繋がってしまうのです。

シャドーITの事例

シャドーITが行われる理由はさまざまありますが、そのほとんどが悪意をもった行為ではありません。たとえば仕事を自宅に持ち帰った際に私用端末を使ったり、使いたいツールの承認許可がなかなか下りないから私用端末で使用したといったパターンが多く見られているようです。

また、近年はクラウドサービスの広まりにより、端末を問わずにツールが利用できる環境が整いつつあります。それゆえに、個人の端末でも簡単にツールの利用ができてしまうことも、シャドーITが起きてしまう理由の一つでもあります。

本人に悪気がないために発生しがちなシャドーITですが、ここからは、実際のシャドーITの事例を見ていきます。なにげなくしていたことがシャドーITだったということもあり得ますので、よくチェックしてみてください。

事例①チャットツールの利用

社内のやりとりでは、SlackやChatworkといったチャットツールで行っている企業も多いかと思います。実は、こうしたチャットツールやアプリを個人の私用端末にダウンロードして利用することも、シャドーITの一つです。
社内のコミュニケーションには、社外に出してはならない機密情報も数多くあります。もしも私用端末を紛失してしまったり、外出先でやりとりの内容を人に見られたりすれば、それだけで機密情報の漏えいに繋がります。

いつでも連絡を取れるようにと、私用端末でもやりとりを行っている人は意外と多いものです。しかしながら、そうした行動は本人すら気づいていないリスクになってしまうのです。

事例②メールの利用

Gmailなどのメールサービスは、IDとパスワードさえあれば簡単にログインが可能です。私用端末であってもメール機能を利用することも可能ですが、こうしたパターンもシャドーITの一つになります。万が一、利用している端末に不正アクセスなどが起これば、IDやパスワードの情報までをも取得されてしまう恐れもあるでしょう。端末を問わずに簡単に利用できるのがこうしたメールサービスのメリットでもあるため、悪気なくシャドーITを行ってしまうということも有り得えます。セキュリティ対策をしっかりと講じた環境でなければ、こうしたメールの使用は常に危険と隣り合わせであることもまた、しっかりと認識しておくべき点です。

事例③個人端末の利用

最後に例として、個人端末の利用が挙げられます。たとえば業務を自宅に持ち帰ることにした場合など、自宅にある私用端末を利用することになるでしょう。業務用端末へのUSBの利用を禁じている企業は多いかもしれませんが、昨今のクラウドサービスの広がりにより、データを持ち帰ることなく自宅でも業務が可能な状況になってきました。たとえUSBを使用しなかったとしても、自宅などから個人の端末を使って業務を行うことも容易となってきています。こうしたパターンもまた、シャドーITの一つです。

また、上記の例の他にも、使用したいソフトウェアを会社へ申請したけれども受理に時間がかかっているといった場合も、シャドーITが発生しがちです。私用端末であれば使いたいツールを利用できるという理由から行ってしまうことがありますが、こうした場合もシャドーITに当てはまります。

デバイス管理やセキュリティ対策のお悩み、
MDM導入で解決しませんか?
【 ただいま無料相談実施中! 】

シャドーITの企業リスクは「セキュリティ面」

実際にシャドーITの事例を見ていきましたが、どれもが会社の管理外のツールや端末を、許諾なく使用している点が共通しています。もしかすれば、これくらい大したことはないのではとお思いになった方もいるかもしれませんが、実際に恐ろしいのはセキュリティ面の問題です。

企業の管理下の端末などであれば、セキュリティ対策としてソフトウェアを搭載していたり、VPN接続を講じるなど、セキュリティ面を強固にするための対策をさまざまな形で設けていることがほとんどです。しかしながら、従業員の私用端末には当然ながらそうした対策は講じられてはいません。簡単に利用できてしまうからこそ、気軽にシャドーITが起きてしまいがちですが、もしも私用端末から情報漏えいが起きれば企業としては甚大な被害を被ります。会社としての信用問題にも関わってきますので、シャドーITを未然に防ぐことは企業にとっても重要なリスクヘッジとなるのです。

シャドーITとBYODの違いとは?

従業員の私用端末を使って業務を行うものとして、「BYOD(Bring Your Own Device)」と呼ばれる形式のものがあります。シャドーITとBYODの大きな違いとしては、前者が会社への許諾なしに行われるものであるのに対し、後者は会社の認可に基づいて行われているという点になります。BYODの場合は、企業がセキュリティリスクを考慮した運用ルールに基づいて行われますので、セキュリティ面のリスクは低減します。

BYODについては、こちらの記事でも詳しく解説していますので気になる方はご覧ください!
>>BYODをわかりやすく解説!メリット・デメリットや注意点をチェック!

シャドーITの対策方法

シャドーITのリスクについては理解できたと思いますが、ここからは実際にシャドーITを防ぐための対策方法について解説していきたいと思います。

従業員のセキュリティリテラシー教育の徹底

対策として、まず第一に従業員へのセキュリティに対するリテラシーを高める教育体制を徹底して行うことが挙げられます。前述した通り、シャドーITは悪気なく行われてしまう場合がほとんどです。従業員に正しいセキュリティのリテラシーを教育することで、「私用端末での業務は控えよう」という意識を持ってもらえれば、こうしたシャドーITも未然に防ぐことができるでしょう。また、シャドーITに関わらず、企業の従業員としてセキュリティ対策の知識を持っておくことも必要ですので、改めてこうしたリテラシーの部分を企業側から教育しておくことをおすすめします。

従業員の入社時には必ずセキュリティ講習を行う、年に数回はセキュリティに関するテストを行うなどで、従業員のリテラシーを高めることも可能でしょう。個人の常識に任せるのではなく、企業側から主体性を持って情報発信や教育を施しておきましょう。

MDMの導入で管理体制を構築

デバイス管理の方法として、MDM(モバイルデバイス管理)を導入しておくこともおすすめです。MDMでは従業員が使用する端末の一括管理が可能となり、OSのアップデートやWebフィルタリングなどセキュリティ面で安心できる環境を構築できます。また、業務に必要なアプリケーションの配信も管理者側で簡単に行えますので、使いたいツールの承認待ちで私用端末を使ってしまうといった問題も解決できるでしょう。

まとめ

今回は、シャドーITについて詳しく見ていきました。こんなことまでシャドーITになるの?と思った方もいらっしゃるかもしれません。今や端末を問わず簡単にツールやサービスが利用できる時代です。その利便性を保ちつつも、セキュリティ面で安心できる業務形態を維持していくには、従業員への教育や管理体制の構築が求められます。
シャドーITも含めて、従業員の使うデバイスを効率的に管理したい、セキュリティ面の強化を図っていきたいとお考えであれば、ぜひお気軽にご相談ください!様々な企業にMDMを導入してきた弊社が、ぴったりの運用プランをご紹介させていただきます。