こんにちは!
新年を迎えて2週間ほど経ちましたが、みなさまいかがお過ごしでしょうか。
おせち、年賀状、書初め、鏡開きなど、1月は1年の中でもっとも日本ならではの文化を味わうことができます。
普段はなかなか意識しない「日本らしさ」に目を向けるのもいいかもしれませんね!
さて、今回のテーマは「シャドーIT」です。
みなさんも普段からPCやスマートフォンを使用し、チャットアプリやソフトウェア、クラウドサービスを利用することで、手軽にコミュニケーションをとったり、データ共有を行っているのではないでしょうか。
しかし、これらを業務で使用してしまったら…それはシャドーITになり、重大なセキュリティ事故につながる可能性があるのです。
今回は、私たちの身近に潜んでいる「シャドーIT」について詳しく解説します!
1.シャドーITとは
シャドーITとは、社員が企業に承認されていない、個人所有のPCやスマートフォン端末を業務で使用したり、企業に許可されていないソフトウェアやクラウドサービスを利用することです。
一般的に組織や企業では、情報管理者が情報を適切に管理する状態を保つために、各業務部署に情報システムや情報機器、外部のクラウドサービスを提供しています。
しかし、スマートフォンなどの消費者向けIT機器の発達や、無料で使いやすいソフトウェアやクラウドサービスの広がりとともに、管理者が知らないうちに社員の私物の機器やソフトウェアが無断で導入されて、業務に利用されているのです。
このように、企業の情報管理者が把握していないクラウドサービスやIT機器は「シャドーIT」と呼ばれ、セキュリティリスクとして認識すべき項目となっています。
また、シャドーITに関連して「BYOD(Bring your own device)」という言葉があります。
BYODとは、個人が私物として使用している端末を、企業から許可を得て業務で使用することです。
こちらでは「企業の承認を得ている」ところがポイントです。
BYODでは端末の使用のみを指すのに対し、シャドーITには端末やソフトウェアなどの各種サービスも含まれています。
2.シャドーITの危険性
なぜシャドーITが問題になるのでしょうか。
それは消費者向けのサービスは、企業向けのサービスに比べてセキュリティ対策が手薄な場合が多く、重大なセキュリティトラブルを引き起こす可能性が大きいためです。
また、シャドーITは、利用している本人でさえ無自覚のまま利用していることが多く、問題が起きてからシャドーITだと気が付くことがあります。
ここでは、シャドーITとは具体的にどのような行為を指し、どのような危険があるのかを見ていきましょう。
★チャットツールによる情報漏洩リスク
チャットやSNSはメールよりも手軽にコミュニケーションをとることができるといった便利さから、未承認で業務に利用されることがあります。
しかし、個人のチャットやSNSを業務に利用することで、誤送信やなりすましによる情報漏洩のリスクが大きくなります。
たとえば、業務とプライベートで同じチャットツールを利用していたところ、会社の情報を友人に誤送信してしまったり、社内の人物になりすました人物からのフレンド申請を承諾してしまい、会社の情報を盗まれてしまうということがあります。
また、このような消費者向けのサービスでは端末に履歴が残ったり、操作ミスやサービス運営側のトラブルによって情報漏洩が起きるリスクもあります。
★データの持ち出しによる情報流出のリスク
情報漏洩の原因として最も多いのが端末の紛失や置き忘れです。個人利用しているPCやスマートフォンはプライベートでも使用していることから、紛失や置き忘れのリスクが大きいのです。また、職場で使用しているデータをUSBメモリに移し替えて持ち出すなど、保存メディアを企業の承認なく使用している場合も、紛失や置き忘れによる情報漏洩のリスクが高まります。実際には、顧客情報を取り込んだUSBメモリ、業務で使用する画像を保存したスマートフォンなどを紛失してしまうといったケースが発生しています。
★ネットワーク接続によるウイルス感染のリスク
たとえば、個人で所有している端末がウイルスに感染していたとして、それに気が付かずに社員が会社で管理しているPC端末にネットワーク接続した場合、それまで健全であった会社管理の端末がウイルスに感染してしまいます。
このように、知らない内に感染していたウイルスを社内に広げてしまったり、不正アクセスによるウイルス感染で、情報が流出してしまうといったケースが存在します。
3.シャドーITの原因は?
シャドーITが抱える危険についておわかりいただけましたでしょうか?
では、なぜ社員は会社が未承認のソフトウェアやクラウドサービスを利用してしまうのでしょうか。
対策を考える前に、原因についてもしっかりと確認しておきましょう。
★使い慣れているため効率がいい
未承認のソフトウェアやクラウドサービスを利用してしまう原因として、やはり「使い慣れているため効率がいい」ことがあげられます。
たとえば、普段から使い慣れているチャットツールを利用すれば、コミュニケーションを円滑にするという部分では、メールよりも優れています。
また、オンラインストレージサービスを利用すれば大量のデータを保存したり、共有することも容易になり、データを持ち出さなくても、ネット環境さえあればどこからでもアクセスすることができます。
このようにシャドーITにはセキュリティ上リスクがあるものの、利便性が高く、業務を効率的に行うことができる機能が備わっている場合が多いのです。
★悪意のないシャドーIT
社員がリスクを理解しつつも、利便性を優先した結果、シャドーITを利用している場合もあります。
この場合、社員に悪意はなく「もっと業務を効率的に行いたい」「自宅や隙間時間を使って仕事をしよう」といった理由から、普段から使い慣れたツールや端末を利用してしまうことがあります。
また、そもそも「シャドーITをセキュリティリスクだと認識していない」というケースもあります。これは企業や組織の中で、セキュリティ教育が行き届いていなかったり、プライベート用のツールの利用禁止を明確にルール化していないことが原因となります。
4.今後のシャドーIT対策について
それでは、シャドーITを回避するためにはどのような対策を考える必要があるのでしょうか。ここで重要なのは、ただ使用を禁止したり利用規制をかけないということです。
社内のシャドーITの原因を把握し、以下のような対策を組み合わせて行いましょう。
★まずは社員にヒアリングをする
まずは「なぜ会社が未承認のソフトウェアやクラウドサービスを利用してしまうのか」について社員に詳細なヒアリングを行うことです。
・端末の整備状況
・ネットワーク環境
・今後利用したいツールについて etc
社員の業務環境やニーズをヒアリングし、必要なツールやアプリ、端末や業務環境の整備を行います。
★一定の条件のもとで許可する
個人が所有する端末などの情報資産の利用を一定の条件のもとで認める処置を行います。
その場合、許可するツールやサービスの種類を限定したり、利用するためには申請を行うなど、仕組みやルールをつくることが重要になります。
この場合、ルールを逸脱してしまったら罰則を設けるなどの処置も必要になります。
★利用制限を設ける
強制的に、特定の端末やネットワークと接続できないような仕組みを構築したり、Webフィルタリングソフトを利用し、サイトのアクセス制限をかけることも有効な手段です。
たとえば、オフィスで使用するPCにはUSBメモリを使用できないような仕組みを構築したり、Webフィルタリングソフトを使用し、有害サイトへのアクセスを未然に防ぐことができます。
★シャドーITの周知やセキュリティ教育の充実
そもそも、シャドーITの危険性を認知していなかったり、社内のルールが正しく周知されていないと、シャドーITが横行するようになります。
特に企業や組織には、重要な顧客情報や社員の個人情報、営業機密など、多くの情報を取り扱っています。これらの情報が外部に漏洩し、悪用された場合、会社の管理能力が問われるとともに信用は地に落ちることになります。
だからこそ、シャドーITはもちろん、日ごろからセキュリティ教育をしっかりと行い、セキュリティに対するリテラシーを高めていく必要があります。
5.まとめ
いかがだったでしょうか。
今回、シャドーITには、情報漏洩やウイルス感染などさまざまなセキュリティリスクが潜んでいることをおわかりいただけたかと思います。
しかし、それらの多くは利便性を求めて、普段から使い慣れている端末やソフトウェア、クラウドサービスを利用してしまったり、そもそもシャドーITについての危険性を理解していない場合がほとんどです。
また、個人で所有している端末やソフトウェア、クラウドサービスの利用の管理は難しく、企業側も実態の把握が困難である場合もあります。
シャドーITの対策では、社員のニーズをしっかりとヒアリングし、業務環境を整えたり、使用可能なツールを明確化し、ルールを設けることが重要です。
そして、社員がシャドーITをはじめとする、セキュリティリスクの把握ができるように教育体制を見直すことも大切です。
これからは、1人1人がセキュリティに対するリテラシーを高め、自ら抑止できるような状態を作っていくことが望ましいですね!