シャドーITで高まるリスクとその防止策

企業にとってセキュリティリスクとなるシャドーITについて、概要や対策を解説します。

シャドーITとは

シャドーITとは、企業への許可なく従業員が個人の判断で利用してしまっているIT機器やソフトウェアのこと。"企業の管理下にないデバイスやサービス"であり、申請なく仕事に利用された私用のスマートフォンやタブレット、クラウドサービスなどが該当します。

また、企業の管理下にないデバイスが利用されている状況を指すこともあります。

シャドーITによって生じるセキュリティリスク

近年のテレワークの普及で、企業が承認していないIT機器やソフトウェア"シャドーIT"の利用が増え、不正アクセスや情報漏洩といった問題の原因になっています。代表的なリスクを見ていきましょう。

情報漏洩

セキュリティが万全でない無料サービスの利用により、アカウントを第三者に乗っ取られ情報を盗まれるケースが考えられます。アカウントの管理権限が第三者に渡ると、利用者本人が制御できない状態で情報が世界中に公開される危険性も。アカウントの利用停止が容易にできないため被害が大きくなる可能性があります。

ウイルス感染

企業への確認をしないことで、ウイルスに感染したアプリケーションやソフトウェアをわからずにインストールしてしまう危険があります。パソコンやスマートフォンが起動しなかったり、端末内のファイルやデータが改ざんされてしまったり。個人用の端末から企業内で導入しているIT機器にウイルスが拡大し、大きな被害に繋がる可能性もあります。

デバイスの故障・紛失によるデータ消失

個人のパソコンやスマートフォンは管理が雑になりやすく、故障や紛失によって保存していたデータが消失するケースがあります。持ち出しが厳しく管理されている企業の端末と違い、いつどこで故障・紛失したのかがわかりづらく、修復や発見が困難になりやすい傾向も。

誤送信

私用と仕事用のメールが混在しているサービスを利用し、誤送信を引き起こすリスクがあります。アドレスやメールの管理が複雑化し、私用のメールアドレスで取引先にメールを送信してしまったり、企業ではなく知り合いにメールを送ってしまったり。情報漏洩や信頼損失に繋がります。

　

シャドーITの防止策

個人でも容易に利用できるサービスが豊富にある現代では、誰でも悪意なくシャドーITを起こす恐れがあります。原因に合わせ、以下のような対策をしていきましょう。

業務プロセスを確認して課題点を改善する

シャドーITが起こる原因として、企業が導入しているツールやアプリケーションを利用しにくいことが挙げられます。これを改善するには業務プロセスを確認して、従業員が仕事に取り組みやすい環境を整えることが大切です。定期的に作業環境についてヒアリングし、管理下にある機器やソフトウェアでスムーズに仕事を行なえるように改善しましょう。

ガイドラインを策定する

禁止事項やデータの扱い方など具体的な対応方法をガイドラインに示すことは、シャドーITの防止に有効です。「私用のパソコンやスマートフォンにデータを保存しない」「社内データを持ち出す際には許可を取る」と明文化することで、"うっかりシャドーIT"を防げます。

セキュリティ教育を実施する

セキュリティ対策への知識が少なく、安易にフリーツールを利用することでシャドーITに繋がることもあります。定期的にセキュリティ教育を実施することでリスクの発生を抑えましょう。企業側ですべての従業員の業務状況を把握するのは難しいため、一人ひとりの意識を向上させることが大切です。