シャドーITとは何か?シャドーITに関する基礎知識や原因とその対策について

INDEX

    リモートーワークやテレワークの普及に伴い、シャドーITによるリスクが高まっています。

    遠隔による監視や管理が整っていない状況、もしくは従業員の行動が把握できない状況のままリモートワークやテレワークを導入し、その場しのぎや付け焼き刃で業務を回していることに不安を感じている方もいらっしゃるのではないでしょうか。

    今回はシャドーITに関する基礎知識や原因、シャドーITを防ぐための対策や考え方についてお話します。


    シャドーITに関する基礎知識

    はじめにシャドーITに関する基礎知識について説明します。

    シャドーITとは

    シャドーITとは、従業員が属する企業や組織に承認を得ずに、管理されていないデバイスやオンラインサービスによって業務を行っていることを指します。

    ・従業員の私物のデバイスや許可していないプログラム、アプリの利用
    ・従業員および従業員同士で許可されていないメッセージツールを利用
    ・従業員の私的なインターネット回線、もしくは公衆Wi-Fiを利用
    ・雇用側が認めていないUSBメモリや外付けHDDの利用
    ・クラウドストレージやWebメールなどのオンラインサービスの利用

    上記はごく一例ですが、企業や組織側の承認や許可がないまま業務で利用していれば、シャドーITに属すると言えます。

    シャドーITに潜む脅威やリスク

    シャドーITに潜む脅威やリスクをいくつか挙げてみます。

    ・デバイスの乗っ取り
    ・情報漏洩や内部不正
    ・データの盗み見、盗聴、改ざん
    ・マルウェアやウィルスに感染するリスクの増加
    ・サイバー攻撃全般のセキュリティ対策の無効化

    上記はごく一例ですが、デバイスやプログラムを介した脅威に晒されるとともに、その先にある金銭的リスク、社会的信用を失うリスクが懸念されます。しかし、このようなことを理解せず、安易な気持ちで「勝手に」シャドーITを行ってしまう人が絶えないのが現状と言えます。

    リモートワーク・テレワーク・在宅ワークの普及による影響

    社内や組織内であれば、私物のパソコンやスマートフォンの利用も物理的な目が行き届きますし、雇用する側が用意したデバイスかつネットワーク内であれば、不要なアプリ・オンラインサービスの利用は管理者が把握することができます。

    しかし、ここで問題となるのが2020年初頭に発生した新型コロナウィルス感染症(COVID‑19)です。準備が整っていない企業や組織は、リモートによるデバイスやネットワークの監視や管理が行き届かないような状況でテレワークを進めなくてはなりませんでした。シャドーITの存在を知らないまま、システムの導入やルールの整備を行わず、実務や現場の担当者に任せてしまったり、テレワークの作業環境の構築を個人の裁量に任せてしまったりしたことで、結果としてシャドーITの存在が明るみに出たと言えます。

    シャドーITが起こる原因

    次にシャドーITが起こる原因を説明します。

    雇用側がデバイスやネットワークを監視・管理する仕組みを持っていない

    シャドーITは雇用側がデバイスやネットワークを監視・管理する仕組みを持っていない場合に起こります。私物のパソコンやスマートフォンを社内や組織内のネットワークにつなげられても検知できなかったり、アプリやプログラムのインストールを制御していなかったりすることで、従業員側は好き勝手できてしまうということです。

    その他にも遠隔によるデバイス管理が不十分であり、USBメモリや外付けHDDを接続しても検知や拒否ができない、ファイルへのアクセス履歴の監視やファイルのアクセス権限の割り振りができないような状況も、シャドーITによるセキュリティインシデントが発生する可能性を高めてしまいます。

    雇用側がIT機器や回線利用に関する社内規則やルールを明確にしていない

    シャドーITは雇用側がIT機器や回線利用に関する社内規則やルールを明確にしていない場合にも起こります。私物のデバイスや私的な回線を業務で利用しない、利用させないよう周知徹底しないまま、個人の裁量に任せてしまっている状況とも言えます。

    そもそも、なぜ私物のデバイスや私的な回線を使うべきではないかと言えば、雇用する側のセキュリティ対策が行き届かなくなるからです。例えば、私物のデバイスのOSがアップデートされていない、またはウィルス対策が不十分な場合、マルウェアやウィルスによってアカウントやデバイスが乗っ取られることがあります。私的な回線が安全でない場合、データや通信を盗み見られることで、乗っ取られる可能性が存在します。そして、乗っ取られたデバイスを業務で利用したとすれば、情報漏洩や他のデバイスへの感染など、被害が拡大する恐れがあるということです。

    従業員側の勝手な判断や独断による私物の利用など、公私混同

    シャドーITは従業員側の勝手な判断や独断による私物の利用など、公私混同が曖昧なままの環境でも起こります。オフィスや事務所など、社内や組織内であったとしても、業務に支障がなかったり、特にうるさく言われることがなかったりすると必然的にシャドーITが発生するということです。

    また、前述したようにテレワークへの対応を迫られたことで、リモートによる監視や管理ができないままテレワークに突入してしまうケースもあります。社内や組織内であれば監視や検知ができたようなシャドーITも、物理的に離れており、心理的にも緊張感や責任感が低下してしまうことで心の緩みが起こり、結果としてシャドーITの発生を助長してしまう結果につながってしまいます。

    シャドーITを防ぐための対策や考え方

    次にシャドーITを防ぐための対策や考え方をご紹介します。

    IT資産や情報資産を管理するツール・ソフトを導入する

    まずはIT資産や情報資産を管理するツール・ソフトを導入しましょう。システム的にデバイスやネットワークを監視や管理することから始めるということです。同時に、社内や組織内のネットワークだけでなく、テレワークのことも意識し、社内でも社外でもリモートや遠隔によるデバイスの監視や管理も可能にすべきです。

    従業員が私物を使わずに済む作業環境および社内規則やルールを整備する

    システム的に監視や管理が可能になったら、次はデバイスの貸与や業務で使うプログラムおよびオンラインサービスの選定です。業務に支障がないスペックのデバイス、安全なネットワーク接続、業務に必要なプログラムやオンラインサービスの洗い出しと見極めを行いましょう。同時に、テレワークも含めて、シャドーITをさせないための社内規則やルールの整備を行うことで、従業員がシャドーITをしなくても済む環境作りが整います。

    監視や管理が従業員を不要なリスクから守るためであると周知徹底する

    監視や管理は息苦しさを感じるという人もいますが、実際には従業員を不要なリスクから守るためであると周知徹底しましょう。公私混同して私物のデバイスや私的な回線、もしくは指示や指定されていないプログラムやオンラインサービスを利用してしまうと、企業や組織として守れないと明確にすべきです。なぜ、シャドーITをすべきではないのか理解してもらうこと、シャドーITが従業員個人にとってのリスクであることを理解してもらいましょう。


    まとめ:シャドーITはシステム的な対策と作業環境の整備で防ごう!

    今回はシャドーITに関する基礎知識や原因、シャドーITを防ぐための対策や考え方についてお話しました。

    シャドーITに関する不安や悩みを解決するためにも、まずは雇用する側がシステム的に監視や管理をできる体制を整えることから始める必要があります。システム的にシャドーITを防げる仕組みを導入した上で、社内規則やルールの改訂、シャドーITに関するリスクの周知徹底を行うことをおすすめします。

    当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」であれば、シャドーITの対策に必要な機能を備えています。リモートかつ遠隔によるデバイスの一元管理や監視、OSやソフトウェアの更新状況の把握、インストールするソフトの管理、PC操作ログの取得や監視など、テレワークとオフィスの両方の安心・安全な業務体制の構築が可能です。

    その他、社内ネットワークへの安全な接続、ファイルの暗号化、メールの送受信の履歴の取得など、セキュリティ全般の不安や悩みの解決につながりますので、この機会ぜひご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 【改訂】ISMS(ISO27001:2022)対策のポイント5選

      常時開催

      【改訂】ISMS(ISO27001:2022)
      対策のポイント5選

    • IT導入補助金2024の攻略法

      常時開催

      IT導入補助金2024の攻略法

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら