リモートーワークやテレワークの普及に伴い、シャドーITによるリスクが高まっています。

遠隔による監視や管理が整っていない状況、もしくは従業員の行動が把握できない状況のままリモートワークやテレワークを導入し、その場しのぎや付け焼き刃で業務を回していることに不安を感じている方もいらっしゃるのではないでしょうか。

今回はシャドーITに関する基礎知識や原因、シャドーITを防ぐための対策や考え方についてお話します。

シャドーITに関する基礎知識

はじめにシャドーITに関する基礎知識について説明します。

シャドーITとは

シャドーITとは、従業員が属する企業や組織に承認を得ずに、管理されていないデバイスやオンラインサービスによって業務を行っていることを指します。

・従業員の私物のデバイスや許可していないプログラム、アプリの利用
・従業員および従業員同士で許可されていないメッセージツールを利用
・従業員の私的なインターネット回線、もしくは公衆Wi-Fiを利用
・雇用側が認めていないUSBメモリや外付けHDDの利用
・クラウドストレージやWebメールなどのオンラインサービスの利用

上記はごく一例ですが、企業や組織側の承認や許可がないまま業務で利用していれば、シャドーITに属すると言えます。

シャドーITに潜む脅威やリスク

シャドーITに潜む脅威やリスクをいくつか挙げてみます。

・デバイスの乗っ取り
・情報漏洩や内部不正
・データの盗み見、盗聴、改ざん
・マルウェアやウィルスに感染するリスクの増加
・サイバー攻撃全般のセキュリティ対策の無効化

上記はごく一例ですが、デバイスやプログラムを介した脅威に晒されるとともに、その先にある金銭的リスク、社会的信用を失うリスクが懸念されます。しかし、このようなことを理解せず、安易な気持ちで「勝手に」シャドーITを行ってしまう人が絶えないのが現状と言えます。

リモートワーク・テレワーク・在宅ワークの普及による影響

社内や組織内であれば、私物のパソコンやスマートフォンの利用も物理的な目が行き届きますし、雇用する側が用意したデバイスかつネットワーク内であれば、不要なアプリ・オンラインサービスの利用は管理者が把握することができます。

しかし、ここで問題となるのが2020年初頭に発生した新型コロナウィルス感染症（COVID‑19）です。準備が整っていない企業や組織は、リモートによるデバイスやネットワークの監視や管理が行き届かないような状況でテレワークを進めなくてはなりませんでした。シャドーITの存在を知らないまま、システムの導入やルールの整備を行わず、実務や現場の担当者に任せてしまったり、テレワークの作業環境の構築を個人の裁量に任せてしまったりしたことで、結果としてシャドーITの存在が明るみに出たと言えます。

シャドーITが起こる原因

次にシャドーITが起こる原因を説明します。

雇用側がデバイスやネットワークを監視・管理する仕組みを持っていない

シャドーITは雇用側がデバイスやネットワークを監視・管理する仕組みを持っていない場合に起こります。私物のパソコンやスマートフォンを社内や組織内のネットワークにつなげられても検知できなかったり、アプリやプログラムのインストールを制御していなかったりすることで、従業員側は好き勝手できてしまうということです。

その他にも遠隔によるデバイス管理が不十分であり、USBメモリや外付けHDDを接続しても検知や拒否ができない、ファイルへのアクセス履歴の監視やファイルのアクセス権限の割り振りができないような状況も、シャドーITによるセキュリティインシデントが発生する可能性を高めてしまいます。

雇用側がIT機器や回線利用に関する社内規則やルールを明確にしていない

シャドーITは雇用側がIT機器や回線利用に関する社内規則やルールを明確にしていない場合にも起こります。私物のデバイスや私的な回線を業務で利用しない、利用させないよう周知徹底しないまま、個人の裁量に任せてしまっている状況とも言えます。

そもそも、なぜ私物のデバイスや私的な回線を使うべきではないかと言えば、雇用する側のセキュリティ対策が行き届かなくなるからです。例えば、私物のデバイスのOSがアップデートされていない、またはウィルス対策が不十分な場合、マルウェアやウィルスによってアカウントやデバイスが乗っ取られることがあります。私的な回線が安全でない場合、データや通信を盗み見られることで、乗っ取られる可能性が存在します。そして、乗っ取られたデバイスを業務で利用したとすれば、情報漏洩や他のデバイスへの感染など、被害が拡大する恐れがあるということです。

従業員側の勝手な判断や独断による私物の利用など、公私混同

シャドーITは従業員側の勝手な判断や独断による私物の利用など、公私混同が曖昧なままの環境でも起こります。オフィスや事務所など、社内や組織内であったとしても、業務に支障がなかったり、特にうるさく言われることがなかったりすると必然的にシャドーITが発生するということです。

また、前述したようにテレワークへの対応を迫られたことで、リモートによる監視や管理ができないままテレワークに突入してしまうケースもあります。社内や組織内であれば監視や検知ができたようなシャドーITも、物理的に離れており、心理的にも緊張感や責任感が低下してしまうことで心の緩みが起こり、結果としてシャドーITの発生を助長してしまう結果につながってしまいます。

シャドーITを防ぐための対策や考え方

次にシャドーITを防ぐための対策や考え方をご紹介します。

IT資産や情報資産を管理するツール・ソフトを導入する

まずはIT資産や情報資産を管理するツール・ソフトを導入しましょう。システム的にデバイスやネットワークを監視や管理することから始めるということです。同時に、社内や組織内のネットワークだけでなく、テレワークのことも意識し、社内でも社外でもリモートや遠隔によるデバイスの監視や管理も可能にすべきです。

従業員が私物を使わずに済む作業環境および社内規則やルールを整備する

システム的に監視や管理が可能になったら、次はデバイスの貸与や業務で使うプログラムおよびオンラインサービスの選定です。業務に支障がないスペックのデバイス、安全なネットワーク接続、業務に必要なプログラムやオンラインサービスの洗い出しと見極めを行いましょう。同時に、テレワークも含めて、シャドーITをさせないための社内規則やルールの整備を行うことで、従業員がシャドーITをしなくても済む環境作りが整います。

監視や管理が従業員を不要なリスクから守るためであると周知徹底する

監視や管理は息苦しさを感じるという人もいますが、実際には従業員を不要なリスクから守るためであると周知徹底しましょう。公私混同して私物のデバイスや私的な回線、もしくは指示や指定されていないプログラムやオンラインサービスを利用してしまうと、企業や組織として守れないと明確にすべきです。なぜ、シャドーITをすべきではないのか理解してもらうこと、シャドーITが従業員個人にとってのリスクであることを理解してもらいましょう。

まとめ：シャドーITはシステム的な対策と作業環境の整備で防ごう！

今回はシャドーITに関する基礎知識や原因、シャドーITを防ぐための対策や考え方についてお話しました。

シャドーITに関する不安や悩みを解決するためにも、まずは雇用する側がシステム的に監視や管理をできる体制を整えることから始める必要があります。システム的にシャドーITを防げる仕組みを導入した上で、社内規則やルールの改訂、シャドーITに関するリスクの周知徹底を行うことをおすすめします。

当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」であれば、シャドーITの対策に必要な機能を備えています。リモートかつ遠隔によるデバイスの一元管理や監視、OSやソフトウェアの更新状況の把握、インストールするソフトの管理、PC操作ログの取得や監視など、テレワークとオフィスの両方の安心・安全な業務体制の構築が可能です。

その他、社内ネットワークへの安全な接続、ファイルの暗号化、メールの送受信の履歴の取得など、セキュリティ全般の不安や悩みの解決につながりますので、この機会ぜひご相談、お問い合わせください。