シャドーITとは、企業が使用を許可していないデバイスやサービスを、従業員が業務に利用することを指します。企業が管理する範囲外のデバイスの使用は、マルウェア感染、アカウントの乗っ取りによる業務データの流出、またデバイスそのものの紛失などのリスクがあり、重大な損失につながる可能性があります。本記事では、シャドーITの概要から、シャドーITが発生してしまう背景、シャドーITとして利用されやすいデバイスやサービス、セキュリティリスクの種類や対策について解説していきます。
2023.06.19
基礎知識
シャドーITとは何か?シャドーITのリスク、対応策を詳しく解説
なぜシャドーITが発生するのか
業務用として認められていないデバイスやサービスを、従業員が許可を得ずに業務に利用してしまうシャドーITは、企業にとって潜在的リスクを伴います。NTTテクノクロスとZDNetが、2018年に「社内でシャドーITを利用している従業員がいることを認識している人」を対象に行ったアンケートでは、8割近くがセキュリティリスクを認識しているものの、その半数が自己判断でシャドーITを利用してもよいと考えていることが明らかになりました。
セキュリティに関する認識不足も要因のひとつと言えるのではないでしょうか。シャドーITが発生する理由について見ていきます。
※1ZDNET Japan|許可されていないクラウドサービスの利用が半数近くにも!調査結果に見るクラウド利用の実態(参照 2023年5月22日)
企業が指定するデバイスは使い勝手が悪い
自社のIT環境に対する従業員の不満が原因で起こる例です。例えば、外部ストレージの使用が制限されている、必要なアプリをダウンロードできない、Webサイトへのアクセスにフィルターがかけられているため見られない、など使い勝手のうえで問題があることが原因となります。
会社のパソコン(PC)へのアプリのインストールはユーザー権限ではできず、事前の社内承認が必要となっていることがほとんどです。そこで、私用のデバイスを使えば企業のポリシーによる制限がかけられていないため、アプリのインストールから、ファイルのアップロードやダウンロードまで、自由にできます。
また、テレワークが普及し、自宅で仕事をする機会が多くなったことで、使い勝手がいいデバイスを自分で準備して使用してしまうという利便性を優先した結果、企業の監視の目が届きにくくなり、シャドーITの利用に拍車がかかったと言えるでしょう。
セキュリティ意識の欠如
シャドーITが引き起こすセキュリティリスクに対しての認識が希薄というのも、シャドーITが発生する理由のひとつです。私用のデバイスや会社に認められていないサービスを業務用に利用することをリスクだと考えないため、悪いことをしているという認識すらない状態です。
特に、誰も注意する人がいない、上司からの目も行き届かない自宅では、セキュリティリスクに対しての認識が希薄になりがちです。普段、プライベートで使っているチャットツールを業務でも同じ感覚で使ってしまったり、クラウドサービスにデータをアップロードしたり、などといったことが起きます。
さらに、使用するデバイスやアプリについて社内の規定があいまいだと、従業員個人での判断が難しく、よく分からないまま使用するサービスやアプリを選択してしまうといったこともあり得るでしょう。
シャドーITのリスク
シャドーITにより起こり得るセキュリティリスクとしては、主に以下の3つが挙げられます。シャドーITの存在を見過ごすことは、企業にとって重大なセキュリティ事故を引き起こしかねないリスクになります。
情報漏えい
シャドーITによるセキュリティリスクでまず考えられるのが、情報漏えいです。例えば、許可されていない外部ストレージを利用し、さらにそのデバイスを紛失してしまうといった二重の不注意によるケースです。許可されていないデバイスの場合、暗号化、資産管理といった適切な処置がされていないため、データはそのまま読み取られることになるのです。
クラウド上へのデータアップロードも、クラウド自体のセキュリティ対策がしっかりしていない場合は、情報漏えいのリスクがあります。
マルウェアの感染
マルウェアとは、デバイスを遠隔から操作したり、データを破壊したりといった、悪意のある動作を行う有害なソフトウェアのことです。マルウェアが埋め込まれたWebサイトに誘導された場合は、そのWebサイトにアクセスしただけでマルウェアがダウンロードされることがあります。
そのほか、デバイス自体のセキュリティアップデートがされておらず、セキュリティホールのある状態で使用し続けているといったことも感染の要因として考えられます。このような状態ではマルウェアに感染しやすくなります。
マルウェアに感染したことにより、デバイスのID・パスワードが漏えいし、それらを用いて乗っ取られたPCを踏み台に社内ネットワークへアクセスされた、といったことが起こり得るため、要注意です。
アカウントの不正使用
利用者のID・パスワードなどを盗み取ることを目的としたフィッシングサイトは、本物のサイトそっくりに作られていることが多々あります。
フィッシングサイトに誘導されたあと、ユーザーID・パスワードを入力してしまうと、アカウント情報を盗まれてしまいます。攻撃者は、被害者がフィッシングサイトに入力する情報をもとに本物のサイトに入力しながら、リアルタイムで監視しています。そのため、2段階認証が設定されている場合でも、フィッシングサイトに被害者が入力したワンタイムパスワードを本物のサイトに入力して、楽々とクリアしてしまいます。
さらに、悪意のある第三者にパスワード、連絡先、メールアドレス、2段階認証の方法を変更されてしまえば、本来の利用者が使用できなくなります。また、乗っ取られたことに気づくまでの間に被害が拡大する可能性があります。
シャドーITに多用されるツール
シャドーITとして業務に使用されやすいツールを特定することで、対策が取りやすくなります。シャドーITとして利用されやすいツールの種類と特徴を以下に示します。
チャットツール
チャットツールは、メールよりも迅速に意思疎通ができる一方で、情報漏えいにつながる危険性があります。従業員が個人で利用しているチャットツールを業務に使用すると、企業のチェック機能が働かず、重要情報を誤って外部に送信してしまうという危険性があります。
クラウドストレージやファイル転送サービス
クラウドストレージやファイル転送サービスを利用すると、音声や映像などの大容量データの受け渡しが容易になります。このようなサービスには無料で使用できるものもありますが、SSL通信、暗号化に対応していない、ダウンロードURLさえ分かれば誰でもダウンロードできるなど、セキュリティ対策が十分ではないものも少なくありません。
無料Webメール
無料Webメールは、Web経由でさまざまなデバイスから使用できるため利便性が高いのですが、業務使用にはセキュリティリスクが高いツールです。
個人の無料Webメールを利用したメール送信の誤操作や、企業の内部情報を外部に送信してしまうといったことが可能性として考えられますが、それに対して企業側からは、ログの確認、添付ファイル、キーワードチェックといった制御ができません。
Web上で使える情報共有ツール
例えばスプレッドシートのように、Web上で使用できる情報共有ツールでも、人為的ミスが起きやすいと言えます。
不適切なアクセス権の設定、共有リンクの誤送といったリスクが考えられます。アクセス権設定のないリンクを共有した場合、対象スプレッドシートのアカウントを保持していれば、誰でも閲覧できるといったリスクもあります。
シャドーITを防止するための対策
従業員が独断で導入してしまうシャドーITを防止するのは、非常に困難です。
防止策としては、まずは従業員のセキュリティリスクに対する問題意識を向上するための対策を講じる必要があります。また、デバイス、アプリ、サービスの利用に関する社内ルールを作成することで、業務に利用できるものと、できないものを明確にできるでしょう。
さらに、シャドーITを導入する必要がないように、業務に必要なものをあらかじめそろえることは、非常に有効な対策になります。そのほか、業務に必要なデバイスやサービスの利用に対して柔軟に対応できる体制や、利用申請の受理が滞らないフローを整備する必要があります。例えば、承認者が休暇のため、休暇明けまで許可が下りないといったことを避けるフローです。
さらに、BYOD(Bring Your Own Device)に関するルールの整備も重要です。BYODとは、個人所有のデバイスを業務に利用することです。BYODを承認し、企業のシステムへ登録することで、どのようなデバイスが業務に利用されているのかを認知でき、制御が可能になります。
また、企業が許可していないデバイスからの企業内のアプリ・クラウドストレージへのアクセスや、セキュリティイベントを検知できるシステムなどの構築が推奨されます。
シャドーITを防止してPCを管理しよう
シャドーITは見えないところで利用されるため、防止が難しい問題です。企業の規模が大きくなるにしたがい、広範囲をカバーしなければならなくなり、より一層対策は難しくなります。そのため、業務で利用するPCをはじめとしたデバイスの管理・対策をアウトソーシングすることは、有効な選択肢のひとつとなります。
PCLCM(PCライフサイクルマネジメント)サービスを提供するDRSなら、PCの調達から処分まで、セキュリティ対策を含めたPCの管理をご提案します。シャドーITをはじめとしたセキュリティ対策にお悩みでしたら、ぜひDRSにご相談ください。
PCLCMサービスについて、そもそも分からない方は以下のお役立ち資料で詳しく解説しています。
➡【資料ダウンロード】PC運用にお悩みの担当者必見 PCLCMサービス導入ガイド
