シャドーITとは?用語解説から導入メリット、オススメシステムの紹介まで

目次

シャドーITとは

シャドーITとは、企業の情報システム部門が関与しないシステムやクラウドサービスやITデバイスのことを指します。
これらのシステムやサービスは従業員の特定のニーズを満たす場合に利用されますが、セキュリティ上のリスクをもたらす可能性があります。
例えばプライベートのITデバイスでチャットサービスを利用することで企業の機密を情報を漏洩してしまったり、自身のクラウドストレージサービスに知らず知らずの内に機密ファイルを同期してしまっていたなど様々なセキュリティリスクが存在します。
株式会社メタップスが2022年10月に行った調査「大企業社員600名に調査、シャドーITが生まれる理由の4割が「生産性の向上が目的」」によると、大企業の役2割の従業員がシャドーのITを利用した経験があるとされています。

出典元「株式会社メタップス」
企業URL:https://metaps.com/ja/
出店元URL:https://prtimes.jp/main/html/rd/p/000000111.000072698.html

また会社側が認知しないシステムやクラウドサービスやITデバイスを利用した理由としては、「そのサービスを利用することで生産性の向上が見込めるから」が41.7%、「特に問題はないと思ったから」が31.7%、「会社で利用しているサービスが非効率だから」が25.0%、テレワークの作業環境の構築を個人に任せられているから:17.5%、社内規制やルールが明確ではないから:14.2%、働き方改革で残業が規制され、仕事を家に持ち帰ることが増えたから:9.2%と従業員自身のITリテラシーの他に、従業員を取り巻く労働環境の変化や企業のIT管理の問題などが挙げられています。

出典元「株式会社メタップス」
企業URL:https://metaps.com/ja/
出店元URL:https://prtimes.jp/main/html/rd/p/000000111.000072698.html

シャドーITになりやすいもの

個人の情報デバイス

従業員が私的に利用しているスマートフォンやタブレット、パソコンなどはシャドーとして利用されやすいものになります。
特にテレワークの環境を従業員自身に任せていたり、残業規制により持ち帰りの業務が発生している場合など企業として対策が必要なケースもあります。

ャットツール

個人でのチャットツールは広く普及しており、業務連絡などで個人のチャットツールを利用したケースも少なくないのではないでしょうか。
そういった業務連絡に業務上の機密情報に関わる内容や顧客情報などが含まれているやりとりをするとセキュリティ上大きなリスクになります。
そういったケースではただ禁止するだけではなく、法人向けのチャットツールを導入するなどの対策が必要になります。

変換・翻訳などのWebサービス

PDFの変換や分割、文書の翻訳など無料で使える便利なWebサービスは多数ありますがその中にはセキュリティ上問題があるサービスも含まれる場合があります。
日常的に利用する場合であれば、Webサービスの安全性を検証し利用に対する規約を社内で作成したり、有料のサービスを導入するなどの対策をとる必要があります。

クラウドストレージ

近年ITデバイスでは無料のクラウドストレージサービスが付帯する場合が多く、自動でファイルが同期されている場合も少なくありません。
一時的に利用した私物の情報デバイスを利用しただけのつもりでも、知らない内にファイルが同期されて保存されていたということもあります。

電子メール

職場のメールアドレスとは別に、出先から私物のスマートフォンで返信するなどした場合に個人のメールアドレスを利用する場合などが想定されます。
そうした場合はその後の情報のやり取りなども個人のアドレスが含まれた状態で、やり取りが続いた場合、個人のメールアドレスに履歴として残ってしまう為、情報漏洩のリスクが高まります。

シャドーITによるリスク

シャドーITが増加することで、以下のようなリスクが発生します。

紛失・盗難による情報漏洩

個人の情報デバイスであれば紛失・盗難が発生した場合でも会社側が把握できず、情報漏洩の発見が遅れてしまう場合があります。
また上記のデータをやり取りするために個人のクラウドストレージやUSBメモリを私用した場合、更に紛失や盗難の情報漏洩のリスクは高くなります。
また漏洩した情報が社内で不特定多数が認知している情報だった場合、申告なければ漏洩元が特定出来ないといったリスクもあります。

データ同期による情報漏洩

スマートフォンを充電するつもりでパソコンに接続した場合、スマートフォンに入っている情報が自動でPCに同期されるなどでデータが漏洩する場合もあります。
またクラウドストレージの利用で家族との共有設定がなされていたり、アカウントが乗っ取られるなど情報漏洩が発生する場合があります。
こういったケースでは当事者が無自覚である場合もあり、発見が遅れる場合もあります。

操作ミスによる情報漏洩

個人のITデバイスや認知されていないITサービスで企業のデータを扱う場合、メールの誤送信や意図しないユーザーとの情報共有、盗み見などによる情報漏洩のリスクなどのリスクが高まります。

マルウェアのリスク拡大

個人のITデバイスと業務のITデバイスで情報のやり取りが多くなるほど、マルウェアなどのコンピューターウィルスの感染へのリスクが高まります。
これによってデータの破壊やより深刻な情報漏洩の被害が発生する場合もあります。

企業統制の問題

会社が認知していないし、システムやツールの増加はそのまま企業が把握できない情報へと繋がります。
こうしたシャドーITの増加は企業のガバナンスを低下させ、業務上のトラブルや各種問題への対応の遅れや社内トラブルの発生招く恐れがあります。

シャドーIT対策

シャドーITを放置することで様々なリスクが発生します。
こうしたシャドーITの対策として以下のような対策が挙げられます。

現況の把握と必要なITデバイスやサービスの用意

社内での認知しないITサービスやITデバイスの利用の原因として従業員に業務に必要な環境を用意できていない可能性があります。
例えば業務効率化を目的として私的なチャットツールの利用をしているユーザーが多いのであれば企業としてチャットツールの導入をするなど従業員にとってもメリットがある対策をとれればより効果的です。

従業員のITシステムやデバイスへの要望の窓口を設ける

従業員への新しいシステムまたはサービスを必要とする場合、要望を受ける窓口を設けニーズを満たすサービスやソリューションの導入を推奨することによって、シャドーITを利用しなくても良い環境をつくる必要があります。

CloudAccess Security Broker(CASB)の導入

CloudAccess Security Broker(CASB)と呼ばれるユーザーとクラウドベースのITサービスの間にアクセス監視と制御を行うソリューションを導入し、会社のクラウドサービスへのアクセスをコントロールします。

ITポリシーの制定

ITガバナンスのポリシーを制定して、シャドーITの取り扱いも明記し周知することも対策の一つです。
ただ単純にシャドーITを禁止するのではなく、従業員の利用状況によっては必要な対策を講じて許可制にするなどに実態に沿った規定する必要があります。

IT管理ツールの導入

IT管理ツールを導入することで、社内のITの利用状況を把握できる他、ツー
ルによっては、シャドーIT検知機能を搭載したツールもあります。

シャドーIT対策が可能なサービス

マネーフォワード IT管理クラウド

150以上のSaaSに対応しており、可視化し、セキュリティリスクを低減。
シャドーIT検知機能を搭載しており、簡易CASBとしてシャドーITを確認可能です。
https://i.moneyforward.com/

Zscaler

Zscalerは、マルチデバイスに対応した、Webアクセス・リモートアクセスのセキュリティを一元提供するゼロトラストセキュリティサービスです。
在宅勤務や海外出張先など社外業務の増加に伴う、クラウド利用増加やリモートアクセス増加で発生するWebセキュリティリスク対策を容易に実現します。
複数に観点からSaaSの利用状況を確認し、ワンクリックでポリシーの適用を行えます。
https://www.zscaler.jp/

メタップスクラウド

社内のSaaS利用状況やコストなどの把握を可能にする「SaaS管理」とセキュリティリスク
を抑える「ID管理(IDaaS)」の2つの機能を備えたSaaS一元管理ツールです。
登録したSaaSから日々送られて来るメールの送受信ログを加工し機械学習させることにより、無許可で使用されているSaaSを検知することが可能です。
https://www.metapscloud.com/

ITboard

利用SaaSを登録するだけで個々の利用状況・コストを可視化できるSaaS管理プラットフォーム。
ブラウザのITboard拡張機能と、Google Workspaceアカウント、またはMicrosft 365アカウントを活用して、社員のアクセス履歴のURLを取得。そのURLと、約1万件のITreviewマスタデータの製品情報を突合させ、社員の利用SaaSを検出します。
https://www.itboard.jp/

シャドーIT対策ならお任せ下さい

企業のシャドーITの増加はセキュリティリスクや増大だけでなく、企業統治など様々な問題を発生させます。
シャドーITの対策としては、社内の環境整備や対策ツールの導入など様々な対策が考えられますが、社内の状況把握~対策まで多大な時間とリソースが必要になります。
SaaSisではシャドーIT対策など、様々な情報システム部門のサポートサービスを提供させて頂いております。シャドーIT対策の事なら是非一度お気軽にお問い合わせください。

  • URLをコピーしました!
目次