シャドーITとは？発生しやすいツール・サービスや対策方法を解説

BYODとの違い

シャドーITは、BYOD（Bring Your Own Device）と混同されやすい概念ですが、両者には明確な違いがあります。

BYODは、会社が許可した私物デバイスやサービスを業務に利用することを意味します。

つまり、BYODは企業が承認しているのに対し、シャドーITは企業から認知・承認されていません。

BYODは一定の管理下にありますが、シャドーITは管理外でツールやサービスが使用されるため、セキュリティリスクがより高くなります。

シャドーITをBYODのように活用するためには、適切な管理体制の構築が不可欠といえるでしょう。

クラウドストレージ

クラウドストレージは、データを手軽に保存・共有できるため、シャドーITの対象になりやすいツールの1つです。

代表的なサービスとしては、「Dropbox」や「Google Drive」などが挙げられます。

スマホやタブレットでも利用できるアプリとして普及しており、ちょっとしたファイルのやり取りや保存に便利です。

しかし、これらのサービスを無断で利用すると、社内のファイルが意図せず外部に流出するリスクが生じます。

クラウドストレージの概要やメリット・デメリットについては、以下の記事で詳しく解説しています。

【関連記事】クラウドストレージとは？利用するメリットとサービスの選び方

私物のデバイス

私物のスマートフォンやタブレットを無許可で業務利用することも、シャドーITに該当します。

私物デバイスは会社の管理が及びづらいため、紛失や盗難時のデータ漏洩リスクが高まるという問題があります。

業務でのデバイス利用は、会社の許可を得た上で適切な管理下で行うことが大切です。

フリーメールサービス

「Gmail」や「Yahoo!メール」などのフリーメールサービスも、シャドーITの一種として利用されることがあります。

個人で使用しているフリーメールサービスのアカウントを、そのまま組織内で流用するケースが多く、管理が難しいという特徴があります。

これらのサービスは、社内メールシステムを介さずに利用されるため、機密情報が外部に流出するリスクが高まるのです。

チャットツール

個人で使用しているチャットツールを、シャドーITとして業務利用するケースもあります。

「LINE」や「Slack」などのチャットツールは個人利用が可能で、手軽に使いやすいという利点があります。

しかし、個人アカウントを組織内で使用してしまうと、アカウントの乗っ取りや情報漏洩などのリスクが高まるため、セキュリティ面での対策を徹底しなければなりません。

個人情報や機密情報の漏洩

管理されていないクラウドサービスに、個人情報や機密情報が無断でアップロードされるリスクがあります。

意図しない情報共有やアクセス権限の設定ミスにより、重要データが流出する可能性が高まるのです。

特に外部との共有設定を誤ると、企業の機密情報が広範囲に拡散してしまう危険性があります。

不正アクセス

悪意のある第三者からシステムの脆弱性を突かれ、外部からの不正アクセスを許してしまう危険性をはらんでいます。

私物のデバイスをフリーWi-Fiに接続した際、外部から不正に侵入されるリスクもあるため注意が必要です。

適切なアクセス制御が行われていないと、権限のない第三者によるデータの閲覧や改ざんが発生する恐れがあります。

不正アクセスの脅威や対策については、以下の記事で詳しく解説しています。

【関連記事】不正アクセスとは？代表的な手口と被害に遭わないための対策

アカウントの乗っ取り

フィッシング攻撃などによって、アカウントが乗っ取られるリスクもあります。

乗っ取られたアカウントを通じて、機密情報の窃取や不正送金などの被害が発生する恐れがあるのです。

特に、多要素認証などの対策が取られていないアカウントやデバイスは、乗っ取りの危険性が高くなります。

また、無料のチャットアプリではアカウントの乗っ取り被害が多く報告されているため、社用デバイスでは有料のアプリを利用することをおすすめします。

デバイスの紛失・盗難

私物デバイスを普段から業務利用している場合、デバイスの紛失や盗難の被害に遭う可能性があります。

悪意のある第三者にスマートフォンやPCを盗まれてしまうと、機密情報が外部に漏洩する危険性が高まります。

私物デバイスの業務利用を認める場合は、セキュリティ対策の徹底と、紛失・盗難時の対応手順の整備が不可欠です。

マルウェア感染

シャドーIT発生時には、マルウェア感染に注意が必要です。

私物デバイスにセキュリティ対策ソフトが導入されていない場合、感染経路として利用される可能性が高まります。

マルウェアに感染すると、情報の窃取や改ざん、システムの破壊など、大規模な被害に繋がる恐れがあるため、セキュリティソフトの導入と定期的なスキャンが欠かせません。

マルウェアの対策方法については以下の記事をご確認ください。

【関連記事】マルウェアの対策方法とは？感染前後の対処法を詳しく紹介！

岡山大学病院で患者約270人分の個人情報が漏洩

2021年8月4日、岡山大学病院は患者約270人分の個人情報が漏洩したと発表しました。

公表された内容によると、岡山大学病院の医師が個人的に使用していたクラウドサービスのIDやパスワードが窃取され、クラウド上の保存データにアクセスできなくなったとされます。

その後、攻撃者により閲覧可能な状態になっていることが確認され、アカウントの乗っ取りが判明しました。

漏洩事故が発生した主な原因に、岡山大学病院でシャドーITが行われていたことがあります。

今回の事件では、岡山大学病院の規定に反して、個人で使用していたクラウドサービス上に個人情報を含むファイルを保存していたとのことです。

尼崎市で約46万人の個人情報を含んだUSBメモリを紛失

2022年6月、兵庫県尼崎市で全市民約46万人の住民基本台帳の情報などを含んだUSBメモリを紛失した事件が発生しました。

紛失したUSBメモリ内には、住民基本台帳の情報、住民税の情報、非課税世帯等臨時特別給付金の対象世帯の情報、生活保護受給世帯や児童手当受給世帯の口座情報などが含まれていたとのことです。

その後、USBメモリは見つかり、「情報が流出した事実は確認できていない」と尼崎市は発表しました。

この事件は、業務再々委託先の社員がデータを無断で持ち出したことがきっかけで発生しました。

アクセス監視を行う

シャドーITの発生を早期に発見するためには、社内ネットワークの通信を監視し、不審なアクセスを検知する仕組みを導入することが有効です。

これにより、許可されていないツールやサービスの利用を速やかに特定し、適切な対応を取ることができるようになります。

監視システムの導入と運用には一定のコストがかかりますが、シャドーITのリスクを軽減するための投資として検討すべきでしょう。

ガイドラインを策定し共有する

シャドーIT対策を推進する上で、ガイドラインの策定は欠かせません。

業務で利用が許可されたツールやサービス、およびその利用ルールを明確にし、従業員の理解を促進することが大切です。

ガイドラインには、主に以下のような内容を盛り込むのが望ましいとされます。

策定したガイドラインは、社内ポータルへの掲載や研修での説明など、さまざまな機会を通じて周知していくことが重要です。

社内教育を徹底する

シャドーITのリスクや対策について、定期的な社内教育を実施する方法も有効です。

従業員1人ひとりのセキュリティ意識を高め、自発的な対策を促すことに繋がります。

教育の内容としては、シャドーITの危険性や具体例、発生した場合の影響などを盛り込み、社内全体でシャドーITの理解を深めていきましょう。

また、eラーニングやオンライン研修など、受講しやすい形式で提供する方法もおすすめです。

CASBやMDMを導入する

シャドーITの発生を技術的に防止するためには、CASB（Cloud Access Security Broker）やMDM（Mobile Device Management）の導入が効果的です。

CASBは、クラウドサービスの利用状況を可視化し、適切なセキュリティポリシーを適用するためのソリューションです。

一方、MDMは社内のデバイスを一元管理し、私物デバイスの業務利用を制御するための仕組みを指します。

技術的にアプローチを図ることで、より効果的にシャドーITの発生を防止できます。CASBの詳細については以下の記事をご確認ください。

【関連記事】CASBとは？4つの機能と導入方式、メリット・デメリットを徹底解説

シングルサインオン（SSO）を導入する

シャドーITの発生を技術的に防ぐもう1つの方法は、シングルサインオン（SSO）の導入です。

SSOを利用することで、複数のクラウドサービスへのアクセスを一元管理できるようになります。

これにより、認可していないサービスへのログインを制限し、シャドーITの発生を未然に防止することが可能です。

また、SSOの導入は利便性の向上にも繋がるため、従業員の理解を得やすいというメリットもあります。

SSOを簡単に導入したいなら、基本料金0円で利用開始できる「GMOトラスト・ログイン」がおすすめです。

セキュリティと利便性を両立するための施策として、SSOの活用を検討してみてください。