シャドーITとは何かご存知でしょうか。シャドーITとは、企業のIT管理者が把握できていないITツールやサービスのことです。
クラウドサービスの普及により、従業員が無断で利用するケースが増えており、シャドーITを放置すると不正アクセスや情報漏洩、マルウェア感染に繋がるリスクがあります。
シャドーITを防止するには、社内教育を徹底したり、CASBやMDMを導入したりなど、多角的なセキュリティ対策が必要です。
この記事では、シャドーITの原因やリスク、効果的な対策について詳しく解説します。
目次
[ 開く ]
[ 閉じる ]
- シャドーITとは
- BYODとの違い
- シャドーITが生まれる原因
- シャドーITが発生しやすいツールやサービス
- クラウドストレージ
- 私物のデバイス
- フリーメールサービス
- チャットツール
- シャドーIT発生によるセキュリティリスク
- 個人情報や機密情報の漏洩
- 不正アクセス
- アカウントの乗っ取り
- デバイスの紛失・盗難
- マルウェア感染
- シャドーITが原因で起こった実際の事件
- 岡山大学病院で患者約270人分の個人情報が漏洩
- 尼崎市で約46万人の個人情報を含んだUSBメモリを紛失
- シャドーIT発生をなくす具体的な対策
- アクセス監視を行う
- ガイドラインを策定し共有する
- 社内教育を徹底する
- CASBやMDMを導入する
- シングルサインオン(SSO)を導入する
- まとめ
シャドーITとは
シャドーITとは、組織が使用を許可していない、もしくは従業員が利用していることを組織が把握・管理していないITツールやサービスのことです。
つまり、システム管理者の管理下にないIT資産が社内で使用されている状態を示しています。
例えば、個人のスマートフォンやタブレットを業務に利用したり、クラウドストレージサービスを無断で使用したりするケースが該当します。
シャドーITは、セキュリティ面でのリスクを高める要因となるため、できる限り排除し、システム管理者の管理下に置くことが重要です。
放置すると、情報漏洩やマルウェア感染などのセキュリティインシデントに繋がる可能性があります。
BYODとの違い
シャドーITは、BYOD(Bring Your Own Device)と混同されやすい概念ですが、両者には明確な違いがあります。
BYODは、会社が許可した私物デバイスやサービスを業務に利用することを意味します。
つまり、BYODは企業が承認しているのに対し、シャドーITは企業から認知・承認されていません。
BYODは一定の管理下にありますが、シャドーITは管理外でツールやサービスが使用されるため、セキュリティリスクがより高くなります。
シャドーITをBYODのように活用するためには、適切な管理体制の構築が不可欠といえるでしょう。
シャドーITが生まれる原因
シャドーITが生まれる主な原因は、ITコンシューマライゼーションの進展にあります。
ITコンシューマライゼーションとは、個人向けのITツールやサービスが業務でも利用されるようになる現象のことです。
スマートフォンやタブレットの普及により、個人が高度なITスキルを持つようになったことが背景にあります。
昨今では、個人向けのファイル共有アプリやチャットツール、タスク管理ツールなどが登場しており、個人でも気軽に便利なツールをインストールできるようになりました。
従業員は使い慣れたツールを職場でも活用したいと考えるようになり、それが企業の許可なくシャドーITとして導入されるケースが増えているのです。
また、クラウドサービスの発達により、手軽に業務効率化を実現できる環境が整ったことも、シャドーITの増加に拍車をかけています。
シャドーITが発生しやすいツールやサービス
シャドーITが発生しやすいのは、個人で簡単に導入できるクラウドサービスや無料ツールにあります。
ここでは、シャドーITが発生しやすい具体的なツールやサービスについて解説します。
クラウドストレージ
クラウドストレージは、データを手軽に保存・共有できるため、シャドーITの対象になりやすいツールの1つです。
代表的なサービスとしては、「Dropbox」や「Google Drive」などが挙げられます。
スマホやタブレットでも利用できるアプリとして普及しており、ちょっとしたファイルのやり取りや保存に便利です。
しかし、これらのサービスを無断で利用すると、社内のファイルが意図せず外部に流出するリスクが生じます。
クラウドストレージの概要やメリット・デメリットについては、以下の記事で詳しく解説しています。
私物のデバイス
私物のスマートフォンやタブレットを無許可で業務利用することも、シャドーITに該当します。
私物デバイスは会社の管理が及びづらいため、紛失や盗難時のデータ漏洩リスクが高まるという問題があります。
業務でのデバイス利用は、会社の許可を得た上で適切な管理下で行うことが大切です。
フリーメールサービス
「Gmail」や「Yahoo!メール」などのフリーメールサービスも、シャドーITの一種として利用されることがあります。
個人で使用しているフリーメールサービスのアカウントを、そのまま組織内で流用するケースが多く、管理が難しいという特徴があります。
これらのサービスは、社内メールシステムを介さずに利用されるため、機密情報が外部に流出するリスクが高まるのです。
チャットツール
個人で使用しているチャットツールを、シャドーITとして業務利用するケースもあります。
「LINE」や「Slack」などのチャットツールは個人利用が可能で、手軽に使いやすいという利点があります。
しかし、個人アカウントを組織内で使用してしまうと、アカウントの乗っ取りや情報漏洩などのリスクが高まるため、セキュリティ面での対策を徹底しなければなりません。
シャドーIT発生によるセキュリティリスク
シャドーITの発生は、組織のセキュリティ体制を脆弱化させる大きな要因となります。
管理外のツールやサービスを通じて、主に以下のようなセキュリティリスクが発生します。
個人情報や機密情報の漏洩
管理されていないクラウドサービスに、個人情報や機密情報が無断でアップロードされるリスクがあります。
意図しない情報共有やアクセス権限の設定ミスにより、重要データが流出する可能性が高まるのです。
特に外部との共有設定を誤ると、企業の機密情報が広範囲に拡散してしまう危険性があります。
不正アクセス
悪意のある第三者からシステムの脆弱性を突かれ、外部からの不正アクセスを許してしまう危険性をはらんでいます。
私物のデバイスをフリーWi-Fiに接続した際、外部から不正に侵入されるリスクもあるため注意が必要です。
適切なアクセス制御が行われていないと、権限のない第三者によるデータの閲覧や改ざんが発生する恐れがあります。
不正アクセスの脅威や対策については、以下の記事で詳しく解説しています。
アカウントの乗っ取り
フィッシング攻撃などによって、アカウントが乗っ取られるリスクもあります。
乗っ取られたアカウントを通じて、機密情報の窃取や不正送金などの被害が発生する恐れがあるのです。
特に、多要素認証などの対策が取られていないアカウントやデバイスは、乗っ取りの危険性が高くなります。
また、無料のチャットアプリではアカウントの乗っ取り被害が多く報告されているため、社用デバイスでは有料のアプリを利用することをおすすめします。
デバイスの紛失・盗難
私物デバイスを普段から業務利用している場合、デバイスの紛失や盗難の被害に遭う可能性があります。
悪意のある第三者にスマートフォンやPCを盗まれてしまうと、機密情報が外部に漏洩する危険性が高まります。
私物デバイスの業務利用を認める場合は、セキュリティ対策の徹底と、紛失・盗難時の対応手順の整備が不可欠です。
マルウェア感染
シャドーIT発生時には、マルウェア感染に注意が必要です。
私物デバイスにセキュリティ対策ソフトが導入されていない場合、感染経路として利用される可能性が高まります。
マルウェアに感染すると、情報の窃取や改ざん、システムの破壊など、大規模な被害に繋がる恐れがあるため、セキュリティソフトの導入と定期的なスキャンが欠かせません。
マルウェアの対策方法については以下の記事をご確認ください。
シャドーITが原因で起こった実際の事件
過去には、シャドーITが原因で大規模な事件に発展したケースが複数存在します。ここでは、シャドーITが原因の実際の事件を2つ紹介します。
岡山大学病院で患者約270人分の個人情報が漏洩
2021年8月4日、岡山大学病院は患者約270人分の個人情報が漏洩したと発表しました。
公表された内容によると、岡山大学病院の医師が個人的に使用していたクラウドサービスのIDやパスワードが窃取され、クラウド上の保存データにアクセスできなくなったとされます。
その後、攻撃者により閲覧可能な状態になっていることが確認され、アカウントの乗っ取りが判明しました。
漏洩事故が発生した主な原因に、岡山大学病院でシャドーITが行われていたことがあります。
今回の事件では、岡山大学病院の規定に反して、個人で使用していたクラウドサービス上に個人情報を含むファイルを保存していたとのことです。
尼崎市で約46万人の個人情報を含んだUSBメモリを紛失
2022年6月、兵庫県尼崎市で全市民約46万人の住民基本台帳の情報などを含んだUSBメモリを紛失した事件が発生しました。
紛失したUSBメモリ内には、住民基本台帳の情報、住民税の情報、非課税世帯等臨時特別給付金の対象世帯の情報、生活保護受給世帯や児童手当受給世帯の口座情報などが含まれていたとのことです。
その後、USBメモリは見つかり、「情報が流出した事実は確認できていない」と尼崎市は発表しました。
この事件は、業務再々委託先の社員がデータを無断で持ち出したことがきっかけで発生しました。
シャドーIT発生をなくす具体的な対策
シャドーITの発生を防ぐには、技術的対策と運用面での対策の両方を講じる必要があります。
ここでは、シャドーITを防止するための具体的な対策方法を5つ紹介します。
アクセス監視を行う
シャドーITの発生を早期に発見するためには、社内ネットワークの通信を監視し、不審なアクセスを検知する仕組みを導入することが有効です。
これにより、許可されていないツールやサービスの利用を速やかに特定し、適切な対応を取ることができるようになります。
監視システムの導入と運用には一定のコストがかかりますが、シャドーITのリスクを軽減するための投資として検討すべきでしょう。
ガイドラインを策定し共有する
シャドーIT対策を推進する上で、ガイドラインの策定は欠かせません。
業務で利用が許可されたツールやサービス、およびその利用ルールを明確にし、従業員の理解を促進することが大切です。
ガイドラインには、主に以下のような内容を盛り込むのが望ましいとされます。
▼ガイドラインに盛り込むべき内容
- シャドーITの定義
- 利用が禁止されるツールのリスト
- 社内データを持ち出す際のルール
- セキュリティ事故が発生したときの対応
- 違反した場合の罰則
策定したガイドラインは、社内ポータルへの掲載や研修での説明など、さまざまな機会を通じて周知していくことが重要です。
社内教育を徹底する
シャドーITのリスクや対策について、定期的な社内教育を実施する方法も有効です。
従業員1人ひとりのセキュリティ意識を高め、自発的な対策を促すことに繋がります。
教育の内容としては、シャドーITの危険性や具体例、発生した場合の影響などを盛り込み、社内全体でシャドーITの理解を深めていきましょう。
また、eラーニングやオンライン研修など、受講しやすい形式で提供する方法もおすすめです。
CASBやMDMを導入する
シャドーITの発生を技術的に防止するためには、CASB(Cloud Access Security Broker)やMDM(Mobile Device Management)の導入が効果的です。
CASBは、クラウドサービスの利用状況を可視化し、適切なセキュリティポリシーを適用するためのソリューションです。
一方、MDMは社内のデバイスを一元管理し、私物デバイスの業務利用を制御するための仕組みを指します。
技術的にアプローチを図ることで、より効果的にシャドーITの発生を防止できます。CASBの詳細については以下の記事をご確認ください。
シングルサインオン(SSO)を導入する
シャドーITの発生を技術的に防ぐもう1つの方法は、シングルサインオン(SSO)の導入です。
SSOを利用することで、複数のクラウドサービスへのアクセスを一元管理できるようになります。
これにより、認可していないサービスへのログインを制限し、シャドーITの発生を未然に防止することが可能です。
また、SSOの導入は利便性の向上にも繋がるため、従業員の理解を得やすいというメリットもあります。
SSOを簡単に導入したいなら、基本料金0円で利用開始できる「GMOトラスト・ログイン」がおすすめです。
セキュリティと利便性を両立するための施策として、SSOの活用を検討してみてください。
まとめ
この記事では、シャドーITの原因やリスク、効果的な対策について解説しました。
シャドーITは、利便性と引き換えにさまざまなセキュリティリスクをはらんでいます。情報漏洩や不正アクセス、マルウェア感染などの脅威に繋がる可能性があります。
シャドーITを防ぐためには、ガイドラインの策定や社内教育、監視ツールの導入など、多角的なアプローチが欠かせません。
セキュリティと利便性を両立し、安全な業務環境を実現するために、シャドーIT対策の着手をご検討ください。
企業にSSOを簡単導入したい場合は、多角的にセキュリティ強化を図れる「GMOトラスト・ログイン」の利用がおすすめです。
文責:GMOインターネットグループ株式会社