テレワークが働き方のひとつとして常態化している企業が増えている。
そんな状況の中、便利だからとか、使い慣れているからという理由で私有のパソコンやスマホ等を会社に無断で業務利用するシャドーITも問題となっている。
会社が管理していないデバイスはセキュリティ上問題がある場合も多く、これに対処することが企業にとって喫緊の課題なのである。社員が私有のパソコンを業務利用していることが発覚し、対処に頭を悩ます情シスがここにもひとりーーー

多田野部長

にのまえくん、ネットニュースで見たんだけどね、個人利用のパソコンで仕事をした上に情報流出してしまって大手企業が問題になってるって、世間が騒いでるね。

にのまえ はじめ

はい、部長、その件なら僕も注視してます。まあ、うちの場合は情シスが管理している社有のPCを貸与してますから、問題ないと思いますけどね。

多田野部長

それならいいが、管理していない端末から情報漏えいなど起こしたら会社の信用問題になるからな。しっかり頼むぞ。

にのまえ はじめ

わかりました。(大丈夫だっていってるのに、意外と心配性だな、部長は)

Joshisu Man

やあ、はじめ、お前のところの社員は随分とおしゃれなノートPCを使ってるな。

にのまえ はじめ

あ、Joshisumanさん、いらっしゃってたんですね。って、おしゃれなノートPC?うちで貸与しているのは真っ黒で無骨なちょっと古い型のノートPCですけど。

Joshisu Man

そんなことないだろう、はじめの会社の営業と会議が一緒だったが、シルバーのスリムなノートPCを使っていたぞ。

にのまえ はじめ

そんな…うちの社員で個人のPCを使ってる人がいるなんて。

Joshisu Man

そういえば会議中、確認事項があったとき、スマホを使ってチャットで確認してたな、あれも私物じゃないか?

にのまえ はじめ

私有のスマホも…。どうしよう、万が一情報漏えいでも起こったらただじゃすまないぞ。

Joshisu Man

なんだ、はじめの会社は私有のデバイス利用は禁止なのか。

にのまえ はじめ

ええ、禁止です。社有のデバイスしか管理していないですから。まさか、個人利用のPCを業務で使っている人がいるなんて…。

Joshisu Man

つまり、シャドーITってわけだな。

シャドーITとは

会社に無断で私有のパソコンやスマホ、あるいはクラウドサービスなどを業務利用することをシャドーITという。

私有のデバイスは会社が管理するデバイスよりセキュリティのレベルが低い場合が多く、そのような個人利用のデバイスを業務で使うことは情報漏えいなどセキュリティ上の事故を招きかねないため、企業としても何かしらの対策を講じる必要があるだろう。

シャドーITが起こる背景とは

スマホなどが普及し、PCに近づく性能を持つスマートデバイスが増える中、手軽であるがゆえに、つい手元にある私有のスマホを使って仕事上のやり取りをしてしまう。

また、自宅など社外で仕事をする社員が増え、利用端末も増加するなど、多様な環境に会社の管理が追いついていけない、そういった状況がシャドーIT発生の背景となっている。

さらには便利なクラウドサービスも増え、会社のPCで個人アカウントを使って個人利用のクラウドサービスにログインすることができてしまうといったことも、シャドーITが起こる一因である。

シャドーITになりやすいものとは

スマホなど私物のスマートデバイス、また使い慣れていて便利なチャットツールやクラウドストレージ、フリーメールなどがシャドーITになりやすい。

個人で日常的に使っていて利便性が高く業務効率が上がるため、それらを利用して仕事上のやり取りをしたり、会社の機密データを保存してしまう、といったことをしがちであるが、会社が管理していないデバイスやクラウドサービスを使うことはセキュリティ上のリスクが非常に高く、とても危険な行為なのである。

よくあるシャドーIT

  • LINEの個人アカウントで顧客とやり取りをする
  • 個人アカウントのフリーメールを使って顧客とやり取りをする
  • GoogleドライブやDropBoxの個人アカウントでファイル共有を行う
  • カフェなどのフリーWi-Fiを利用する
  • 私有デバイスを業務用として使う

BYODとの違い

シャドーITとよく似たものにBYODBring Your Own Deviceがある。こちらも私有のデバイスを業務利用する点では同じであるが、これらデバイスは会社の許可を得て使用するものであり、シャドーITとは違って利用に際してしっかりと管理されているため、社有デバイスと同程度の安全性があるといえる。

シャドーITの危険性とは

セキュリティ対策が脆弱な個人アカウントを使って無料のファイル共有サービスにログインし、会社の機密情報などを保存したり、業務上の重要なやり取りを個人利用のフリーメールなどで行うことは、不正アクセスや情報漏えいのリスクにつながる。

また個人利用のデバイスは適切なウイルス対策をしていない場合もあるだろう。デバイス購入当時にウイルス対策ソフトを入れていても、更新して最新の状態を保てていないなど問題も多いため、コンピュータウイルスなどマルウェアの感染リスクが高いといえるだろう。

にのまえ はじめ

Joshisumanさん、シャドーITって、本当に危険なものなんですね。

Joshisu Man

そうだな、そのために企業もなんらかの対策をする必要がある。それでは次に、シャドーITの対策方法を見てみよう。

【調査】~MISSION!~

(情シスとしては)
・LINEやWhatsApp等の無料アプリで会社関係者と顧客情報等をやりとりさせたくない
・資産管理対象じゃない個人携帯に連絡先などの顧客情報を残してほしくない
・コンプライアンスに抵触しているかどうかのモニタリングがしたい

(社員としては)
便利で、且つ顧客などからのレスポンスも良いLINEをコミュニケーションツールとして使いたい。

シャドーITの対策方法とは

対策として最初に実施したいのは、社員に対してアンケートをとるなどしてシャドーITがどれだけ利用されているかを調査することだ。なぜそういった利用をするかを聞き取り、シャドーITに代わってその要求に応えることのできる方法を検討することでシャドーIT自体は抑止に向かうだろう。

次にシャドーITを禁止する明確なルールも確立すること。そもそも、それが良くない事だと認識できていない社員も少なからずいるはずだ。シャドーITは効率よく仕事をする社員の「前向きな姿勢」が原因であるからだ。決められたルールを遵守させたり、社員一人ひとりのセキュリティ意識を高めたりするために、eラーニングなどを活用して社員教育を行うといったことも重要となる。

状況が許せばBYODを活用するといったことも考えられるだろう。シャドーITを社内にはびこらせているよりは、はるかに安全性が高まる。社員が私有のスマホを使うのは、会社がスマホを支給していないから、といったこともひとつの要因として考えられる。そういった場合は社有携帯をスマホに切替えて貸与するといったことも検討したい。またモバイル端末の管理には、MDM(Mobile Device Management)を導入するといった方法もある。
※MDMについて詳しく解説している記事はこちら

にのまえ はじめ

シャドーITの対策方法もいろいろあると知って安心しました。Joshisumanさん、おすすめの対策ってあるんですか?

Joshisu Man

よし、それではシャドーIT対策におすすめなツールを紹介しよう。

【解決】~ICT SOLUTION!~

シャドーIT対策におすすめなツールとは

私有デバイスを業務利用させない

シャドーITにもいくつかある。まずは会社から許可されていないデバイスを使うケースだが、社内ネットワークに接続している端末を監視し、許可されていないものが不正に接続されていないか検知するようなツールを導入することで、私有デバイスの業務利用を防ぐことが出来る。また業務用アプリ側でアクセス元制御を行うのも有効だ。

おすすめのツールはこちら

●社内ネットワーク内の不正端末検知に「L2Blocker
●管理している端末もしていない端末も纏めて洗い出す「LANウォッチャー

推奨アプリ以外をインストールさせない

会社から支給されているデバイスで許可されていないアプリを使うケースもあるだろう。従業員がこれらを勝手に利用してしまうことを教育だけで防ぐのはなかなか難しい部分があるため、システマチックにアプリ制御ができるツールを導入することで、シャドーITに対策しよう。モバイルデバイスへはMAM系サービスがあれば端末内の業務に使用しているアプリケーションとデータのみを切り離して管理する事が出来るので、BYOD運用にも有効だろう。
※MAMMCMについて触れている記事はこちら

おすすめのツールはこちら

●サーバからスマホまでエンドポイントのセキュリティに「WithSecureサービス

MAMも!Microsoftでセキュアに管理「Microsoft Online Services

社員が使い慣れたツールを採用する

何年か前のシャド―ITの代表例として、個人用フリーメールアドレスに業務で使う資料を転送して自宅で残務を行うというものがあった。昔は会社アドレス宛のメールは会社PCPOPで受け取るのが通常だったからだ。しかし、現在は殆どの企業がメールはIMAPで受信し、様々なデバイスから業務で使うメールソフトを利用していい運用になっていて、そのおかげで前述のようなシャドーIT例はほぼ消滅した。この時期、会社のメールソフトをGmailに切り替えた企業が多くいたのを鮮明に覚えている。
現在では Google Workspace™ をグループウェアとして導入している企業が随分と増えた。

※POP受信とは...サーバにあるメールをパソコン等の端末にダウンロードして、端末上でメールを管理する仕組み
※IMAPとは...サーバにあるメールをパソコン等の端末にはダウンロードせず、サーバ上でメールを管理する仕組み(マルチデバイス運用に向いている)

このように、社員が使い慣れたツールをあえて公的導入してしまう事でシャドーITを抑止するのも一つのやり方だ。
近年では、個人で利用しているLINEなどで顧客と連絡をとったり、社内でのやり取りを行ったりしてしまうケースが増えているらしい。例えば、企業向けのクラウド型ビジネスチャットツールと称される「LINE WORKS」であれば、普段から無料版のLINEをで手慣れた操作感のまま、カレンダー、掲示板、ドライブ機能、タスク管理、アドレス帳などの業務効率化に必要な機能を使用できるし、コンプライアンス管理や暗号化などのセキュリティ対策も十分にとられている。

おすすめのツールはこちら

●使い勝手は間違いなし!企業向けLINEなら「LINE WORKS
●メール、ドライブ、ビデオ会議などなど。様々なアプリケーションがパッケージ化されたグループウェアなら「 Google Workspace

にのまえ はじめ

なるほど、アプリケーションや接続端末の監視をしつつ、便利なツールを会社として導入すればいいんですね!
Joshisumanさん、これで我が社もシャドーITを撲滅できそうです。

Joshisu Man

うむ、解決したな。
それではまた会おう、さらばだ!!

まとめ

個人利用のデバイスやクラウドサービスを業務で利用するシャドーITは、情報漏えいや不正アクセスを引き起こす、大変やっかいな存在である。

それらを利用することの危険性を社員に理解させることはもちろん、シャドーITの存在を確認し利用できないようにする対策をとることも重要だ。

また社員がなぜシャドーITを使うのかを理解し、それに代わる安全な方法を提供するといったことも検討する必要があるだろう。「USEN GATE 02」のサービスを利用すれば、それらの課題をまとめて解決することも可能だ。

サービス詳細はこちら↓

●L2Blockerはこちらから
●LANウォッチャーはこちらから
●WithSecureサービスはこちらから
●Microsoft Online Servicesはこちらから
●LINE WORKSはこちらから
●Google Workspaceはこちらから


    TO BE CONTINUED…

    この記事に関連するお役立ち資料はこちら

    情報システム・セキュリティ学びスタートアップガイド~経営層に響かせろ!セキュリティ対策の重要性~

    企業へのサイバー攻撃は年々巧妙化し、企業におけるセキュリティ対策はますます重要になっています。ただし、担当者の方々がセキュリティリスクについて理解されていても、経営層に理解されず、必要な予算を確保できないケースも多いと聞きます。
    本資料では、そんな経営層に向けて、大企業だけでなく中小企業こそセキュリティ対策が重要である理由を丁寧に紹介しています。

    ダウンロードする

    さらに理解を深めたい方にオススメの記事はこちら