コロナ禍を経て、スマートフォンやタブレットの普及、テレワークの一般化により、場所や時間にとらわれない柔軟な働き方が浸透し、業務効率は向上しました。しかしその一方で、企業が従業員の利用するデバイスやサービスをすべて把握することが難しくなり、新たなセキュリティリスクが深刻化しています。

その背景には、企業の管理下にないIT資産やサービス、すなわち「シャドーIT」の横行があります。この記事を読むことで、「シャドーIT」について正しく理解し、企業におけるセキュリティリスクや対策を知ることができます。また、よく似た言葉「BYOD」についても触れ、その違いを解説していきます。

シャドーITとは、企業が使用を許可していない、あるいはIT部門が把握・管理していないデバイスや外部サービスを、従業員や各部署が業務目的で勝手に導入・利用する状態を指します。クラウドサービスを手軽に利用できるようになったこと、従業員の業務効率向上への意識が高まったこと、IT部門の承認プロセスが煩雑なこと、そしてコロナ禍でリモートワークが急増したことなどにより、シャドーITは以前よりも問題視されるようになりました。

シャドーITは一見すると、企業のIT部門が用意しなくても、従業員が自発的にITツールを使いこなし、業務効率化につながっているように思えるかもしれません。しかし、管理の行き届いていないITツールは、大きなセキュリティリスクを孕んでいます。例えば、情報漏えいや不正アクセス、ウイルス感染といったさまざまなセキュリティインシデントにつながることが考えられます。

従業員は悪意なく、利便性を求めてシャドーITを行いがちですが、そういった行動は企業の重要な情報を危険に晒し、損害を被る可能性を含んでいます。多くの企業がこの対策に苦慮しており、個人情報管理の重要性が高まる現代において、シャドーITへの対策は喫緊の課題となっています。

それでは、具体的にどんなことがシャドーITに該当するのでしょうか？ここからは、実際にシャドーITに当てはまる業務シーンを紹介します。

ファイルを共有するために、会社が契約していないオンラインストレージサービスを利用することはシャドーITに該当します。例えば、Dropbox、Google ドライブ、OneDrive などは、法人利用も個人利用も可能です。会社が契約したこれらのサービスを会社のアカウントで利用することは問題ありません。しかし、個人アカウントで利用するとシャドーITになってしまいます。また、誰でも無料で使えるストレージサービスの利用もシャドーITといえるでしょう。

サービスにより仕様は異なりますが、法人プランは、個人プランよりも強固なセキュリティ対策が行われ、ファイルが保管される環境も、同じ会社のユーザーのみがアクセスできるようになっている場合があり、安全性が異なることが多いです。

連絡手段に、個人のLINE、WhatsApp、Facebook Messenger、Discord などを使用することもシャドーITに該当します。その他にも、企業が許可していない無料のチャットツールやWeb会議ツールで業務上のやり取りを行うこともシャドーITに当てはまります。

個人のLINEなどは、個人的な連絡先が登録されているため、社外の人に社内の機密情報を簡単に送信できてしまいます。また、会社の用意したチャットツールなどは、IT部門がすべてのやりとりを監視しているため、漏えいなどのアクシデントが起こった際に追跡することができます。しかし、個人のLINEなどはプライベートな連絡にも使われるため、会社が監視することはできず追跡も行うことはできません。

私物のスマートフォン、タブレット、ノートPCを会社のネットワークに接続し、業務データにアクセスすることもシャドーITと言えます。さらに、USBメモリーや外付けHDDなどの外部記憶媒体を使って、会社のデータを持ち出すこともシャドーITです。

会社から支給されているデバイスは、ウイルス対策ソフトがインストールされていたり、セキュリティ対策が施されています。また、会社支給のデバイスでの操作ログは、IT部門が監視できるようになっています。したがって、コミュニケーションツールのときと同様にアクシデントが起こった際には追跡することができます。加えて、デバイスの数が増えると、盗難や紛失などのリスクが高まり、追跡できないことの影響がさらに増大します。

部署や個人が、業務効率化のために無料または安価なプロジェクト管理ツール、CRM、マーケティングツールなどを独自に契約・利用することもシャドーITです。デザイン部門などが、IT部門が許可していない画像編集ソフトやデザインツールを勝手に利用することも問題です。

いまはクラウドサービスが世の中にたくさんあり、無料で使えるものも多いです。しかし、セキュリティや利用規約を細かく確認する人は少ないでしょう。単に「便利そうだから」という理由で勝手に利用すると、マルウェアに感染したり、情報漏えいにつながるリスクが高まります。

クラウドサービスの他にも、データ変換、PDF編集、データ分析などが行える無料のオンラインサービスやフリーウェアもよく利用されるでしょう。IT部門が許可していないブラウザ拡張機能やツールをインストール人もいるかもしれません。これらの利用もシャドーITに当たります。

無料で提供されるものは、セキュリティに問題があったり、攻撃者が悪意を持って公開している場合があるので、注意が必要です。

会社のメールアドレスではなく、個人の Gmail や Yahoo!メールなどで業務情報を含むメールを送受信することもシャドーITです。個人的な連絡先に誤送信するリスクがある、IT部門が監視できない、という問題以外にも、フィッシングメールは個人的な用件のメールを装っていることが多いので、誤って開いてしまうなどの可能性が高まります。

ChatGPT がリリースされて以降、大きな問題となっているのが生成AIサービスの不適切な利用です。ChatGPT などのサービスは、汎用的で業務への利活用も期待されていますが、不用意に機密情報や個人情報を入力してしまうと、AIの学習に利用され他のユーザーの回答に使われる可能性があります。

生成AIを利用する際は、業務に関連する情報を入力しないようにするか、もしくは、自社専用の生成AIを構築するなど、工夫が求められています。

会社契約ではないインターネット回線とは、従業員個人で契約している私用の回線、カフェや街中にある公衆のWi-Fiなどを指します。インターネットは公衆回線のため、悪意のあるユーザーでもアクセスできてしまいます。社内の機密情報を安全に通信する際には、VPNを利用する必要があります。また、公衆Wi-Fiを利用することも非常に危険です。通信の内容を覗き見られてしまう可能性があるだけなく、マルウェアを仕込まれてしまうかもしれません。

シャドーITと混同しやすいものに「BYOD」があります。BYODは、「Bring Your Own Device」の頭文字を取った略語で、「私物端末の持ち込み」を意味します。従業員が個人で所有しているスマートフォン、タブレット、ノートPCなどのデバイスを、業務目的で利用するということです。

従業員が日頃から使い慣れた私物デバイスで業務を行えるため、操作に迷うことが少なく、ストレスなく効率的に作業を進められたり、企業が従業員全員に業務用のデバイスを支給しなくていいので、デバイス購入費用や管理費用を削減することができます。

しかし、BYODは単に私物デバイスを業務に使うことを許容するだけでなく、企業がその利用を公式に許可し、明確なルールと管理体制を整備することが大前提となります。シャドーITとは異なり、企業のIT部門がその利用状況を把握し、統制下に置くことが不可欠です。

具体的には、以下のような対策が行われます。

MDM（Mobile Device Management）やMAM（Mobile Application Management）といった専用ツールを導入し、私物端末であっても、業務で利用する部分は企業側が管理できるようにします。これにより、万一の紛失・盗難時における業務データの遠隔消去や、業務データと個人データの分離が可能になります。

端末のパスワード設定の義務化、生体認証の活用、データの暗号化、セキュリティソフトの導入、VPN接続の強制など、企業が定めるセキュリティ基準を遵守させるためのルールを設けます。

どのアプリケーションを業務で利用できるのか、業務データはどこに保存すべきか、紛失・盗難時の報告義務、退職時のデータ処理方法など、具体的な利用ルールを明確に定め、従業員に周知徹底します。

一方で、BYODには以下のようなリスクも存在します。

私物デバイスは会社支給のデバイスに比べてセキュリティ対策が甘くなりがちで、マルウェア感染や、紛失・盗難による情報漏えいのリスクが高まります。公私混同による不適切なデータ利用も懸念されます。

従業員が退職する際、私物端末から業務データだけを完全に消去することが難しかったり、個人データまで消去してしまうリスクが生じたりすることがあります。

多種多様な私物デバイスを業務で利用するため、IT部門は様々なOSや機種に対応する必要があり、サポート体制の複雑化や負担増につながる可能性があります。

企業が私物デバイスを管理する際、従業員のプライバシーにどこまで立ち入るのか、という倫理的・法的な問題が生じることがあります。

まとめると、シャドーITが企業の管理外で「勝手に」行われる行為であるのに対し、BYODは企業が「公式に許可し、管理された」上で実施される点が決定的に異なります。とはいえ、BYODにもある程度のリスクがあることには注意が必要です。

ではなぜ、シャドーITは起こってしまうのでしょうか？その原因は、世の中全体の働き方の変化、IT部門とユーザー部門の連携不足など、従業員の個人的なリテラシー不足では片付けられない、さまざまな要素が関係しています。

企業が許可したツールやシステムが使いにくい、機能が不十分、動作が遅いなど、従業員が不満を感じている場合、従業員が個人的に無料・安価な代替ツールを利用してしまうということが増えています。業務を迅速に進めたい、特定のタスクを効率化したいという切実なニーズがある一方で、会社の承認プロセスが煩雑で時間がかかるため、待っていられないという声があるようです。

IT部門の対応が遅い、融通が利かない、新しいツールの導入に否定的であるなど、従業員がIT部門に不満を抱いている場合もあります。「IT部門に相談しても解決しないだろう」という諦めや不信感があると、従業員は次第に要望さえ出さなくなってしまいます。

シャドーITが企業にもたらすセキュリティリスクについて、従業員が十分に理解していない、あるいは重要視していないというケースは多いと思われます。「自分だけの利用だから問題ないだろう」という安易な考え方をするのは非常に危険です。

企業内のIT利用に関するルールやポリシーが明確に定められていない、あるいは従業員に十分に周知されていない場合、従業員は「これがシャドーITに該当するのか」ということを適切に判断できません。ルールは存在するものの、形骸化しており遵守されていない場合も同じ問題が発生します。

BYODが許可されているにもかかわらず、その管理体制やセキュリティ対策が不十分な場合、従業員は無自覚にシャドーITを行ってしまうことがあります。BYODのガイドラインが不明確で、従業員がどこまで許されるのかを理解できないと、シャドーITを防ぐことはできません。

シャドーITの原因はユーザーである従業員側だけにあるわけではありません。IT部門がユーザー部門の具体的な業務内容やニーズを十分に把握できていない場合にもシャドーITにつながってしまいます。従業員が抱える業務上の課題や、必要としているツールについて、IT部門とユーザー部門は積極的にコミュニケーションを行う必要があります。

クラウドサービスが普及し、特別なIT知識がなくても容易にアカウントを作成し、利用を開始できるようになったこともシャドーITの増加に影響しています。無料のツールやサービスが豊富に存在し、導入のハードルが低いため、リテラシーが高くない従業員でも使い始められてしまいます。

リモートワークやハイブリッドワークが普及したことも関係しています。オフィス外での業務が増えたことで、物理的な監視が難しくなり、従業員の自己判断に委ねられる部分が増加することになりました。加えて、自宅のネットワーク環境や個人デバイスを利用する機会が増え、会社からの統制が及びにくくなっています。

ここまで、シャドーITにはセキュリティのリスクがあるとお伝えしてきましたが、具体的には、どのようなリスクがあるのでしょうか？詳しく見ていきましょう。

個人利用のクラウドストレージやファイル共有サービスに、企業の機密情報（顧客データ、開発情報、財務データなど）がアップロードされると、関係者以外もアクセスできるようになっていたり、不正アクセスされてしまうことで、情報が外部に漏れてしまう可能性が高まります。また、個人利用のコミュニケーションツールなども誤送信により情報が漏えいするリスクを抱えています。

また、個人情報はその取り扱い方に厳しいルールがあります。従業員が勝手な判断でシャドーITツールを使用した場合、個人情報保護法やGDPRなどの規制に違反し、罰則や企業の信頼失墜につながる可能性もあります。

退職した従業員が個人アカウントで利用していたシャドーITツールに会社のデータが残っていても、会社として把握できないので、管理できない状態になってしまいます。シャドーIT上で作成・保存されたデータは、会社の適切な管理下にないため、バックアップの対象外となり、誤って削除してしまった場合などにデータが消失するリスクがあります。

セキュリティチェックを受けていない無料ソフトウェア、フリーウェア、オンラインサービスなどを利用することで、マルウェアが社内ネットワークに侵入する入り口となりやすいです。IT部門が把握していないシステムやデバイスは、セキュリティパッチの適用や脆弱性診断の対象外となり、攻撃者にとって格好の標的となってしまいます。また、未承認のサービスへのログイン情報が盗まれ、それを足がかりに社内システムへの不正アクセスを試みられる可能性もあります。

IT部門が社内のIT資産全体を正確に把握できなくなり、一元的なセキュリティ対策や監視が不可能になります。セキュリティインシデントが発生しても、原因特定や影響範囲の把握、復旧対応が遅れたり、そもそも不可能になったりしてしまいます。未承認のソフトウェアやデバイスが既存システムと競合し、システム全体のパフォーマンス低下や障害を引き起こす可能性もあります。

情報漏えいや大規模なサイバー攻撃が発生した場合、顧客、取引先、株主からの信頼を大きく損ね、企業のブランドイメージが著しく低下することになります。風評被害により、事業継続が困難になる可能性もあります。

さらに、シャドーITに起因するセキュリティインシデントへの対応（調査、復旧、賠償など）には、多大な費用がかかり、その上、コンプライアンス違反による罰金によるコスト増加も考えられます。

シャドーITを防ぐためには、IT部門・ユーザー部門どちらの対策も欠かすことはできません。それぞれの部門がどのような対策を行うべきなのか、紹介していきましょう。

CASB（Cloud Access Security Broker）という、未承認のクラウドサービスについて、利用状況を検知・可視化し、アクセス制御やデータ保護を行うことができるソリューションや、DLP（Data Loss Prevention）という、あらかじめ定義された機密情報を識別し、重要データと認定された情報の送信やコピーを制限することで、機密情報の流出につながる操作を阻止できるソリューションの導入が有効です。

さらに、ネットワーク監視ツールを使って、不審な通信や未承認のデバイスが接続されるのを検知したり、IT資産棚卸しと脆弱性診断によって把握されていないデバイスやソフトウェア、脆弱性がないかを定期的に確認することも大切です。

利用を許可するツール、デバイス、クラウドサービスの範囲、データの取り扱い方法などを具体的に明記したドキュメントを用意して、明確なIT利用ルール（ポリシー）を策定することが求められます。

ポリシーを策定するだけでなく、その重要性、シャドーITのリスク、正しいツールの利用方法などを定期的に研修や情報共有を通じて徹底することも必要です。さらに、ポリシー違反があった場合の具体的な対応を定め、周知することも大切です。

従業員が求める機能や利便性を持つ、セキュリティが確保された公認ツール（クラウドストレージ、チャットツール、プロジェクト管理ツールなど）を積極的に導入・提供することで、従業員は業務ツールに不満を持ちづらくなります。

さらに、従業員が業務上必要とする新しいツールやサービスについて、IT部門への相談・申請プロセスを明確化し、迅速かつ柔軟に対応できる体制を整えることで、継続的に公認のITツールをアップデートすることができます。このような意見を吸い上げるために、従業員が気軽にITに関する疑問や要望を相談できる窓口を設け、丁寧かつ迅速なサポートを提供することも重要です。

従業員は、会社で定められたツールのみを使用するように徹底する必要があります。私用デバイスを利用する場合についても、BYODとして会社が管理できるものに限定しなければいけません。

勝手な判断で、未承認のツールやデバイスを利用せず、会社のポリシーを遵守することが求められます。

先に挙げたリスクについて、IT部門だけでなく、ユーザー部門自身が正しく理解する必要があります。自身の業務効率を優先し「ちょっとくらいいいだろう」と軽い気持ちで、シャドーITを行ってしまうのではなく、1度立ち止まって、会社全体のリスクをあらためて考え直すことが重要です。

利用ツールや働き方について不満がある場合は、自身で勝手に対応しようとするのではなく、IT部門と連携することで、会社全体としてIT環境が継続的に改善していくように働きかけることが建設的です。

また、自分がシャドーITをしないようにするだけでなく、同僚のシャドーITの利用を発見した場合は速やかにIT部門に報告することも大切です。