シャドーITとは

シャドーITとは

シャドーITとは、社内で認可されていない通信端末やITシステムを、社員が業務とプライベートの区別をつけず勝手に利用することです。

個人のノートパソコンやスマートフォンを業務に使用したり、私的なソフトウェアやネットサービスを会社のパソコンで利用したりするとシャドーITに該当します。シャドーITには、ウイルス感染や情報漏えいなど、社内IT環境の安全性が失われるリスクがあります。

シャドーITに該当する事例

シャドーITに該当する具体的な事例をまとめました。まさかと思うような何気ない行動もシャドーITに該当することがあります。今一度、自分やほかの社員の行動を振り返ってみましょう。

私用のオンラインストレージに業務情報をアップロードする

自宅や外出先で仕事をするため、私的なオンラインストレージに業務情報をアップロードする行為は、シャドーITに該当します。ストレージでなく、メールやチャットでファイルを自宅PCに送る場合も同様です。

オンラインストレージは手軽に共有・追加・削除などの操作ができるため、うっかり社外の人に共有してしまったり、ファイルを消してしまったりするリスクがつきまといます。また、多くの場合、自宅のPCは社用のものよりウイルス対策が手薄です。そのため、自宅PCに取り込んだファイルにウイルスが感染し、そのままネットワークを介して全社的に広まってしまうかもしれません。

コンシューマ向けのチャットで業務連絡を行う

多くの人が使うLINEなどのチャットアプリは、リアルタイムのやりとりに非常に役立ちます。しかし、それらを使って業務にまつわる情報をやりとりすることは、シャドーITに当てはまります。

コンシューマ向けチャットアプリには「なりすまし」のリスクがあります。部外者が知り合いのふりをして業務上の機密を聞き出そうとするかもしれません。また、チャットアプリを入れたスマホをもし紛失してしまったら、第三者に機密情報が渡ってしまう可能性があります。ほかに、社外の知人宛てに間違えて業務内容を送ってしまうといったトラブルも考えられます。

公共の無線LAN回線でインターネットを利用する

最近は、多くのカフェやショッピングモールが、お客様向けに無線LAN回線を提供しています。「メールやチャットに返信をする」「Web上にアップロードしたファイルを確認する」などの用途でこのような無線LAN回線を利用すると、シャドーITになります。

公共の回線は誰でもアクセスすることが可能なため、悪意ある第三者から盗聴やなりすましなどの被害を受ける可能性があります。

このほかにも、社員が退職した場合の情報流出リスクなど、多様なシャドーITのリスクがあります。

シャドーITのリスク対策

前述の通り、シャドーITには企業秘密や安全性を脅かすリスクが存在します。しかし、セキュリティ対策やルールの周知によって、防ぐことは不可能ではありません。
ここでは、有用な対策を2つの切り口で紹介します。

セキュリティサービスを活用する

シャドーITを防いだり、リスクを減らしたりするためのセキュリティサービスはいくつか存在します。代表的なものとして挙げられるのが「フィルタリング」と「MDM」です。

フィルタリングとは、特定のWebサイトへのアクセスを制限するサービスです。有害なサイトや業務に関係のないサイトを登録することで、情報漏えいのリスクを減らせます。

MDM（Mobile Device Management）は、スマートフォンなど社員が使用するモバイルデバイスを管理するシステムのことです。「どんなアプリをインストールしたか」「どのような頻度で利用しているか」などの情報を管理することで、問題のある操作を未然に防ぐことができます。また、遠隔操作も可能なため、もしデバイスを紛失してしまっても、データの削除や端末のロックといった対処が可能になります。

社内IT環境を整える

社内IT環境の整備はシャドーITの対策につながります。なぜなら、会社のツールやサービスでは快適に業務を進められないという不満が、シャドーITを引き起こす場合があるからです。

例えば、ビジネス向けのオンラインストレージサービスに加入すれば、安全性を確保したうえで、場所・時間を問わず社内ファイルにアクセスできるようになります。仕事のしやすい環境が整えば、私的なオンラインストレージを勝手に使う動機はなくなるでしょう。

ほかにも「安全性の高いビジネスチャットを導入する」「MDMソフトウェアをインストールしたスマートフォンを支給する」などIT環境の整備方法は多岐にわたります。何を導入すべきか迷う場合は、全社的にアンケートを行って、社内IT環境に対するニーズや問題意識を探ると良いでしょう。

シャドーITとBYOD

シャドーITには、「勝手BYOD」という呼び方もあります。BYOD（Bring Your Own Device）とは、企業が定めたルールの下で、社員が私的な通信端末やITシステムを業務に用いること。シャドーITとは、会社が社員のIT利用を管理・把握できるという点で異なります。管理が行き届いた状態でのBYODは、会社・社員の双方に大きなメリットをもたらします。

会社側のメリットとしてはまず、余計な端末購入や通信の費用を削減できるということが挙げられます。また、ルールが明確にされることで、社員は業務に役立つITソリューションを提案しやすくなります。社員一人ひとりによる主体的なツール・サービスの提案は、社内のIT環境が整備されていく仕組みづくりにつながります。

社員のメリットとしては、「普段から使い慣れた端末で仕事ができる」「会社の端末と個人の端末を両方持ち歩く手間が解消される」などが挙げられます。

まとめ

シャドーITについて、リスクや対策法などのポイントごとに紹介しました。シャドーITは社内IT環境への脅威となりえますが、BYOD化して管理することで大きなメリットにもつながります。シャドーITに賢く対処して、より良い社内IT環境を作り上げましょう。