パソコンやスマートフォンの浸透により、業務にインターネットを活用することが普通になりました。すべての社員が何かしらのITデバイスを保持し、社内の機密情報にアクセスします。
そんな中で、セキュリティの脅威として挙げられるのが「シャドーIT」です。本記事では、そのシャドーITの基本的な知識や危険性、そしてどのように対策をすべきなのかを詳しく解説します。
シャドーITとは
シャドーITは、企業のセキュリティポリシーやコンプライアンス規定に従わずに利用されるため、セキュリティリスクが高まる要因となり得ます。
まずは、シャドーITとはどのようなものなのかについて解説します。
管理部門の許可なしに社員が利用しているITツール・サービス
シャドーITとは、企業の管理部門の許可を得ずに社員が個人的に使用するITツールやサービスのことを指します。IT管理者に隠れて「陰で使う」ことから「シャドーIT」、と考えるとよいでしょう。
管理部門の許可なしに利用されるということは、社員がどのようなITツールやサービスを利用しているのかを検知できないないため、適切なセキュリティ対策を講じることができません。また、企業のネットワークセキュリティの範囲外で動作することが多く、情報漏えいや不正アクセスのリスクが高まることになります。
BYOD(Bring Your Own Device)との違い
BYODは、Bring Your Ownd Deviceの略で、直訳すると「あなた(社員)のデバイスを持ち込む」という意味になります。端的にいうと、社員が自分のデバイスを仕事に使用することを企業が正式に許可する制度です。
企業はBYODを導入する際に、デバイスのセキュリティ対策や利用ルールを設定することで、適切に個人端末の運用ができます。社員の個人端末の業務利用を把握し、適切に管理することで、ある程度のリスクを管理できます。ある程度のリスクを管理できる、という点がシャドーITとBYODの違いです。
サンクションITとの違い
サンクションITは、企業が正式に認めたITツールやサービスを指します。シャドーITは企業の許可を得ずに社員が利用しているツールであるのに対し、サンクションIT企業が正式に利用を認めているツールであり、企業がそのツールを利用していることを把握し、利用状況を管理していることが重要な違いです。管理部門は業務利用するITツールやサービスを適切に管理する必要があるため、原則として社内で利用するITツールやサービスはすべてサンクションITであるべきです。
サンクションITは、導入時に企業の管理部門によって導入可否を判断し、適切なセキュリティ対策が施されていることを確認した上で導入を決定します。自社のセキュリティ要件を満たしたサンクションITのみを利用することで、最低限のセキュリティ対策を講じていることになります。
シャドーITの具体例|どのようなツールで発生しやすいのか
シャドーITといっても、実際にはさまざまなツールが利用される可能性があります。
ここでは、シャドーITで利用されやすい、特に注意の必要なツールを紹介します。
社員の私用スマートフォン・私用パソコン
シャドーITの典型的な例として挙げられるのが、個人所有のスマートフォンやパソコンの業務利用です。
スマートフォンの普及により、誰でも簡単にWordやExcelといったドキュメントの閲覧・編集が可能となりました。個人のデバイスで会社のメールを送受信したり、添付ファイルを閲覧・編集することも容易に可能です。個人のデバイスは、適切にウィルスやマルウェアの対策がされてるとは限りません。そのため、企業のセキュリティポリシーに従っていない個人所有のデバイスが利用されることで、情報漏えいのリスクが高まります。
社外のメールサービス
企業のメールシステムを使用せずに、GmailやYahooメールなどの社外メールサービスを業務に使用することもシャドーITに該当します。
特に多いのが、「会社のメールを、添付ファイルを含め個人のメールに転送する」という行為です。個人情報や機密情報が含まれているメールが転送された場合、転送先での扱いを管理部門は検知できません。その結果、企業の管理部門が検知できない範囲で重要な情報が外部に漏れるというリスクが発生します。
SNSやチャットアプリ
業務連絡にSNSやLINEなどのチャットアプリを使用することも、シャドーITの一例です。
特に、社員同士の連絡や協力関係にある企業の社員との緊急連絡先としてLINEを交換することは増えているのではないでしょうか。個人の付き合いの範囲で連絡先を交換するのであれば特に問題はないのですが、業務で緊急事態が発生したときにLINEで連絡をするような場合、そのメッセージ内で機密情報のやり取りをする場面も考えられます。
一見すると迅速な対応ができるようになるのですが、企業の目線でいうと情報が適切に管理されていないことになり、セキュリティリスクが高まることにつながります。
オンラインストレージサービス
DropboxやGoogle Driveなどのオンラインストレージサービスを無許可で使用することもシャドーITに含まれます。
オンラインストレージを介することで、社内のほとんどのファイルを外部に送信可能となるだけでなく、適切なアクセス権を設定せずに使われた場合、「オンラインストレージにアップロードしたファイルが全世界に公開されてしまう」という可能性もあります。
ほとんどの企業では機密情報をWordやExcel、PDFといった電子ファイルで保存しています。それらの機密情報がダイレクトに漏えいする可能性があるため注意が必要です。
クラウドコンピューティングサービスやレンタルサーバー
Amazon Web Services(AWS)やMicrosoft Azureなどのクラウドコンピューティングサービスを無許可で利用することもシャドーITの一例です。
クラウドサービス上に無許可のアプリケーションを構築し、利用するという可能性もあります。OSS(オープンソースソフトウェア)の浸透により、ITの知識があれば無料でチャットやオンラインストレージを独自に構築できるようになりました。
ただし、これらのソフトウェアは無料で利用できるかわりに、トラブルシューティングやセキュリティ対策などを全て自分で管理する必要があります。適切なセキュリティ対策をしないまま利用することで、データの漏えいだけでなくサーバーの乗っ取りなどで甚大な被害が生じる可能性があります。
シャドーITがもたらすセキュリティリスク
シャドーITによって、企業はさまざまなリスクに晒される可能性があります。本章では、シャドーITによって発生しうるセキュリティリスクの例を紹介します。
社内システムへの不正アクセス
シャドーITを通じて、社内システムに不正アクセスされるリスクがあります。社員が無許可で使用するツールやサービスの多くは、個人での利用を想定しているため、「業務利用を想定していない」ツールがほとんどです。これらは、セキュリティ対策が不十分な場合が多いため、攻撃者にとって格好の標的となります。
また、多くの企業で導入している基幹系のシステムは「社内からのアクセスのみ」を前提としていますが、シャドーITで利用している端末を経由することで、「本来はアクセスできないはずの社内システム」へ外部からアクセスできてしまう可能性があります。
社内システムへアクセスすることで、シャドーITを実施した社員も気づかないところで情報漏えいが起きる可能性もあります。
個人情報および企業の機密情報の漏えい
シャドーITにより、個人情報や企業の機密情報が外部に漏れるリスクが高まります。例えば、無許可のクラウドストレージにデータを保存することで、情報漏えいの可能性が高まります。
USBメモリなどによる外部持ち出しを禁止したとしても、クラウドストレージやメールを利用して外部にデータを送信できる状況であれば、情報漏えいのリスクとしては同程度の危険性があります。
第三者によるアカウントの乗っ取り
無許可で使用されるITツールやサービスは、セキュリティ面で脆弱な場合が多く、第三者によるアカウントの乗っ取りが発生しやすくなります。
個人利用のデバイスを経由して企業のネットワークへアクセスされることで、重要な情報が不正に利用される可能性が高まってしまいます。
マルウェア感染
無許可で使用されるデバイスやサービスは、適切なセキュリティ対策が講じられていないことが多く、それらを通してマルウェアに感染する可能性があります。
特に、許可されていないソフトウェアをインストールした結果、一緒にマルウェアがインストールされた、という場合もあります。また、個人のパソコンを社内ネットワークに接続して利用する場合にも注意が必要です。そのパソコンがマルウェアに感染していた場合、一気に被害が社内に広がる場合もあります。
使用しているデバイスの紛失・盗難
社員が個人的なデバイスを業務に使用する場合、デバイスの紛失や盗難による情報漏えいのリスクが高まります。企業で利用しているパソコンはHDDの暗号化を義務付けている場合が多いですが、個人利用のパソコンは暗号化をしないことがほとんどでしょう。
紛失したデバイスが第三者により拾われ、内部のデータが閲覧されてしまった場合、そこからどう情報が漏えいするのかを検知する手立ては一切ありません。USBメモリに個人情報を保存し、それを持ち帰る途中に紛失した、という場合も同様ですので、より一層の注意が必要です。
シャドーITを防ぐための対策5選
シャドーITが危険であることがわかったところで、シャドーITを防ぐために必要な対策を解説します。
シャドーITが存在しているか把握する
まずは、企業内でシャドーITが存在しているかを把握することが重要です。IT部門が定期的に社員の使用するツールやサービスを調査し、無許可の利用を特定するとよいでしょう。
具体的には、以下のような対策が考えられます。
- 社員のPCにインストールされているソフトウェアを監査する
- ネットワークを監視し、通信内容をチェックする
シャドーITの全てを把握することは難しい、というのが現実ですが、特に危険なのが「社内ネットワークにアクセスできるデバイス」です。不正なアクセスや不審なアクセスを見つけることで、社内にある機密情報の漏えいリスクを減らすことができるでしょう。
シャドーITの発生原因を明らかにし環境を改善する
シャドーITはなぜ発生するのでしょうか。社員がシャドーITを利用することになった理由をいくつか紹介します。
- 利用しているツールに不満がある、使いにくい
- 貸与されているデバイスのスペックが低く、ストレスが高い
- 生産性を上げるためにツールを勝手に利用した
多くの場合、シャドーITは「こちらのほうが使いやすい、便利である」という理由から発生します。つまり、現状のツールでは何かしらの不満があるということです。
シャドーITを防止するためには、シャドーITが発生した原因を明らかにし、それを解消するための環境改善を行います。例えば、社員が使いやすいツールやサービスを企業として提供することで、シャドーITの発生を防ぎつつ生産性の向上が望めます。
シャドーITに関するルール設定や社員教育を行う
どんなにルールを整備しても、社員全員がその意義を理解しないままではなかなか浸透しません。
シャドーITの危険性やそのリスクについて理解を深めるため、社員教育を実施しましょう。社員がシャドーITのリスクを理解し、適切な行動が取れるように指導します。
また、社員が守りやすいルールを制定することも重要です。あまりにも窮屈なルールでは社員の反発も多くなり、シャドーITの温床になりかねません。妥協案をうまく見つけることで、社員の反発も少なくなり、無理のないセキュリティ対策を進められます。
BYODを導入し利用ルールを整備する
社員が望むデバイスの準備が間に合わない場合など、社内のデバイス環境の整備が追い付かないのであれば、BYODを導入し、利用ルールを整備しましょう。
BYODのルールを整備し社員の個人端末の利用を推進することで、企業としてのデバイス調達コストを抑えつつ、社員は自身の使い勝手のよい端末を利用できるようになります。
BYODの整備により、社員の利便性を確保した上でセキュリティ対策が実現できるため、シャドーITのリスクを軽減します。ただし、BYODを許可する際には、その利用状況やアクセス状況を正しく管理する必要があります。具体的には、BYODを許可する端末を企業の管理下において正しく管理するためにMDM(モバイルデバイスマネージメント)やMAM(モバイルアプリケーションマネージメント)を導入することが考えられます。これらのツールを導入することで、業務利用しているBYOD端末の管理や、紛失時のリモートロック、リモートワイプといった対処が可能となります。そのほか、セキュリティ対策のルールを整備するなど、社内セキュリティ体制を構築した上でBYODを許可し、BYODの状況を正しく管理できるようにしましょう。
アクセス状況を監視・検知できるツールを活用する
アクセス状況を監視・検知できるツールを活用することで、シャドーITの発生を早期に発見し、対策を講じることができます。これにより、企業のセキュリティを強化できます。
シャドーITはいつ、だれが起こすか予想することは非常に困難です。特に企業規模が大きくなるほど管理は難しくなるため、適切に監査する仕組みは必須といえます。特に社員本人が気づかないうちに問題を起こすケースもありますので、セキュリティ対策として不正アクセスなどを検知できる仕組みを導入すべきでしょう。
セキュリティソリューションでコンプライアンスチェックを
シャドーITのリスクを軽減するためには、ネットワークの状況やセキュリティソリューションを活用し、コンプライアンスチェックを徹底するとよいでしょう。
三和コムテックのセキュリティソリューションは、Webアプリケーション診断やプラットフォーム診断など多岐にわたる診断サービスを提供しています。クラウド型診断やペネトレーションテスト、スマホアプリ診断など、あらゆる脅威からシステムを守るための包括的な診断を行います。
セキュリティソリューション | 三和コムテック (sct.co.jp)
まとめ
シャドーITは企業のセキュリティリスクを高める要因となりますが、適切な対策を講じることでそのリスクを軽減できます。シャドーITの存在を把握し、発生原因を解明し、適切なルール設定や社員教育を行うことが重要です。BYODの導入やセキュリティソリューションの活用も効果的な対策となります。
ただし、ソリューションやルールを徹底したとしても、リスクをゼロにすることは不可能です。リスクを最小限に抑えるためにも、継続的にルールの見直しを含めて対策をし続けるようにしましょう。
- トピックス:
- セキュリティ