シャドーIT
掲載:2023年04月19日
用語集
「シャドーIT」(Shadow IT)とは所属する組織の承認を得ずに従業員などが外部のITサービスを利用することです。ITサービスにはデバイスやクラウドサービスなどが含まれ、個別では野良デバイス、野良クラウド(Rogue cloud)などとも呼ばれています。シャドーITは情報漏洩などのセキュリティリスクとなるため、看過できない問題です。以前から指摘されていましたが、近年急速に普及したクラウドサービスやコロナ禍により導入が進んだテレワーク環境のもと、以前にも増してシャドーITが発生しやすくなっています。
シャドーITの典型的な事例は個人所有端末の無許可使用やSaaS (Software as a Service)型のクラウドサービスです。具体的には私用スマートフォンやタスク管理ツール、コミュニケーションツール、言語翻訳サービスおよびファイル転送サービスなどの利用です。こうしたシャドーITが生まれる背景には、スマートフォンが業務用に支給されなかったり、使い勝手の良いクラウドサービスが導入されなかったりして、現場が業務の効率化や生産性の向上を目的に利用するからだと言われています。また、2020年の緊急事態宣言が発令されたコロナ禍で例外として組織が一時的に利用を認めたものを、その後も継続しているケースもあります。
シャドーITに対するアプローチには大きく3つあります。一つは、現場が必要としているデバイスやクラウドサービスなどを把握し、未承認の外部サービスを利用しないで済むような環境を組織が整備することです。社内で手続きを経て個人所有端末の業務利用を認めるBYOD(Bring Your Own Device)も一つの方法です。整備する際には、使い始めるときの手順や運用規定も同時に定め、組織の情報セキュリティポリシーとともに定期的に見直します。
次に、セキュリティ研修を行いセキュリティ意識の向上を図ることです。シャドーITでインシデントが発生した場合、対応が遅れて所属する組織や関係先に損失を与えるかもしれません。そうした危険性を全員に理解してもらい、セキュリティ文化を醸成します。そのうえで外部サービスを利用したい局面になれば、現場は利用申請を怠らず、シャドーIT化を防げると期待できます。
最後は、CASB(Cloud Access Security Broker)などのITソリューションを活用する方法です。CASBはクラウドサービスの利用状況を監視しシャドーITを特定するだけでなく、CASBが認めたサイトのみをアクセス可能にしたり、機密情報を含むデータがアップロードされるのをブロックしたりする制御機能を持ちます。