シャドーIT

シャドーITとは

シャドーITの典型的な事例は、個人所有端末やSaaS （Software as a Service）型のクラウドサービスを組織の承認を得ずに使用することです。

シャドーITが生まれる背景には、スマートフォンが業務用に支給されない、業務で使用したいクラウドサービスが導入されていないことなどにより、現場が業務の効率化や生産性の向上を目的に利用するケースが多いとされています。また、2020年に緊急事態宣言が発令されたコロナ禍で、例外として組織が一時的に認めたものをその後も継続して利用しているケースや、こうしたデバイスやサービスの使用がリスクをもたらすという認識が不足していることも原因です。

シャドーITとBYOD、サンクションドITとの違い

BYODでは、従業員にとっては、使い慣れた端末で、かつ場所・時間にとらわれずに業務が行えるようになり、企業にとっても、機器の購入コスト削減、管理の負担軽減、災害時の安否確認で迅速な対応が期待できるなどのメリットがあります。

一方、個人端末はセキュリティ対策が企業の管理下にないため、マルウェア感染や情報漏洩のリスクがあります。
導入の際は、BYODに関する社内規定を整備することや、情報漏洩などのインシデントを防ぐため、ITリテラシー向上の教育を行うことなどが重要です。

サンクションITは、Sanctioned＝許可された、という意味で、業務のために組織が利用を許可した端末やサービスを指します。シャドーITとは対照的に、組織が管理を行うため、セキュリティ上でのリスクが軽減され、安全に利用することができます。

どちらも「組織が使用を正式に許可している」という点で、シャドーITとは異なるものです。

シャドーITの種類とリスク

シャドーITの種類には、組織が管理していない「デバイス」と「サービス」の2つに大きく分けられます。

● デバイス

• 個人のスマートフォンやPC
• プリンターやスマートデバイスなどのIoT機器
• アクセスポイント
• サーバーやVM（Virtual Machine：仮想マシン）

● サービス

• コミュニケーションツール
• オンライン会議ツール
• クラウドストレージサービス
• 管理下でないリポジトリに保管されるデータ

シャドーITがもたらすリスクは、例として以下のようなものが挙げられます。

● 情報漏洩

組織が管理していないデバイスやサービスでは、データの所在が確認できないため、情報漏洩の危険性が高まります。データが外に漏れるだけでなく、組織のデータを正しく扱っていないという法的な問題、組織としての信用低下、復旧のためのコスト負担などの問題も引き起こします。

● マルウェア感染

セキュリティ基準を満たしていないデバイスやサービスは、マルウェアに感染する危険性があったり、ボットネット（攻撃者によって制御を奪われた、攻撃の踏み台となるネットワーク）に追加され、さらなる被害へ加担する可能性もあります。

シャドーITへの対策

シャドーITに対するアプローチには大きく3つあります。

一つは、現場が必要としているデバイスやクラウドサービスなどを把握し、未承認の外部サービスを利用しないで済むような環境を組織が整備することです。社内手続きを経て個人所有端末の業務利用を認めるBYODも一つの方法です。整備する際には、使い始めるときの手順や運用規定も同時に定め、組織の情報セキュリティポリシーとともに定期的に見直すことが重要です。

次に、セキュリティ研修を行い、従業員のセキュリティ意識の向上を図ることです。シャドーITによってインシデントが発生した場合、対応が遅れて所属する組織や関係先にも損失を与えるかもしれません。そうした危険性を全員に理解してもらい、セキュリティ文化を醸成します。これにより、外部のサービスが必要な場合は申請などの適切なプロセスを踏んで利用することを組織に浸透させられるでしょう。

最後は、CASB（Cloud Access Security Broker）などのITソリューションを活用する方法です。CASBはクラウドサービスの利用状況を監視しシャドーITを特定するだけでなく、CASBが認めたサイトのみをアクセス可能にしたり、機密情報を含むデータがアップロードされるのをブロックしたりする制御機能を持ちます。

シャドーITの多くは、企業が提供するツールやサービスが十分でない環境の中で、従業員がタスクを完了しようとしたり、危険性を正しく認識できていない状況で発生します。そのため、企業のITを不必要に制限するのではなく、適切な環境整備や対策を通じて、シャドーITを未然に防止することが重要です。

参考情報