業務をおこなう際は、セキュリティの観点からも会社から貸与された端末や利用を許可されたクラウドサービスを使うことが一般的であり推奨されています。
しかし、会社が管理していない私物の端末を業務で利用していたり、法人向けクラウドサービスを利用していたりすることもあるようです。
シャドーITとよばれるこの行為は、さまざまなリスクを抱えているため、企業にとっては解決しなければいけない問題のひとつです。
また、各社員が隠れてやっているというわけではなく、シャドーITのリスクや問題点を理解していない企業が黙認しているということもあります。
どのような事例がシャドーITに該当するのか、シャドーITにはどのようなリスクや問題点があるのかを確認していきましょう。
シャドーITとは
シャドーITとは、会社が管理していない端末やソフトウェアツール、Web上のサービスなどを社員が許可なく使用することです。
本来であれば、業務で使用する端末やソフトウェアツール、クラウドサービスのアカウントなどは、会社が管理するものでなければなりません。
特に業務上利便性の高いクラウドサービスが多く普及したことにより、シャドーITが発生しやすい状況であるともいえます。
シャドーITは、会社が使用を許可したツールやサービスに対し、社員が「使い勝手が悪い」「生産性向上を阻害している」と感じてしまうことから発生してしまうことがあります。
さらには、不適切なテレワークの導入や運用の仕方であったり、準備不足のまま在宅勤務を導入したこともシャドーITが発生した原因ともいえるでしょう。
適切な環境でテレワークや在宅勤務がおこなえるようにするための十分な準備期間がないまま導入したことで、個人が所有する端末や環境を使って、仕事を進めなければいけない状況が生まれてしまうからです。
また、会社が用意や準備をせずに個人の端末の利用を経費削減の観点から推奨してしまっていたということも考えられるでしょう。
このように発生してしまうシャドーITは、会社の情報セキュリティに影響を及ぼし、データ流失などの情報漏洩のリスク、適切に業務がおこなえなくなるなどの問題発生の可能性を高めるので、会社に大きな損害を与える可能性があるとして問題視されています。
シャドーITに該当する事例とは
どのような事例であればシャドーITになるのか、具体例を見ていきましょう。
普段の何気ない行為が、シャドーITに該当している場合もあります。
ご自身の行動や会社の方針や管理の仕方が、シャドーITにあてはまっていないかをチェックしてみてください。
個人が所有するデバイスの利用
会社から支給された、または使用を許可された端末以外で個人が所有するパソコンやスマートフォン、タブレット端末などを使用することは、シャドーITにあたります。
端末以外にも、USBメモリやHDDなどの外部記憶装置を使い、仕事のデータを持ち出すこともシャドーITのひとつです。
多様な働き方が普及したことで、個人が所有する端末や装置を使用する機会が多くなりました。
リモートワークや在宅勤務においては、作業環境やデバイスの用意や管理が個人に委ねられる部分が多く注目を高めている問題です。
クラウドサービスの個人使用
ビジネスチャットやオンラインストレージなど、業務効率化につながるクラウドサービスが多数存在しています。
これらのクラウドサービスは、個人が無料で使えるものも多くあることから、シャドーITとして利用されがちです。
例えば、仕事のデータを自宅や取引先へ持ち出す際に、個人が使用しているクラウドサービスに一旦保管することは、シャドーITに該当します。
特に、リモートワーク環境下においては、会社がファイル共有方法やコミュニケーションツールを適切に管理していない場合、どの手段を使うかは個人で判断しなければなりません。
そのような際に、クラウドサービスはコストがかかりにくい、迅速に対応できるなどの理由から、利用する手段として選ばれやすいのです。
クラウドサービスの普及によって業務効率が上がった反面、シャドーITとして使われやすいという点に注視しなければなりません。
個人としてのメール利用
クラウドサービスと同じく、GmailやYahooメールなどのフリーメールも、個人が無料で使うことができるため、シャドーITになりやすい事例のひとつです。
具体例としては、会社で使っているアドレスで送受信したメールの内容を、個人で使用しているメールに転送するケースが、シャドーITにあたります。
メールはパソコンだけではなく、スマートフォンアプリでも気軽に使うことができるため、シャドーITに該当しているという認識がしにくいことも、シャドーITが増えている原因です。
翻訳サイトの利用
シャドーITの事例としてあまり注視されていませんが、仕事で翻訳サイトを無秩序に利用することは、シャドーITにあたることを認識しておきましょう。
具体例を挙げると、会社が許可していない翻訳サイトを使って、英語で受信したメールの本文を入力するケースです。
同様に、日本語から英語に変換する際の翻訳サイト利用も、シャドーITにあたります。
多くの翻訳サイトにおいて、入力された文章は一旦クラウド上に保管されます。
そのため、無料の翻訳サイトに会社の機密情報を入力することは、クラウド上での盗聴による情報漏えいのリスクが存在するということです。
法人向けの翻訳サービスであれば、セキュリティ面が担保されているため、安全に利用することが可能です。
しかし、個人が無料で利用するケースでは、セキュリティ面において脆弱性を感じる部分もあるため、無秩序な翻訳サイトの利用は注意が必要です。
地図サービスの利用
地図情報サービスを使えば、取引先の情報を保存することや、頻繁に訪れる営業先を登録することが可能です。
スケジュール管理ツールと連携して「いつ誰とどこに行くのか」、さらには、ストレージサービスと紐づけてファイルのURLを入力することも可能なものもあります。
仮に、個人が利用する地図情報サービスのアカウントを乗っ取られた場合、取引先の情報や商談内容など、かなり多くの情報を盗まれてしまう可能性も捨てきれません。
地図情報サービスの利用まで管理する会社は、それほど多くはありませんが、トラブルが発生した際には、シャドーITの原因になりかねないことを認識しておきましょう。
シャドーITのリスク
悪気や意識がないままにやってしまう可能性の高いシャドーITですが、具体的にシャドーITをしてしまうことでどのようなリスクをもたらすかについて見ていきましょう。
情報漏えいしやすい
情報漏えいは、シャドーITにおいて最も懸念されるリスクです。
シャドーITで、多く挙げられる事例としてクラウドサービスがあります。
クラウドサービスで扱われるデータは、サービス提供会社のサーバーに保管されます。
特に、オンラインストレージサービスでは、大量のデータを保存することが可能です。
万が一、サービス提供会社がサイバー攻撃にあった場合、重要なデータが大量に流出してしまうケースも考えられます。
しかし、会社のセキュリティポリシーを満たすクラウドサービスであればサイバー攻撃を受けにくい、あるいは万が一の際にもデータが守られる体制が整えられているので、情報漏えいのリスクを極力抑えることができるのです。
ほかにも、会社の管理下にないオンラインストレージを利用した際、自らの設定ミスにより、意図しない相手にデータを渡してしまうリスクも捨てきれません。
会社の管理下にないクラウドサービスを使用していた場合、ファイルを削除したり、アクセス権限の設定を変更したりといった対応は、本人に委ねられています。
したがって、会社が管理していないサービスを利用するシャドーITは、情報漏えいのリスクを孕んでいるのです。
データの持ち出しが容易になる
シャドーITによって、データの持ち出しが容易になる点にも注意しましょう。
例えば、オンラインストレージやフリーメールなどにおいて、法人用アカウントで扱っていたデータを、個人用アカウントで使うサービスに移動してしまうケースです。
会社の管理下にない個人用アカウントにデータを移動させた場合、その移動履歴を会社は把握することができません。
そのため、重要なデータがどこに保管されており、閲覧できる権限の範囲がどこまでなのかという情報を、会社が管理することはできません。
このような状況では、情報漏えいのリスクどころか、そもそも情報漏えいが発生したことにすら気づけない危険性があるのです。
IT技術が進み、データがデジタル化されたことで、利便性が高まった反面、会社の規定を守らず、容易にデータを持ち出されてしまうことへの危機感をもたなければいけません。
公私混同によるトラブル
業務上のやりとりに、個人で使用しているチャットやSNSを使うことで、公私混同によるトラブルが生じる可能性もあります。
その中でもLINEは、個人向けサービスという意識が高いことで、公私の線引きが緩みがちになり、思わずプライベートな話に進んでしまうといった可能性も捨てきれません。
ほかにも、プライベートで使用しているスマートフォンは、知人や家族から、「写真見せて」と頼まれて、スマートフォン自体を渡してしまうケースは珍しくありません。
双方に悪意がなかったとしても、ふとした操作がきっかけで、閲覧制限が解除されてしまい、情報が流出してしまうケースも考えられます。
使い慣れた個人の端末を業務に持ち込むことで、業務効率が上がることも期待できます。
しかし、その裏には公私混同による、人間関係のトラブルや情報流出につながるリスクがあることを認識しなければなりません。
情報セキュリティ事故の発生時に追跡がしにくい
不正アクセスや情報漏えいなどの、セキュリティ事故が発生した際に、シャドーITをおこなっていたことで、原因の追及や影響の追跡が難しいというリスクがあります。
セキュリティ事故により、甚大な被害が生じた場合、会社は被害の状況を、顧客や経営者、社員などの利害関係者に報告しなければいけません。
しかし、シャドーITにより発生したセキュリティ事故に関しては、事故が発生した原因やこれまでの経緯の追跡を会社がおこなうことが困難なため、関係者に対して明確な説明をすることができません。
シャドーITによってセキュリティ事故が発生した際、顧客や取引先などの関係者に対して、早急に説明責任を果たせないとなれば、会社の信頼度は一気に下がり、金銭的な損失にもつながるリスクがあることを認識しておきましょう。
シャドーITのなにが問題なのか?
シャドーITのリスクが理解できたところで、そもそもシャドーITのなにが問題なのかを学んでおきましょう。
シャドーITの自覚がない
シャドーITをおこなってしまう人の中には、自分の行為がシャドーITに該当していると自覚していない場合が多いです。
むしろ、クラウドサービスを利用することで、「業務効率化につながる」「生産性が上がり組織に貢献できる」と考えている人もいるほどです。
したがって、シャドーITの問題点は、本人が「シャドーITはよくない行為である」という認識や、シャドーITに対する罪悪感をもっていないことなのです。
シャドーITに対する危機感が薄い
シャドーITが情報漏えいを引き起こす原因だと認識していても、「自分は大丈夫」という過信や、「これくらいなら大きなトラブルにはならない」という思い込みは禁物です。
なぜなら、シャドーITに対する危機感が薄いことで、万が一トラブルが起こった際に、予想を超える事の重大さに対応しきれないからです。
シャドーITは情報漏えいのリスクがあると認識していたとしても、自分の行為に対する危機感が薄いことは問題として残るのです。
会社がシャドーITの実態を把握しきれない
シャドーITの問題点として、会社がシャドーITの実態を把握しきれないことが挙げられます。
その理由のひとつには、多様なサービスやツールが多く普及していることが起因しています。
仮に、ひとつのシャドーITを禁止しても、多くのサービスやツールが使いやすくなっていることで、ほかのシャドーITが出現してしまいます。
シャドーITで何が使われているのか、どれぐらいの規模でシャドーITが拡大しているのかという実態を会社が把握できないことで、シャドーITの問題に対する適切な解決策を見つけられないことが問題なのです。
シャドーITが発生する原因を明確にできていない
シャドーITの問題として、なぜシャドーITが発生するのかという原因を、会社側が明確にできていないまま、シャドーITの排除を呼びかけていることが挙げられます。
社員が悪意をもってシャドーITをおこなうケースはまれであり、多くの場合は、シャドーITを使わざるを得ない状況であることに対して現在のIT環境が不便であると感じている社員がいるということです。
シャドーITを使わざるを得ない状況として考えられる事例には、会社が管理しているクラウドサービスは使いにくい、効率が悪いといった状況や取引先とのコミュニケーションが取りづらいなどが考えられます。
そうであるならば、会社はIT環境の見直しや整備をおこなうことで、シャドーITをなくすことにつながる可能性も出てきます。
シャドーITの問題は、なぜ社員がシャドーITをおこなうのかという理由を明確にできないまま、シャドーITの禁止を訴えることや十分な環境や機器を用意していないことにもあるといえるでしょう。
シャドーITのリスク軽減にセキュアSAMABA
シャドーITは、会社が管理しているクラウドサービスに対し、社員が使いづらいと感じることで発生するケースが多いです。
また、多様なクラウドサービスの中には、個人アカウントでも利用しやすいものが多くなっていることも事実です。
そこで、クラウドサービスを利用する際は、ビジネスに特化したサービスを導入することで、シャドーITのリスクを軽減することにつながります。
ビジネスで使いやすいオンラインストレージには、セキュアSAMBAが最適です。
セキュアSAMBAは、法人向けのオンラインストレージサービスであるため、高い安全性と使いやすい操作性を持ち合わせています。
シャドーITでお悩みのご担当者様は、ぜひ一度セキュアSAMBAにご相談ください。
