会社の許可がないサービスやデバイスなどを無断で使用するシャドーITは、セキュリティリスクが高い危険な行為です。
シャドーITのリスクを理解した上で、シャドーIT対策を学んでいきましょう。
また、ただ単にシャドーITを一律に禁止するというシャドーIT対策の方法ではなく、デジタルツールを導入したり、業務用端末を支給するなど、シャドーIT禁止の代替案を提示することが重要です。
シャドーITとは?
シャドーITとは、会社の許可を得ずに情報システムやソフトウェア、デバイス、クラウドサービスなどを業務に利用することです。
スマートフォンや個人PCの普及を背景として、シャドーITが増えています。近年では、テレワークなど、働き方が多様化しているのもシャドーIT増加の要因です。
シャドーITを放置しておくと、ウイルス感染や不正アクセス、ハッキングなどセキュリティ上のトラブルに発展するリスクや可能性があるので、シャドーIT対策の必要性や防止策を用意しなければいけません。
シャドーIT対策の前に発生シーンを知る
シャドーITが発生しやすいシーンは以下の3つです。
- テレワーク
- 持ち帰り残業
- 営業先
いずれもオフィス外でシャドーITは起こりやすいので顕在化や予防が難しいという点があります。
シャドーIT対策をする前に、どのようなシーンでシャドーITが発生するかを確認していきましょう。
テレワークで発生するシャドーIT
多くの企業では、テレワークで通常のオフィス勤務と同じような環境・設備を整えることは困難です。
スペックの低いPCを貸与したり、通常使っているアプリが使えなかったりするなど、オフィス勤務に比べて不便さを感じることもあるでしょう。
従業員個人がその不便さを解消しようと思ったときに、シャドーITが発生します。
不便さや非効率さから、よりスペックの高い私物PCを使用したり、無料のアプリやweb上のサービスを利用したりするのです。
また、自宅でのテレワークでは仕事とプライベートの境界線が曖昧になります。
私物を簡単に利用できる状態からもテレワークではシャドーITが発生しやすくなりやすいです。
持ち帰り残業で発生するシャドーIT
シャドーITは持ち帰り残業でも発生します。
自宅で持ち帰り残業をする場合、より使い慣れた私物デバイスで仕事を終わらせたいという心理が働くのです。
また、会社のデバイスの持ち出しが許可されている場合でも、その申請方法が面倒であれば黙って私物デバイスで仕事をしようと考える人もいるでしょう。
持ち帰り残業が生まれてしまう段階で別の問題もあるともいえますが、オフィスや勤務時間外で作業をする必要がある、作業をしなければいけないという状態もシャドーITが生まれやすいと言えます。
営業先で発生するシャドーIT
営業の移動時間に私物のスマートフォンで資料を確認したり、メールを送ったりすることもシャドーITに該当します。
また、荷物を少なくしたいという気持ちから、私物のスマートフォンに仕事のデータを入れて持ち歩く人もいるでしょう。
外勤の営業担当はオフィスにいる時間が短いため、オフィス勤務に比べて不便さを感じることが多く、シャドーITが起こりやすい職種といえます。
シャドーITの対策が必要なのはリスクがあるから
従業員が不便さを解消しようとすることで発生するシャドーITは、会社として対策を打ち出す必要があります。
シャドーITの対策が必要なのは、シャドーITを放置しているとセキュリティトラブルのリスクが起こる可能性があるからです。
シャドーITの対策が必要な理由であるシャドーITのリスクに着目して解説します。
シャドーITのリスク:セキュリティトラブルが発生する
私物のデバイスは、会社のデバイスに比べてセキュリティ対策が甘く、ウイルス感染やアカウントの乗っ取りを許してしまう可能性があります。
ほかにも、許可されていないクラウドサービスにデータをアップロードした際に、閲覧権限を全ユーザにしてしまうなど、人為的なミスによる情報漏えいも考えられるでしょう。
許可されていないデバイスやサービスを利用することで、このようなセキュリティトラブルに発展するリスクは高まります。
シャドーITをおこなった本人はもちろんのこと、会社としても監督責任が問われるでしょう。
シャドーITのリスク:労務管理ができなくなる
シャドーITは、テレワークや持ち帰り残業、営業先などオフィス外で発生しやすい傾向があると紹介しましたが、オフィス外であっても、会社が管理するデバイスやサービスを使っていれば、仕事をした時間や内容が把握できます。
一方、シャドーITで使われるデバイスやサービスなどは会社の管理外にあるため、仕事内容や時間を把握できません。
その結果、「長時間労働を把握できない」「サービス残業を見逃す」といった別の問題に繋がってしまいます。
シャドーITは、労務管理の観点からも好ましくないのです。
シャドーITのリスク:企業イメージの低下
シャドーITには、セキュリティリスクや労務管理の問題があります。
それらの問題点を放置してトラブルが発生した場合、「セキュリティが甘い会社」「従業員の管理ができていない会社」という印象を与えるでしょう。
ましてや、セキュリティトラブルなどで他社に迷惑をかけてしまえば、取引先を失うなど業績に影響する可能性もあります。
シャドーITは会社の信用問題に関わる問題であることを認識し、全社的にシャドーIT対策を考えることが必要です。
シャドーIT対策の基本的な考え方と手順
私物の端末やサービスを利用することを禁止するというだけでは、シャドーITはなくなりません。
シャドーIT対策においては、シャドーITをおこなわなくても快適に業務を遂行できる環境を整えるという考え方を持つことが大切です。
「シャドーITの原因を解消すること」「シャドーITに関するルールを定めること」という2つの側面からの取り組みが必要になります。
効果的かつ適切なシャドーIT対策の方法を順を追って説明します。
業務上の不満を洗い出す
まずは業務上の不満や不便さを洗い出すことが必要です。これはシャドーITが起こる原因を知る工程でもあります。
たとえば、会社で使っているクラウドサービスのアップロード容量が小さいために、未許可のクラウドサービスを使用しているのであれば、プランを変更して容量を上げられないか検討できます。
このように、シャドーITが起こる原因を知ることで取るべき対策が見つかります。
シャドーITの危険性を周知する
シャドーITをおこなう従業員の中には、シャドーITの危険性を理解していない人もいるでしょう。
シャドーITによって引き起こされるリスクをしっかりと周知し、従業員のITリテラシーを高めることもシャドーIT対策です。
シャドーITの禁止を明文化して代替策を提示する
続いて、シャドーITの禁止を明文化します。
どのような行為がシャドーITに該当するのか、すべての従業員に周知しましょう。
なお、シャドーITを禁止するだけでは、実質的なシャドーIT対策としては不十分です。
シャドーITの原因を解消するための代替策を出す必要があります。
シャドーITができない体制を築く
ルールを決めても、それを破ってシャドーITをおこなう従業員も中にはいるかもしれません。
パソコンやユーザーの挙動を監視するEDR(Endpoint Detection and Response)を導入したり、IPアドレス制限を設定したりして、シャドーITができない体制を築くことも必要です。
また、挙動の監視を従業員に周知することでシャドーITの抑制にもつながります。
シャドーIT対策における代替策の例
私的に端末やサービスを利用することは、リスクやセキュリティを悪化させたいという思いからではなく、効率的にしたい、支給品のスペックが悪いなどの要因があります。
つまり、ただ単にシャドーIT対策として私物の利用を禁止すれば解決というわけではなく、シャドーIT以外に業務に支障がでるなどの課題が出てしまうことがあります。
シャドーIT対策における代替策の例についても確認していきましょう。
シャドーIT禁止の代替策:業務用端末を支給する
テレワークや営業先などのオフィス外でも使用できる業務用端末を配布するのもシャドーIT対策の一つです。
特定のサービスやアプリケーションだけを使用できるように設定し、必要に応じてネットワークにもアクセス制限を設ければ、セキュリティリスクや労務管理の問題も解消します。
一方で、使い勝手の悪い端末を支給するとシャドーIT対策としては逆効果です。手順1で洗い出した業務上の不満を解消できる端末かどうかはよく検討する必要があります。
シャドーIT禁止の代替策:デジタルツールを導入する
シャドーITを禁止する代わりに新たなデジタルツールを導入することで、シャドーITの原因を解消できます。
中でも、クラウドサービスは導入・運用コストが安いため、シャドーIT対策で新たに導入するデジタルツールとしておすすめです。
法人向けオンラインストレージ | ・個人向けのクラウドストレージよりも容量が大きくて使いやすい
・アクセス制限やログ管理なども可能 ・個人向けの無料オンラインストレージの使用を抑止できる |
ビジネスチャット | ・ビジネス用に設計されているためセキュリティが強固
・SNSやプライベートのチャットツール、フリーメールの使用を抑止できる |
シャドーIT禁止の代替策:既存のデジタルツールをアップグレードする
シャドーITを禁止する際の代替策として、既にあるデジタルツールをアップグレードして使いやすくするという方法も有効です。
従業員から出た不満をアップグレードで解消でき、コスト面が問題ないのであればすぐに取り組みましょう。
シャドーIT対策にオンラインストレージ「セキュアSAMBA」
シャドーITは、セキュリティトラブルを発生させるだけでなく、労務管理を難しくしたり企業イメージを下げたりする可能性もあります。
シャドーITをしなくて済む環境を整えて、シャドーITをなくしていきましょう。
シャドーITの対策としておすすめなのが、中小企業に最も選ばれている法人向けオンラインストレージの「セキュアSAMBA」です。
セキュアSAMBAは、アクセス制限や細かいIPアドレス制限の機能があるため、シャドーITの抑止に効果的です。
また、ローカルフォルダと変わらない操作感なので、導入のハードルが低いツールといえます。
シャドーIT対策の一環として、ぜひ無料でも使えるセキュアSAMBAの導入をご検討ください。