シャドーITとは?企業リスクと対策を考える

テレワーク
AWAY

目次

シャドーITという言葉を聞いたことはありますか?

シャドーITとは、社員が使用許可されていないITサービスや個人所有のデバイスを無断で業務利用している事実を企業が把握していないことを表す言葉です。

社員が隠れて利用しているITサービスや機器によって、情報漏洩やウイルス感染などのセキュリティ上の問題が起きることがあります。そのため、企業の経営者はシャドーITにより生じるリスクの対策を考える必要があります。

特に昨今、テレワークを推進する企業が増えたことで、在宅勤務者と業務連絡をとるために、会社に無断でサービスやツールを利用するケースが見られます。

そこで今回は、シャドーITとは何か、リスクを回避するための具体的な対策について解説します。

▶︎お役立ち資料:テレワーク導入のために企業がするべき準備とは

シャドーITとは?BYODとの違い

シャドーITとは、企業のIT管理者の目の届かないところで、使用許可のされていないITサービスやデバイスが無断使用されることです。具体的なシャドーITの例は、以下になります。

  • 個人向けオンラインストレージサービスで業務データを共有する
  • プライベートで活用しているメッセージアプリで業務連絡をする
  • フリーの翻訳ソフトで社外秘の文書を翻訳する
  • 個人のスマートフォンやタブレットを業務利用する
  • 個人のUSBメモリなどで業務データを自宅に持ち帰る

このように、会社が認めていないオンラインストレージサービスやアプリ、個人所有のデバイスなどを、隠れて使うことをシャドーITと呼びます。

世の中には便利なストレージサービスやアプリケーションが数多く存在します。その反面、個人情報や、やり取りしたデータのセキュリティに課題があるツールも多く、対策が必要です。

それでは、BYOD(Bring Your Own Device)はシャドーITには当たらないのでしょうか?

BYODとは、個人で所有しているスマートフォンやタブレット、アプリなどのサービスなどを、業務利用することを指します。業務利用するデバイスやサービスが、会社から承認されていないものの場合は、「勝手BYOD」とも呼ばれ、結局シャドーITと同義となります。

BYODを導入すれば、社員に会社用のスマートフォンを購入し、会社で管理するなどの必要がありません。そのため、企業としてはコストの削減につながるというメリットはありますが、結局企業の管理下になく、社員が勝手に利用している場合は情報漏洩などのリスクが常につきまといます。個人情報の漏洩や、ウイルスの侵入などセキュリティの問題が発生すれば、世間からの信頼を失い大きな損失を被るでしょう。

シャドーITの具体例とリスク

シャドーITによって、どのようなリスクが生じるのかを知らなければ、問題の重大性を認識できないかもしれません。ここでは、シャドーITにより生じる具体的なリスクについて、いくつかの例を見てみましょう。

個人向けオンラインストレージサービスで業務データを共有する

オンラインストレージサービスは便利なツールですが、個人のアカウントに仕事の機密情報を含むファイルをアップロードして使っていた場合、退職時、機密情報が持ち出されるリスクがあります。また悪意のある第三者の攻撃により、ログインのIDやパスワードが流出してしまった場合も、アカウントが乗っ取られ、重要な情報が漏えいする可能性もあります。

オンラインストレージサービスを企業で利用するのであれば、会社が社員のアカウントを一元管理できるサービスを利用することをおすすめします。

プライベートで活用している無料のアプリで業務連絡をする

世の中にはフリーで利用できるアプリがあふれており、無料なのに使い勝手がよいのが魅力です。しかし、これらのフリーのアプリにはセキュリティのリスクが潜んでいるため、注意しましょう。

例えば、アカウントを乗っ取られてしまうと、今までやり取りしていた会話やデータがすべて盗まれてしまいます。その場合、それまでやり取りしていた業務内容や、社内の情報が漏洩する可能性が高いです。

作成元がはっきりしないアプリの中には、個人情報やデータを抜き取られてしまうものも存在しています。そのようなアプリはセキュリティ面に問題が多いため、業務での利用には適していません。

フリーの翻訳ソフトで社外秘の文書を翻訳する

フリーの翻訳ソフトにも、シャドーITのリスクが潜んでいます。なぜなら、文章を翻訳ツールにかける際に文章がネット上に一時的に保存されており、その文章が外部に流出する可能性があるからです。

そのため、社外秘の重要な文章をフリーの翻訳ソフトで翻訳すべきではありません。

個人のスマートフォンやタブレットを業務利用する

個人のスマートフォンやタブレットを業務に使うと、情報が外部に漏洩する恐れがあります。業務関連のメールを個人のスマートフォンから送る際に、誤って社外に送ってしまう可能性があります。

また、社外秘のファイルを開いたまま放置して、社外の人間にデータを見られてしまうなどのリスクも考えられるでしょう。個人のデバイスを業務に利用する場合は、セキュリティ対策を講じておかなければ情報流出の危険がともないます。

個人のUSBメモリなどで業務データを自宅に持ち帰る

個人のUSBメモリなどを使って業務に使用するデータを自宅に持ち帰り仕事をするというケースも、問題です。

なぜならUSBメモリを紛失する可能性や、ウイルスに感染した自宅のPCにファイルを保存して、データが流出する可能性があるからです。流出したデータが顧客情報や社外秘の重要なデータなどだった場合、会社に大きな損失をもたらすでしょう。

シャドーITへの対策

シャドーITによるリスクの例をいくつか見てきましたが、企業にとって大きな問題が潜んでいることがおわかりいただけたでしょう。

それでは、シャドーITのリスクを回避するために、どのような対策を講じればよいのでしょうか?

ツールやアプリ、デバイスの個人使用を一切禁止するという手段は、社員たちの反発を買う可能性が高いため、ここからはシャドーITに対する対策方法をご説明していきます。

社員への詳細なヒアリング

社員たちは情報を漏洩させるために個人のツールやデバイスを使っているわけではありません。仕事の生産性を向上させるために使用しており、実際にITツールを使ったほうが生産性は向上します。

まずは社員たちになぜシャドーITを使うのか、何を目的として使用しているのかを確認することが重要です。社員たちのニーズをヒアリングすることで、どのようなツールやアプリ、デバイスが必要なのかを把握しましょう。

代替案の提示

社員のニーズを把握したら、代替案を用意します。ファイルを社内でスムーズに共有したい、社外でもファイルを閲覧・編集したいというニーズがあれば、法人向けオンラインストレージサービスを採用すればよいでしょう。

スマートフォンで社外から情報共有したいのであれば、業務のやり取りに特化したチャットサービスを利用することで解決できるかもしれません。会社の生産性を上げるためには、社員のニーズを聞いて代替案を提示するのが大切です。

社員のセキュリティ教育の徹底

企業内のセキュリティを高めるためには、社員へのセキュリティ教育が必要です。いくらツールを用意しても、社員のセキュリティに関する意識が低ければ意味がありません。

定期的にセキュリティ研修を受けてもらう、実際に発生したセキュリティの問題を教材にするなどの継続的な社員教育は、地味ですが重要なことです。

まとめ

シャドーITとは、会社が認めていない個人のデバイスやツール、アプリを、社員が利用することを指します。

シャドーITの使用により、会社にとって重要な顧客情報や社外秘のデータが流出してしまうなど、大きな問題が起こる可能性があります。リスクを回避する対策として、社員のニーズを会社が把握し、ニーズに沿った代替案を提示することや、社員へのセキュリティ教育が必要です。

ITの進歩は早く、対策は苦労が多いですが、企業のセキュリティを守るために地道に対処していく必要があるでしょう。

テレワーク導入をご検討の企業さまにおすすめの資料

はじめてのテレワーク

このお役立ち資料ではテレワーク導入のために企業がするべき準備をまとめました。

感染症の予防の観点から、テレワークを推奨する動きが広がっている一方で、「まだ何も準備ができていない」、「どうやってはじめれば良いかわからない」などという声も聞かれます。

  • なぜ今テレワークが必要なのか
  • テレワーク導入のために企業がするべき準備は何なのか
  • Chatworkがテレワーク企業に選ばれる理由

などを解説します。貴社のテレワーク導入にあたっての情報収集の一助になれば幸いです。

ダウンロード
Chatwork

Chatwork

Chatworkの中の人です。お役立ちコラムの編集者として、ワークスタイルの変化に伴うコミュニケーションと組織のあり方など発信していきます。

関連記事