シャドーITとは?企業でのシャドーITのリスクと対策を考える

テレワーク
AWAY

目次

シャドーITという言葉を聞いたことはあるでしょうか。

シャドーITとは、社員が使用許可されていないITサービスや個人所有のデバイスを無断で業務利用している事実を企業が把握していないことを表す言葉です。

社員が隠れて利用しているITサービスや機器によって、情報漏洩やウイルス感染などのセキュリティ上の問題が起きることがあり、企業の経営者はシャドーITにより生じるリスクの対策を考える必要があります。

また、テレワークを推進する企業が増えたことで、在宅勤務者と業務連絡をとるために、会社に無断でサービスやツールを利用するケースが見られ、シャドーITのリスクにつながる場合があります。

シャドーITとは何か、シャドーITのリスクとリスクを回避するための具体的な対策について解説します。

▶︎お役立ち資料:テレワーク導入のために企業がするべき準備とは

シャドーITとは

シャドーITとは、企業のIT管理者の目の届かないところで、使用許可のされていないITサービスやデバイスが無断使用されることです。具体的なシャドーITの例は、以下になります。

  • 個人向けオンラインストレージサービスで業務データを共有する
  • プライベートで活用しているメッセージアプリで業務連絡をする
  • フリーの翻訳ソフトで社外秘の文書を翻訳する
  • 個人のスマートフォンやタブレットを業務利用する
  • 個人のUSBメモリなどで業務データを自宅に持ち帰る

このように、会社が認めていないオンラインストレージサービスやアプリ、個人所有のデバイスなどを、隠れて使うことをシャドーITと呼びます。

世の中には便利なストレージサービスやアプリケーションが数多く存在しますが、個人情報やデータのセキュリティに課題があるツールも多く、対策が求められます。

シャドーITとBYODの違い

BYOD(Bring Your Own Device)とは、個人で所有しているスマートフォンやタブレット、アプリなどのサービスなどを、業務利用することを指します。

業務利用するデバイスやサービスが、会社から承認されていないものの場合は、「勝手BYOD」とも呼ばれ、結局シャドーITと同義となります。

BYODを導入すれば、社員に会社用のスマートフォンを購入し、会社で管理するなどの必要がありません。

そのため、企業としてはコストの削減につながるというメリットはありますが、結局企業の管理下になく、社員が勝手に利用している場合は情報漏洩などのリスクが常につきまといます。

シャドーITとBYODは異なりますが、個人情報の漏洩や、ウイルスの侵入などセキュリティの問題が発生すれば、世間からの信頼を失い大きな損失を被るでしょう。

シャドーITの具体的なリスク

シャドーITによって、どのようなリスクが生じるのかを知らなければ、問題の重大性を認識できないかもしれません。

シャドーITにより生じる具体的なリスクについて、いくつかの例を見てみましょう。

個人向けオンラインストレージサービスで業務データを共有する

オンラインストレージサービスは便利なツールですが、個人のアカウントに仕事の機密情報を含むファイルをアップロードして使っていた場合、退職時、機密情報が持ち出されるリスクがあります。

また、悪意のある第三者の攻撃により、ログインのIDやパスワードが流出してしまった場合も、アカウントが乗っ取られ、重要な情報が漏えいする可能性もあります。

オンラインストレージサービスを企業で利用するのであれば、会社が社員のアカウントを一元管理できるサービスを利用することを検討しましょう。

プライベートで活用している無料のアプリで業務連絡をする

世の中にはフリーで利用できるアプリがあふれており、無料なのに使い勝手がよいのが魅力です。

しかし、これらのフリーのアプリにはセキュリティのリスクが潜んでいるため、注意しましょう。

例えば、アカウントを乗っ取られてしまうと、今までやり取りしていた会話やデータがすべて盗まれてしまいます。

その場合、それまでやり取りしていた業務内容や、社内の情報が漏洩する可能性が高いです。

作成元がはっきりしないアプリの中には、個人情報やデータを抜き取られてしまうものも存在しています。

そのようなアプリはセキュリティ面に問題が多いため、業務での利用には適していません。

フリーの翻訳ソフトで社外秘の文書を翻訳する

フリーの翻訳ソフトにも、シャドーITのリスクが潜んでいます。

なぜなら、文章を翻訳ツールにかける際に文章がネット上に一時的に保存されており、その文章が外部に流出する可能性があるからです。

そのため、社外秘の重要な文章をフリーの翻訳ソフトで翻訳すべきではありません。

個人のスマートフォンやタブレットを業務利用する

個人のスマートフォンやタブレットを業務に使うと、情報が外部に漏洩する恐れがあります。

業務関連のメールを個人のスマートフォンから送る際に、誤って社外に送ってしまう可能性があります。

また、社外秘のファイルを開いたまま放置して、社外の人間にデータを見られてしまうなどのリスクも考えられるでしょう。

個人のデバイスを業務に利用する場合は、セキュリティ対策を講じておかなければ情報流出の危険がともないます。

個人のUSBメモリなどで業務データを自宅に持ち帰る

個人のUSBメモリなどを使って業務に使用するデータを自宅に持ち帰り仕事をするというケースも、問題です。

なぜならUSBメモリを紛失する可能性や、ウイルスに感染した自宅のPCにファイルを保存して、データが流出する可能性があるからです。

流出したデータが顧客情報や社外秘の重要なデータなどだった場合、会社に大きな損失をもたらすでしょう。

また、個人のUSBメモリを使用する行為自体にリスクが高いので、個人が簡単にデータの持ち出しがおこなえる状態は危険です。

シャドーITへの対策

シャドーITによるリスクの例をいくつか見てきましたが、企業にとって大きな問題が潜んでいることがおわかりいただけたでしょう。

それでは、シャドーITのリスクを回避するために、どのような対策を講じればよいの見ていきましょう。

社員への詳細なヒアリング

社員たちは情報を漏洩させるために個人のツールやデバイスを使っているわけではありません。

仕事の生産性を向上させるために使用しており、実際にITツールを使ったほうが生産性は向上します。

まずは社員たちになぜシャドーITを使うのか、何を目的として使用しているのかを確認することが重要です。

社員たちのニーズをヒアリングすることで、どのようなツールやアプリ、デバイスが必要なのかを把握しましょう。

代替案の提示

社員のニーズを把握したら、代替案を用意します。

ファイルを社内でスムーズに共有したい、社外でもファイルを閲覧・編集したいというニーズがあれば、法人向けオンラインストレージサービスを採用すればよいでしょう。

スマートフォンで社外から情報共有したいのであれば、業務のやり取りに特化したチャットサービスを利用することで解決できるかもしれません。

会社の生産性を上げるためには、社員のニーズを聞いて代替案を提示するのが大切です。

社員のセキュリティ教育の徹底

企業内のセキュリティを高めるためには、社員へのセキュリティ教育が必要です。

いくらツールを用意しても、社員のセキュリティに関する意識が低ければ意味がありません。

定期的にセキュリティ研修を受けてもらう、実際に発生したセキュリティの問題を教材にするなどの継続的な社員教育は、地味ですが重要なことです。

シャドーIT対策にChatwork

シャドーITとは、会社が認めていない個人のデバイスやツール、アプリを、社員が利用することを指します。

シャドーITの使用により、会社にとって重要な顧客情報や社外秘のデータが流出してしまうなど、大きな問題が起こる可能性があります。

リスクを回避する対策として、社員のニーズを会社が把握し、ニーズに沿った代替案を提示することや、社員へのセキュリティ教育が必要です。

情報を扱うツールを会社で用意する対策も有効ですので、社内の情報共有や伝達の部分に関しては、Chatworkを利用するのも効果的です。

Chatworkはチャット機能やファイルやデータの共有機能、タスク管理機能、Web会議機能が備わっており、シャドーIT対策としてだけではなく、業務効率化やコミュニケーション活性化にも効果的ですので、是非導入をご検討ください。

チャットのセキュリティが気になる人におすすめの資料

プライベートチャットツールに潜むリスクとは

プライベートチャットツールの業務利用は、アカウント乗っ取りをはじめとする重大な情報漏洩のリスクをはらんでいます。プライベートチャットツールの利用リスクとその対応方法について説明します。

主な内容

  • プライベートチャットツールのリスク
  • プライベートチャットツールの非効率さ
  • お客さまの声

ダウンロード
Chatwork

Chatwork

Chatworkの中の人です。お役立ちコラムの編集者として、ワークスタイルの変化に伴うコミュニケーションと組織のあり方など発信していきます。

関連記事