「シャドーIT」という言葉を耳にすることが多くなりました。誰もが「ITおよびセキュリティ関連の用語」ということは知っていても、その詳細や実態まで知っているという方は少ないでしょう。本稿ではいまさら人には聞けないシャドーITについて解説します。

シャドーITとは?

スマートフォンやタブレット、インターネットの普及はビジネスにおいて多大な生産性をもたらしたと同時に、企業のセキュリティリスクを広げるきっかけにもなりました。

シャドーITとは、企業のIT担当者が存在を認識していないクラウドサービスあるいはスマートフォンやタブレットなどのIT機器を使用して従業員の業務が行われていることを指します。

たとえば本稿を読まれている方の中にも、企業には申告してないし承認も得ていない自身のスマートフォンを利用して社内システムにアクセスしたり、業務に利用している方もいらっしゃるのではないでしょうか?企業のIT担当者が把握していないクラウドサービスやIT機器は総じて「シャドーIT」と呼ばれ、セキュリティリスクとして認識すべき項目となっています。

なぜシャドーITが危険なのか?

クラウドサービスが普及し、スマートフォンやタブレットといったIT機器が日々進化している現代において、そうしたサービスやIT機器を使用することは生産性向上に欠かせないことであり、ビジネスパーソンがそれを利用するのは自然の流れだ、と考える方も多いでしょう。

もちろん、クラウドサービスやIT機器を利用すること自体がセキュリティリスクなのではありません。問題は、企業のIT担当者がその存在や利用実態を把握していない/できていないことにあります。

読者の方々の中で「個人で利用している端末のセキュリティ対策は万全だ!」「個人で利用しているクラウドサービスが安全だ!」と、胸を張って言える人はどれくらいいらっしゃるでしょうか?「一応セキュリティ対策はしているけれど、万全かと聞かれたらそれは疑問が残る…」「個人で利用しているクラウドサービスは、多分安全だと思う…」という方が大半なのではないかと思います。

そうした「ビジネスレベルではセキュリティ対策が不十分な端末やサービス」が知らずのうちに業務に使用されていたらどうなるでしょうか?その端末を起点として情報漏えい事件が発生したり、あるいは重要データが損失したりといった被害がいとも簡単に起きてしまいます。

特に最近では、クラウドサービスの普及もあり他者と情報共有を行うのは非常に簡単なことです。その中で企業の重要情報が間違って共有でもされれば、それを起点として情報漏えいが起きることもあります。

以上のように、企業のIT担当者が把握していないクラウドサービスやIT機器が存在するということは、想像よりもはるかに危険な状態なのです。

シャドーITを無くすためにできることは?

シャドーITは企業にとってあってはならないセキュリティリスクですが、これを完全に無くすことは難しいと考えられています。そこで、少しでもシャドーITを排除するためのポイントをご紹介します。

シャドーIT実態を調査

シャドーITを排除するためにはまず、社内でシャドーITの実態調査を行い、どれくらい蔓延しているものなのかをチェックします。まずは実態調査を実施することで、基本的な情報について確認します。

現場にヒアリングする

シャドーITの要因になっていることについて知るためには、現場に積極的にヒアリングする必要があります。なぜシャドーITを行うに至ったのか?なぜそのアプリケーション・端末でなくてはいけないのか?などなど、現場からさまざまな情報を得ることが大切です。

代替案を用意する

シャドーITを排除した場合に業務が困難になる人に対して、代替案を用意し、現状の生産性を維持しつつも情報セキュリティ対策を強化するための提案を行っていきます。

セキュリティ意識を高める

教育等を積極的に実施したセキュリティ意識を高めるというのもとても大変です。そのためセキュリティ教育等をどんどん実施して、組織全体のセキュリティ意識を高めることも重要です。

シャドーITの排除が難しい3つの理由

シャドーITが難しいとされている理由はいくつかあります。ここでは特に難しいとされている理由を3つご紹介します。

1. クラウドサービスの情報収集が大変

クラウドサービスとはインターネット経由で提供されるサービスの総称であり、これを利用することでビジネス上の生産性を大幅に向上できます。ただし、クラウドサービスはシャドーITとして利用されることも多く、IT担当者の頭を悩ませています。というのも、シャドーITの多くはクラウドサービスによるものであり、各サービスの利用許可および禁止を判断するためには、ログから得られる情報の他にサービスの特性やリスク、利用用途といった情報を確認する必要があります。

2. 運用面・技術面の統制が難しい

たとえクラウドサービスとして利用を許可したとしても、想定通りの動作をしているとは限りません。そのため運用面・技術面での統制が難しく、シャドーITが横行する原因にもなっています。

3. HTTPS通信の通信内容が把握できない

近年Googleのアップデートにより「HTTPS通信に対応してないWebサイトの評価は下がる」ということから、HTTPS通信に移行するWebサイトが増えています。HTTPS通信は暗号化通信であり、通信の盗聴を防いだり、不正サーバーへの接続防止などのメリットもあります。ただしHTTPS通信では内部通信まで知ることが非常に難しくなっています。

シャドーITを排除するためには?

まず大切なのは、企業のIT担当者が組織全体を俯瞰しながらシャドーITの実態を確かめることです。そのためにはネットワークを監視(モニタリング)するための仕事が必要になります。また、どのようなデバイスがどのような社内アプリケーションにアクセスしているのかも知る必要があるでしょう。IT管理者が常にシャドーITを監視できる環境にあれば、社内における端末の不正利用や無断のクラウドサービス利用は圧倒的に減少します。そのためには、社内システムの利用実態を常に監視できるシステムが必要です。

それとは反対に、シャドーITを受け入れて情報漏えいが起きないようにセキュリティ対策を強化するという方法もあります。これはシャドーITを排除することには繋がりませんが、企業としてのリスクを低減することができるのは確かです。

社内システムを監視できるシステム「SysTrack」をご紹介します。SysTrackは「Lakeside Software(レイクサイド ソフトウェア)」が提供しているビジネス可視化ソリューションであり、様々な条件に応じたシステム監視が行えます。

また、SysTrackがある環境では情報漏えい事件が発生する前に、内部システムにおける不正利用やセキュリティリスクを可視化することができます。SysTrackがシステムを常にモニタリングすることで、どの従業員がどのアプリケーションを利用しているのかなど、さまざまな情報を取得することができます。シャドーITにお悩みでしたら、システムの状態を把握可能なSysTrackをぜひご検討ください。

仮想デスクトップの導入から運用までトータルに支援「SysTrack」