シャドーITによるセキュリティリスクとは？起こりうる問題と対策

近年、個人のスマートフォンなどの端末を会社の許可なく仕事で利用するシャドーITが問題視されています。

使い慣れた端末やサービスを利用して業務を行うことは作業効率の向上に繋がりますが、その裏には大きなセキュリティリスクが潜んでいることを忘れてはなりません。

シャドーITはトラブルが起きてから事態が発覚することがほとんどで、顧客情報の漏洩やマルウェア感染などが引き起こされた事例も数多く確認されています。

この記事では、よくあるシャドーITの事例とシャドーITを防止するための具体的な方法についてご紹介します。

1.シャドーITとは　企業の課題

シャドーITとは、個人で所有しているスマートフォンやタブレットなどの端末を会社の許可なく業務に使用することです。

会社が把握していない端末を利用しているため、トラブルが起きてから事態が発覚することがほとんどで、主に情報漏洩やウイルス感染のリスクがあります。

具体的には以下の様な事例が挙げられ、個人の端末や登録しているサービスを禁止事項とは知らず、日常的に業務に使用している社員も多いことが現状です。

● 仕事の続きを家で行おうと思い、個人で登録しているオンラインストレージサービスを利用して会社のデータを持ち出す
● 仕事のメールを個人のスマートフォンを使用して送信する
● 会社のアドレスで受信したメールを個人のメールに転送する
● 個人のコミュニケーションアプリで業務連絡を行う

その背景には社内の情報共有インフラが整っていないことや、働き方改革の推進により残業がしにくくなったことがあります。

またシャドーITは「勝手BYOD」とも呼ばれ、混同されやすいBYODとは会社の許可の有無という大きな違いがあります。
主に仕事の効率化向上のために行われているため、ただ禁止するだけでは解決に至らないことが多く、ワークスタイルの多様化により近年特に注目されている問題の1つです。

2.よくあるシャドーITの事例

上記の例以外にも、シャドーITには複数の事例があります。
ここでは、比較的行われやすい事例についてご紹介します。

チャットやSNSを用いたコミュニケーション

LINEやMessngerなどのチャットやSNSは、メールや電話と比べてより手軽にコミュニケーションを取れるといった便利さから勝手に業務に使用されることが多くなっています。

チャットには、使い慣れていて操作しやすい・挨拶などを書かなくて済むなどのメリットがありますが、個人のアカウントを使用することによる情報漏洩のリスクを無視することはできません。

個人のチャットやSNSを業務に使用したことで、実際に以下の様な状況が起こっています。

● 業務の連絡と友人とのチャットを同一のアプリで交互に行なっていた結果、間違えて友人に重要なデータを送ってしまった
● 会社関係者になりすました人物からのチャット申請を許可してしまい、会社の情報を盗み取られた
● うっかりグループチャットで機密性の高い情報を含んだチャットを送信してしまったが、メッセージの削除機能がなく情報が広まってしまった

また、SNSやメッセージアプリは個人の端末に会社のデータが残ることから、端末の紛失や盗難の際にも第三者への情報漏洩リスクが高まります。

便利だからとつい使ってしまいがちですが、背後には高いセキュリティリスクがあることを忘れないことが重要です。

業務の持ち帰り

働き方改革の推進により以前よりも残業がしにくくなったことで、業務の持ち帰りが増加している傾向にあります。

その時気になることが、データの持ち出しです。

業務の持ち帰りが行われると当然データも社外に持ち出すことになるため、情報流出の可能性が高くなります。

● 個人で登録しているクラウドサービスに業務データをアップロードしたら、共有設定を間違えて第三者に情報が漏れてしまった
● 仕事に必要な情報が保存されていたUSBやSDカードを紛失した
● 会社のアドレスで受信したメールを個人のメールに転送しようとして、宛先を間違えた

社外にデータを持ち出すことは、以上の様な端末の紛失・盗難などによる情報漏洩にも繋がるため、セキュリティ面に深刻な被害をもたらす危険性があります。

個人端末を用いてネットワーク接続

業務の持ち帰りと合わせて行われやすいのが、個人端末を用いたネットワーク接続です。

● 私用PCを業務に使用したところ、知らないうちに感染していたマルウェアが社内まで広まってしまった
● カフェで仕事をするため無料Wi-Fiに接続したら、不正アクセスをされた
● 自宅のWi-Fiがウイルスに感染しており、持ち帰ったデータが流出してしまった

使い慣れた個人端末の使用は業務の作業効率アップに大変効果的ですが、個人の端末は社内で使用している高度なセキュリティ対策がなされた端末とは異なり、マルウェア感染のリスクが非常に高いことが特徴です。

特に社外で業務を行う場合、無料Wi-Fiなどのネットワークに接続したことで不正アクセスをされたり、情報が漏れてしまうケースは後を絶ちません。

重要な情報を扱う際は、外部のネットワーク接続を避けることが重要です。

3.シャドーITを防ぐための試み

では、様々なセキュリティリスクのあるシャドーITを防ぐにはどの様な対策を行うことが効果的なのでしょうか。

シャドーITを防止するために一番重要なことは、ただ禁止するのではなく現場の意見を把握し、代替案を用意することです。

ここでは、シャドーITの防止に役立つ4つの策をご紹介します。

社員教育を取り入れる

シャドーITが行われやすい理由に、社員がシャドーITのセキュリティリスクを把握していないといったものが挙げられます。

業務で個人の端末を使用する背景には、

● 自分だけではないし、これくらい大丈夫だろう
● 少しデータを持ち帰っただけでバレるはずがない

などの社員のセキュリティリスクへの認識の甘さがあります。

まずは社員に徹底したセキュリティ教育を行い、情報漏洩やウイルス感染のリスクを把握してもらうことが重要です。

また注意喚起や呼びかけを行うだけでなく、外部から講師を呼んでセミナーを開催することも効果的な手段の1つです。

インターネットサービスは日々進化するため、毎年開催することがおすすめです。

「これくらい大丈夫だろう」を防止するために、日頃から社員のセキュリティ意識を高く持つことが防止の一番の近道と言えるでしょう。

端末やサービスの使用制限や禁止の仕組みを設ける

セキュリティリスクの説明と合わせて行いたいのが、端末やサービスの利用制限です。

● フィルタリングソフトを導入し、有害サイトへのアクセスを防ぐ
● 各端末にセキュリティ対策ソフトを導入する
● 会社の端末を持ち出す際は申請書の提出を義務づける
● 個人端末へのデータの転送の禁止
● 会社で許可していないクラウドサービスへのデータのアップロードの禁止

セキュリティソフトのインストールなどの対策や、端末の使用方法・禁止事項についてのマニュアルを作成することで情報漏洩の防止が可能になります。

仮想デスクトップ（VDI）を用いて社内情報の流出を防ぐ

VDIとはデスクトップの仮想化のことで、端末のスペックや場所を選ばず、ネットワーク環境があるだけでどこでも同じデスクトップ環境が使用できるというメリットがあります。

他にも以下の様なメリットがあり、セキュリティ面においても高い効果を発揮することが特徴です。

● 一元管理が可能になる
● データは全てサーバに保存されるため、端末に情報が残らない
● 所持している端末のOSと仮想デスクトップ環境のOSが異なっていても問題ない

中でも一元管理ができることは大変大きなメリットで、アクセスログや使用状況の把握が容易になる他、セキュリティ面から危険性の高いソフトウェアやアプリケーションのインストールを防ぐこともできます。

場所や端末を選ばずデスクトップ環境が使用でき、情報の流出も防げるVDIはシャドーITの防止にぴったりな対策方法と言えるでしょう。

仮想デスクトップ（VDI）とは？＞＞

使用ツールやサービスなどある程度の許容体制をつくる

シャドーITは社内情報インフラへの不満から行われていることが多いので、ただ個人端末の使用禁止やデータの持ち出しを禁止するだけでは解決しないことがほとんどです。

シャドーITを防止したい場合は、使用ツールやサービスなどの許容体制を作ることが効果的と言えます。

アンケート調査を行い、社員がストレージサービスやコミュニケーションサービスの導入を希望していることが分かった場合は、社員が黙って容認されていないツールを使い始めるより前に、会社から進んでチャットツールや、Web会議ツール、資料共有に必要なクラウドストレージサービスなどを検討することが重要です。
ただ、これらのツールをバラバラと導入するのは、コストの観点や、セキュリティの観点で非効率といえるでしょう。

もし、すでにOffice365などを活用している企業様でれば、Teams（チャット/Web会議ツール）、Onedrive/Sherepoint(ファイル共有)、VDI（仮想デスクトップ）などのサービスを纏めて利用できるMicrosoft 365の導入がオススメです。

また、持ち出し可能な社用端末としてタブレットやスマートフォンを支給することも効果的な解決方法として注目されています。

4.まとめ

個人の端末を会社の許可なく使用するシャドーITは、トラブルが起きるまで発覚しないという厄介な特徴があります。

シャドーITを防ぐには、ただ端末やサービスの使用を禁止するのではなく、社員へのヒアリングを行い会社の状況に合った方法を選択することが重要です。

関連記事：株式会社ニトリ様仮想デスクトップ導入でテレワークを実現＞＞