シャドーITとは何か？セキュリティリスクがある理由と防止策について紹介

本記事では、シャドーITのセキュリティ上のリスクについて説明します。またシャドーITを防止するためにできることや、実際のトラブル事例についても紹介するので参考にしてください。

知識・情報

2022/07/08 UP

社員独自の判断で、管理対象外のツールやサービスを導入している状態のことをシャドーITと呼びます。シャドーITはセキュリティ上のリスクがあり、正しく対処できない場合、個人情報流出などのセキュリティインシデントを引き起こす場合もあります。

シャドーITとは

シャドーITの概要と、企業などで発生してしまう背景について説明します。社員本人は悪気がなくとも、知らないうちにセキュリティリスクのある行為を行なってしまう場合があります。

シャドーITの概要

シャドーITとは、企業などの経営層や情報管理部門の許可なく、ソフトウェアやIT機器が利用されている状態のこと。社員および部署内で独自に判断して導入し、業務に使用されてしまいます。何かトラブルが起きたあとになって初めて、シャドーITが原因だと判明する場合もあります。

管理されていない機器やツールが導入されていると、情報漏えいや不正アクセス、マルウェア感染などのセキュリティ上の問題を引き起こしてしまう可能性があります。社員が独自に導入するのは無料で利用できる一般消費者向けのソフトウェアが多いでしょう。しかし無料のソフトウェアはセキュリティ対策が手薄な場合も多く、リスクが高いため注意が必要です。

シャドーITが発生する背景

近年、スマートフォンなどのIT機器やクラウドサービスなどの個人でも利用できる便利なツールが増えています。実際に私生活で活用している方も多いでしょう。普段便利なツールに使い慣れているのに、業務において非効率的なツールしか使えなければ、不満が生じるのも仕方ありません。

社員は業務効率化のためシャドーITを利用したいと考え、私生活で使用しているツールや、自分で検索して見つけたツールを勝手に導入してしまうのです。本人は良かれと思って導入したのかもしれませんが、セキュリティの観点では問題となる行為です。しかしシャドーITのリスクに対する認識がなければ、周囲の人間も含めてツールの使用を黙認する状態となることもあるでしょう。

シャドーITとなりうるツールとリスク

私たちが普段よく使っているツールもシャドーITとなる可能性があるため、注意が必要です。ツールの種類と、どのようなリスクが想定されるか説明します。

クラウドサービス

ファイル共有サービスやメールサービスなどのクラウド上で動作するサービスのことです。クラウド上に保存したデータを手軽に送受信でき、スマートフォンやタブレットなどとも相性が良く使いやすいです。

しかしクラウドサービスを個人で使用する際は、無料の個人用アカウントを取得する場合が多いでしょう。個人用のアカウントはセキュリティ対策が脆弱な場合があるため注意が必要です。サイバー攻撃を受けて情報が盗まれるリスクもありますが、それだけでなくサーバーの不具合などのトラブルで情報漏えいが発生するリスクもあります。

チャットツール

個人でも使用するようなチャットやSNSなどのツールを、許可なく業務で使用するのはリスクがある行為です。メールよりも手軽に連絡できるため、社内の業務連絡や社外とのやり取りに使用したくなることもあるでしょう。

しかしチャットツールなどで部外者が同僚や取引先の人間になりすましており、知らずに機密情報を漏らしてしまうリスクがあります。それだけでなく、自分のミスで誤って社外の知人に業務内容を漏らしてしまう可能性もあるでしょう。ツールによっては一度送信した内容を削除できない場合もあるため注意が必要です。またチャットのログが企業側に残らないため、問題の認識が遅れたり、対処が困難になったりする場合もあります。

私物のIT機器

企業から支給されているIT機器ではなく、私物のスマートフォンやタブレット、USBメモリを使用していればシャドーITとなるリスクがあります。もしマルウェアなどに感染したIT機器を社内のネットワークに接続すると、同じネットワーク内の機器にも感染の恐れがあり非常に危険です。問題が解決するため企業全体の業務がストップすることもあるでしょう。

また私物のIT機器に社内の機密情報のデータを移して持ち出してしまい、そこから情報漏えいにつながるリスクもあります。企業側としては、個人の機器までは把握や管理が難しい場合が多いため、社員一人ひとりが意識しておかなければなりません。

シャドーITを防止するには

ここまでシャドーITとなりうるツールやリスクを説明しました。次にシャドーITの被害を防止するためにできることを3つ紹介します。

現場のニーズに応じてツールを導入する

社員がシャドーITを導入してしまうのは、業務における利便性や効率化を求めるためです。そのため、むやみに使用を禁止してもあまり意味はないでしょう。社員の不満が高まってしまい、知らないところでツールを導入して逆にシャドーITを生み出す結果となりかねません。

現場の業務内容や従業員のニーズを確認し、適切なツールの導入を検討するほうが建設的です。社内からツール使用の要望が出たときには、なるべく許可する方向で検討し、許可できないものであれば代案を用意するといった柔軟な対応ができるとよいでしょう。

ツールの利用状況を把握する

社員のパソコンにおける利用状況を監視や検知できる仕組みを整えることも対策の一つです。使用を禁止したいツールやサービスへのアクセスを禁止し、使用を制限できます。ただし対策できるのは企業から支給した機器のみであり、社員個人のスマートフォンやタブレットなどの機器までは管理できません。

CASB（Cloud Access Security Broker）サービスを利用すると、社員のクラウドサービスの利用によるシャドーITのリスクを軽減できます。シャドーITの対象となるサービスを判別し、利用状況を把握します。またアクセスの許可や禁止をリアルタイムで制御できる機能を備えるCASBサービスもあります。

社員に周知徹底する

シャドーITは社員が自己判断で導入してしまうものであるため、その危険性を社員自身に理解させることが必須です。社員へのセキュリティ教育のなかでシャドーITに関する内容を盛り込むなど、周知する機会を設けるとよいでしょう。会社が許可していないツールやサービスを使用することで、どのようなリスクが発生するのか説明して社員の意識を日頃から高めておきます。

ただし、企業側としてもシャドーITに関するガイドラインを定め、禁止行為に該当するものを明確にしておく必要があります。具体的な取り決めがあれば、社員が不注意でシャドーITを導入する可能性は低くなるはずです。また社員の不満を拾い上げ、新たにツールを採用することを検討できるような仕組みづくりも行なうと、社員の理解が得やすいでしょう。

シャドーITによるトラブル事例

シャドーITが原因となり、実際にセキュリティ上のトラブルに発展してしまうこともあります。その場合は会社や組織全体に影響するような大きな問題にもなりかねません。過去に発生したトラブル事例について説明します。

大学病院の個人情報漏えい

某大学病院にて、患者200人以上の個人情報が漏えいするという問題が発生しています。病院の医師が個人でクラウドサービスを使用しており、そのIDとパスワードがフィッシング詐欺で窃取されたことが原因でした。攻撃者はアカウントを乗っ取ってパスワードを変更したため、病院側ではログインできず保存データにアクセスできなくなります。アカウントを取り戻すこともできず、患者の個人情報が誰でも閲覧可能な状態になってしまいました。

この事例のそもそもの原因は、医師がクラウドサーバー上に患者の個人情報を保存していたことです。医師は病院外でもデータを閲覧できるようにクラウドサービスを利用していました。仮に利用するとしても、例えばIP制限などをかけて指定の場所から以外はアクセスできないようにするなどしていれば、攻撃は防げた可能性があります。

機密情報を個人のHDDに保管し漏えい

某IT企業内のビジネス文書が、フリーマーケットで販売されていたHDDから見つかるという問題が発生しています。業務用パソコンの入れ替え時に、社員がルールに反して個人のHDDにデータのバックアップを保存し、データ消去が不完全なままフリーマーケットでHDDを売却していたことが原因です。

社外からの通報があったために問題が発覚しましたが、その後の調査により流出経路が明らかになり、流出情報は第三者に渡っていないことが確認されました。社員が個人HDDにデータを保存したことのほかに、データ消去が万全に行なわれなかったこと、業務データの複製を防止する技術的対策が不十分であったことも原因とされています。