個人所有の端末を無断で業務に使用するシャドーITが問題になっています。どうしてシャドーITは問題になるのでしょうか。その理由や事例などについて詳しく解説します。
目次
1.シャドーITとは?
シャドーITとは、企業や組織が認識していない、認めていないにもかかわらず、従業員が個人で所有している端末などを業務で使用することです。シャドーITは、企業や組織がセキュリティトラブルを引き起こす原因のひとつになっているのです。ITが急速に拡大している現代、企業はシャドーITに対する対応を迫られています。
2.シャドーITとBYOD
BYODとは、Bring your own deviceの頭文字を取ったもので、従業員が個人所有している、端末やフラッシュメモリなどを職場へ持ち込み、業務に使用すること。シャドーITとBYODとの違いは、下記の通りです。
- シャドーITは、企業が端末の使用を認めていない
- BYODは、企業がルールを設けて使用を許可している
BYODのメリットとデメリット
BYODには、メリットとデメリットがあります。
メリット
BYODのメリットは、下記の通りです。企業が設けたルールやポリシーに即して使用されれば、企業はこれらのメリットを享受できるでしょう。
- 従業員が使い慣れた自身の端末を使用するため、業務効率化や生産性向上が期待できる
- 個人所有の端末を活用できるため、企業側が端末を用意する手間や購入、維持に関するコストを低減できる
デメリット
BYODのデメリットは、下記の通りです。BYODの導入には、これらのリスク管理が不可欠といえます。
- 個人所有の端末を使用するため、業務内と業務外の線引きが曖昧になり、長時間労働を助長しやすくなる
- 個人所有の端末を紛失したりウイルス感染などが発生したりした場合、企業機密の漏洩、情報の破損、悪用などの危険性が高まる
3.シャドーITの事例
シャドーITの事例を3つ挙げ、企業の中に潜むシャドーITのリスクを具体的に解説します。
プライベートで用いるチャットツールを利用
業務終了後、従業員がプライベートで使用しているチャットツールを使って、上司や同僚と業務の打ち合わせをしてしまうケースです。
チャットツールは非常に便利な機能ですが、業務に関する打ち合わせに使用してしまうことで、情報漏洩のリスクを高めてしまいます。
仕事を持ち帰る、会社以外の場所で行う
職場で使用しているデータをUSBメモリーなどに移し替え、オフィスや自宅以外の場所で仕事を継続して行うケースです。
周囲に不特定多数の人間がいる環境で重要な仕事をすると、企業情報の流出リスクを高めてしまいます。
情報が入った端末を紛失
顧客情報を取り込んでいた個人所有のタブレット、業務で使用する画像を保存したスマートフォンを紛失する、紛失した端末にロックをかけていないため誰でも見られる状況にあるといったケースです。
こうしたケースは、企業の存在を脅かす重大な情報漏洩に発展しかねません。
4.シャドーITがもたらすリスク
シャドーITがもたらすリスクは5つです。それぞれについて解説しましょう。
ウイルス感染
たとえば、個人所有の端末がウイルス感染していたとします。それを知らずに従業員が、会社が適切に管理している端末などに接続してしまえば、健全だった会社管理の端末までウイルスに感染してしまうでしょう。
個人所有の場合、端末のウイルス対策が万全ではない可能性が高いです。シャドーITは、社内の端末をウイルス感染させる大きなリスクがあります。
情報漏えい
企業の情報が入った個人所有の端末やUSBメモリーを社外で紛失する、オンラインストレージサービスに不具合が生じてしまう、といったケースです。これらは、企業の情報が外部に漏洩してしまうリスクを一気に高めます。
情報漏えいは、企業が抱えるリスクの中でも最大です。一度でも情報が漏えいしてしまえば、企業の社会的信頼は大きく失墜し、企業価値そのものを失いかねません。
不正アクセス
近年、Wi-Fi環境の整備が急速に進み、駅や商業施設、公共施設や個人の自宅など、さまざまな場所でWi-Fiが自由に使えるようになりました。
しかし、「自宅のWi-Fi環境下で貸与された端末を使用していた際に不正アクセスされた」といった事例もあります。このような状況ですと業務上のデータは不正アクセスのリスクにさらされてしまうでしょう。
情報の悪用
従業員が個人所有している端末やUSBメモリーで業務を行っていた場合、紛失や不正アクセスによって、個人情報が漏えいし、悪用される可能性があります。場合によっては詐欺被害が発生するなど、最悪の事態が生じる場合もあるでしょう。
企業のイメージダウン
ウイルス感染や情報漏えい、不正アクセスや情報の悪用などが起きれば、当然、企業の情報に対する管理体制が問われます。
情報管理に関してのリスクマネジメントが機能していないと見なされれば、企業イメージがダウンするだけでなく、社会的信頼も失墜します。このように、企業の存続そのものに関わる大きな問題に発展してしまうことも考えられるでしょう。
- ウイルス感染
- 情報漏えい
- 不正アクセス
- 情報の悪用
- イメージダウン
だけでなく、企業の存亡に影響を及ぼします
5.なぜシャドーITはなくならないのか。シャドーITの課題
シャドーITがなくならない原因の背景に、シャドーITが抱える課題があります。
実態の把握が難しい
会社が管理する端末に関しては、会社自らで適切な管理ができます。
しかし、会社は従業員がどのような端末を何台保有しているのかまでの把握はできません。会社が従業員の使用する端末をすべて管理できない以上、常にシャドーITに対するリスクを抱えることになってしまいます。
悪意なきシャドーIT
悪意なきシャドーITとは、「自宅でも仕事をしよう」「移動中や隙間時間を使って仕事をしよう」といった、従業員の業務に対するモチベーションの高さが原因になっていることが多くあります。
従業員の悪意のない業務への高い意識が、シャドーITを生み出してしまう原因のひとつになっています。
6.シャドーITの対応、対策、対処法
シャドーITの問題に対する対処法5つを解説します。
- BYODを進め、ガイドラインを作成する
- 一定状況下で利用不可となる仕組みを構築
- 従業員にヒアリング
- 管理ツールの導入
- シャドーITの事例や危険性を周知
①BYODを進め、ガイドラインを作成する
シャドーITは自分の使い慣れた端末を使用できるため、従業員にとっては敷居の低い問題です。もし企業が、リスクを恐れるあまりシャドーITを全面的に禁止してしまうと、かえってシャドーITが進んでしまうかもしれません。
そこで、BYODを導入する、ガイドラインを作成するなどで、シャドーITの存在自体をなくしていくのです。
②一定状況下で利用不可となる仕組みを構築
強制的に、「特定の端末や特定のネットワークと接続できない」といった仕組みを構築して、物理的に個人所有の端末などの接続を困難にします。
仕組みの構築までには試行錯誤が必要になりますが、一定状況下で個人使用の端末が利用できなくなる仕組みは、シャドーITの根絶に向けた大きな一歩となるでしょう。
③従業員にヒアリング
「端末の整備状況やネットワーク環境の現在」「今後、希望する端末整備やネットワーク環境」などについて従業員にヒアリングし、結果をもとに、環境を整備します。それにより従業員は、わざわざ個人所有の端末を持ち込まなくても快適に仕事ができるでしょう。
④管理ツールの導入
個人所有の端末への使用制限や環境整備を行っても、シャドーITを根絶できないケースも多いです。
その場合、アクセス状況やネットワークのモニタリング、MDMのような端末などを管理するツールを導入しましょう。制限を加えても減らないシャドーITを、管理・監視してコントロールするのです。
⑤シャドーITの事例や危険性を周知
中には、高いモチベーションを起因に、個人所有の端末を使って業務を遂行する、シャドーITに関する知識不足により、無意識に個人所有の端末を使用するといったケースもあります。
会社は従業員に対して、シャドーITによって生じる問題やリスクを周知徹底しましょう。そうした意識改革によって、シャドーITを防ぎます。
