KDDIホーム 法人のお客さま おすすめコラム 知らないうちに信用失墜の危険も! ~身近すぎる脅威「シャドーIT」の実態と対策~

知らないうちに信用失墜の危険も! ~身近すぎる脅威「シャドーIT」の実態と対策~

スマートフォンをはじめとしたスマートデバイスやクラウドサービスの普及が著しい近年、仕事の効率を高めてくれる便利なツールが増える一方、情報漏洩のリスクは日に日に高まっています。今や情報セキュリティのトラブルはどの企業にとっても対岸の火事ではありません。

「シャドーIT」という言葉をご存じでしょうか。その危険性を把握することは、いま改めて注目される情報漏洩対策の強化に欠かせません。シャドーITとは何か? シャドーITが引き起こすトラブルにはどのようなものか、企業の情報、信用を守る上で押さえておきたいポイントを紹介します。

シャドーITとは何か?

シャドーITとは、企業のIT管理者が許可・管理していない状態で業務に個人契約のITを活用することです。その範囲は広く、多くのIT機器やサービスが関連します。
スマートデバイスで利用できるストレージなどのITツールは、仕事を進める上で非常に便利です。
しかし、法人向けに提供されている製品に比べると、個人向け製品や個人所有の端末の利用環境におけるセキュリティ対策は十分とは言えず、情報の漏洩やウイルスへの感染といったトラブルが起きる可能性も低くありません。

出先でのプレゼンテーションやスケジュール管理などにスマートデバイスを利用する、クラウドストレージにより自宅など場所を問わず作業が行えるといったワークスタイルは、今や珍しいものではなく、積極的に活用を促す企業も多くあります。また、個人向けに無料で提供されるツールも多く、その便利さを知っている人が多いというのも、シャドーITにつながる要因となっています。

すでに起きているかもしれない! シャドーITによるトラブル例

シャドーITには悪意のあるケースもありますが、悪意なきケースも多く存在します。「出先から連絡を取るために私物のスマートフォンに顧客のデータを入れた」「週末に仕事を進めるためにデータを持ち帰り自宅のPCで作業した」などのように、業務を効率的に行うために情報漏洩のリスクを意識せずに活用をしている人が、急増していると言われています。またトラブルへと発展しない限り管理者が把握することが難しいのも特徴であり、シャドーITの怖さでもあります。

それでは実際に、シャドーITに起因する具体的なトラブル例をいくつか見てみましょう。

私物の利用が引き起こしたトラブル

  • 自宅のPCが元でウイルスに感染
    ウイルス感染に気が付かず自宅PCで業務上のデータを開き、そのデータを再び取り込んだ職場のPCがウイルスに感染。ネットワークを介して全社的に被害が拡大し、機器やデータの破損、情報の漏洩といった様々な被害をもたらした。
  • 私物スマートフォンの紛失による情報漏洩
    クライアントとの打ち合わせ時に、提示された試作品の様子を自社に持ち帰るため、私物のスマートフォンのカメラで撮影。移動中に誤ってスマートフォンを紛失、さらに紛失時のロック機能や端末の位置所在機能などの対策がなされておらず、試作品の情報が流出した。

クラウドサービスの個人利用が引き起こしたトラブル

  • サーバートラブルによるデータの消失
    クライアントとのデータの受け渡しに個人利用のクラウドサービスを使ったところ、サーバートラブルによりデータが消失。バックアップシステムが不十分なサービスだったため復旧できず、クライアントに渡すべきデータを失った。
  • 公開範囲の設定ミスによる情報の漏洩
    出先でも活用できるようにと社内情報を個人利用のクラウドサービスに保管。「非公開」にするべきデータの公開条件設定を誤り、社内情報が外部に公開された。

許可されていないネットワーク利用が引き起こすトラブル

  • 社内ネットワークへの無許可接続によるマルウェアの拡散
    業務用PCで利用するために配布されたIDとパスワードを使い、私物のスマートフォンで社内ネットワークに接続。セキュリティ対策を怠っていたスマートフォンがマルウェアに感染しており、ネットワークを介して全社的に拡散された。
  • セキュリティ対策が強固でない外部回線の利用による情報漏洩
    顧客からのメールに返信をするため、出先でインターネットを使用。公共の場で無料提供されている無線LAN回線を使用したところ、セキュリティ対策に不備があり情報が漏洩した。

シャドーIT、一番の対策は業務環境の整備

それでは、どのようにこれらのリスクを回避すればよいのでしょうか。
トラブル防止のためにIT機器やサービスの利用を厳しく制限することは、業務の効率化を妨げることにもなりかねません。対策を講じる際には、どのようなことを意識すればよいのでしょうか?

まず大切なのは、"シャドーITが起こる"ことを前提に、従来のルールや対策を見直すことです。
例えば業務用PCから外部メモリへのデータのコピーを制限していても、スマートフォンとPCの同期により制限なくデータのコピーができてしまうという状態では対策は不十分です。
また、当事者に悪意がなくても起こりうるのがシャドーITです。危険性の告知による社員の意識改革に加え、セキュリティ対策が万全な社用端末やITツールの支給など、私物を業務に使う必要のない環境の構築が重要です。まず大切なことは、業務効率アップが図れるIT環境を、企業側が責任を持って提供するということです。

たとえば信頼できるクラウドサービスを企業として契約・用意し、それを利用するためのデバイスの管理を行う。業務用スマートデバイスは支給さえすればよいわけではなく、適切に利用できる状態を維持することが重要です。
ウイルスや情報開示範囲の設定などのセキュリティ対策をはじめ端末紛失時のリモート制御、アプリや機能の利用制限や利用状況の確認といった管理を行うことで、その安全性を確保することができます。こうした管理を効率的にサポートするITツールも注目を集めています。

業務環境の整備によるシャドーITの抑制。これは企業の安全のみでなく大切な社員を守ることにもつながります。

関連サービス・ソリューション

本コラムのおすすめ関連情報