シャドーITとは?
従業員が個人で所有するパソコン・スマートフォンといったデバイスや、個人で使用しているITサービスを、会社側の許可・認知なく業務に利用する「シャドーIT」。ここ数年もシャドーITによる大きな情報漏えい事件が何件か起きており、そのリスクは企業にとって決して小さくはありません。特に昨今は新型コロナウイルス対策でテレワーク人口が一気に増えたことに伴い、社内から在宅勤務者へ、あるいは在宅勤務者同士で業務上の連絡やデータをやり取りするために、会社に無断でITサービスやSNS等のツールを利用するシーンが想定されます。
世間には無料で便利に使えるITサービスやアプリがたくさんありますが、中には個人情報やデータ管理の上でセキュリティ面に脆弱性を抱えているものもあるため、今やシャドーITへのリスク対策が急務となっています。
そこで今回は、シャドーITの概要と例、リスク対策について解説したいと思います。
シャドーITの例と対処法
まずはシャドーITの具体的な例と対処法をいくつか挙げてみましょう。・個人のUSBメモリで業務データを社外持ち出し
業務に必要なデータを持ち帰って社外・自宅で仕事をしたいときなど、USBメモリは確かに小型軽量で便利です。しかしそれだけ紛失しやすい機器でもあり、実際にUSBメモリ紛失による個人情報漏えいの発生は少なくありません。
参考:サイバーセキュリティー.com「個人情報漏洩事件・被害事例一覧」
https://cybersecurity-jp.com/leakage-of-personal-information
こうした情報漏えいによる甚大なダメージを回避するには、個人のUSBメモリの使用そのものを禁ずるポリシーの制定も必要ですが、それだけでなく、セキュリティ対策ソフトの機能等でUSBをブロックする(認識させない)ようにデバイスコントロールをかけるなど、物理的な制御機能で管理するのが効果的です。
USBメモリは使い勝手がよい反面、きちんと管理しなければ情報漏えいのリスクも高い
個人のノートパソコンやスマートフォンを業務に使うと、紛失による情報漏えいのリスクや、個人のスマートフォンから誤って社外宛てに業務関連メールを送信してしまう可能性があります。
シャドーITはしばしば、従業員が個人で所有するパソコン・スマートフォンなどの端末やアプリ等を業務に利用する「BYOD(Bring Your Own Device)」と比較されますが、BYODは会社の許可・承認済みであることが原則。
つまり、シャドーITを把握し、BYODと同様、業務時間中の利用はログ取得を前提とするといったルールを設定したり、アクセス制限をしたりしつつ、端末の紛失時にはリモート操作で端末の情報を削除する、あるいは端末をロックすることによって情報漏えいを防ぐといった対策を講じましょう。
そのほか、社内LANに持ち込んだネットワーク機器を接続できないようにするなど、シャドーIT以前の対策見直しも効果的です。
なお、BYODは、会社側でスマートフォンを購入・貸与する必要がないため、コスト削減につながりますが、一方で、会社の管理下にないBYODはシャドーITと同様、情報漏えいやウイルス感染などのリスクが生じますので、運用には注意が必要です。
・個人アカウントで使用しているオンラインストレージで業務データを共有
メールへのファイル添付よりもオンラインストレージの利用が推奨されている企業も多く、クラウド上に大量のデータを保存できるオンラインストレージサービスはとても便利です。
しかし一般的に、個人向けの無料オンラインストレージサービスは、有料の法人向けサービスよりもセキュリティが十分でない場合があり、不正アクセス等によりログインIDやパスワードが流出したり、アカウントが乗っ取られたりするリスクも高くなります。
また、従業員が個人アカウントに機密情報を含むデータを保存していた場合、退職時に機密情報が持ち出されるリスクもあります。
業務上、オンラインストレージサービスを利用するシーンがある場合は、会社側で従業員のアカウントを一元管理できる法人向けのオンラインストレージサービス・プランを利用しましょう。
他には、社外からのオンラインストレージへのアクセスや、個人アカウントによるアクセスを監視・モニタリングするサービスもあります。
・個人で使っている無料アプリで業務連絡
チャットツールやSNSのメッセンジャーなど、無料で、周りにも使用者が多く、自分自身も使い慣れているアプリで、手っ取り早く業務連絡をしたいと思ったことがある人は多いのではないでしょうか。仲の良い取引先や同僚とは、プライベートの延長で、業務のやり取りにも発展しがちです。
しかし、これらの無料アプリには、無料のオンラインストレージサービスと同様にセキュリティのリスクが潜んでいます。その上、SNSのメッセンジャーなどは「なりすまし」の被害に遭うリスクもあり、さらに個人でやり取りしている人が多いほど、送信先のミスも起こりやすくなります。
外出や社外とのコミュニケーションの機会が多い職場では、例えばChatworkやslack、Microsoft Teams等、使いやすいビジネスチャットの導入を検討してみましょう。
プライベートのSNSを業務で使わないよう、ビジネスチャットの導入を
・無料の翻訳ツールで機密情報を翻訳
少し前の話になりますが、2015年2月に、IPA(独立法人情報処理推進機構)によって「I Love Translation」という翻訳サイトの情報漏えいが指摘されました。このサイトで翻訳すると、その情報がデータとして保存され、誰でも閲覧できる状態になってしまっており、複数の機密情報が漏えいする事件となりました。
このサイトに限らず、翻訳ツールにかけた文章はインターネット上に一時的に保存されるため、これが漏えいするリスクはあります。機密情報は無料翻訳ツールで翻訳しないという社内ルールを定め、社内浸透と徹底を図りましょう。
シャドーITのリスク対策
上記で、それぞれの例に対する簡単な対応策を記載しましたが、そもそも実態が把握できていないことには対策の講じようもありません。まずは従業員へのヒアリングを通じて実態を把握するところがリスク対策のスタートです。従業員側では、作業効率化のために悪意なく、あるいは残務対応として仕方なく個人のデバイスやITサービスを使用することが多いため、理由と目的の確認が大切です。
このヒアリング結果から、どのようなデバイスやツールが従業員側から必要とされているのか見えてきますので、それを踏まえて、個々の例に記載したリスクへの対処法、つまり代替案を提示していきます。
また、悪意なくシャドーITが使われているケースも多々あることから、従業員に対するセキュリティ教育も必須です。
例えば、テレワーク時のデバイスやITサービス利用に関するマニュアルを用意する、定期的にセキュリティ研修を設定するなど、継続的に従業員のセキュリティ意識を高めていくことが重要です。
シャドーITが原因で、機密情報が漏えいしてから「知らなかった」では済まされません。テレワークが当たり前のように普及した今だからこそ、安全な環境で業務ができるよう、シャドーITを含めたセキュリティ対策を強化していきましょう。
【おすすめ記事】
・これだけは押さえたい、中堅中小企業のテレワーク導入
・テレワークも安心! VPNで安全にインターネットを使おう
