新型コロナウイルス感染症の感染拡大をきっかけに、急遽リモートワークを導入したという企業は多かったのではないでしょうか。

しかし、リモートワークの導入を急ぐあまり、リモートワークに必要な機器の調達やルールの策定が十分にできず、従業員の裁量に任せきりになっている企業もあるのではないでしょうか。そのような企業は「シャドーIT」の発生リスクが高まるため、体制の見直しが必要です。

シャドーITによる企業のセキュリティリスクが増す状況のなか、この記事では、シャドーITとは何か、どのようなリスクをもたらすのか、事例を紹介しながら徹底解説します。

シャドーITとは

シャドーITとは、個々人が利用しているパソコンやスマートフォン、タブレット、USBメモリなどのデバイスや、フリーメールやチャットツール、ファイル共有サービスなどのITツールを企業の承認を得ずに業務のために使用することです。

シャドーITは、情報漏洩やデータの改ざん・破損などの被害をもたらすセキュリティリスクを高めることにつながります。シャドーIT発生の背景にある主な要因としては、リモートワークの普及と無料で使用できる便利なコンシューマー向けITツールの普及が挙げられます。

企業のデバイス・ITツールの支給、利用に関するルールの徹底が不十分であると、シャドーITの発生リスクが高まることになります。

シャドーITとBYOD・サンクションITの違い

シャドーITと混同されやすい言葉として「BYOD」「サンクションIT」があります。
この章では、シャドーITとBYOD・サンクションITの違いについて解説します。

シャドーITとBYODの違い

BYODとは「Bring Your Own Device」の略称で、企業の承認を得た個人所有のデバイスを使用して業務をおこなうことです。

企業の承認を得ているか否か、企業に管理されているか否かが、BYODとシャドーITの主な違いとなります。

また、BYODはあくまでデバイスのみを対象としており、ITツールは対象としていない点も、シャドーITとの主な違いの1つです。

シャドーITは、企業の承認を得ていないことから「勝手BYOD」と呼ばれることもあります。

シャドーITとサンクションITの違い

サンクションITとは、企業が承認するデバイス・ITツールを使用して業務をおこなうことです。
BYODと同様、企業の承認を得ているか否か、企業に管理されているか否かが、シャドーITとの主な違いです。

シャドーITは個人所有のデバイス・ITツールを使用するのに対し、サンクションITは企業が支給するデバイス・ITツールを使用します。
また、サンクションITには一般的にセキュリティソフトが導入されており、バージョンなども管理されています。
サンクションITは、シャドーITの対義語として位置づけられています。

シャドーITのトラブル事例

シャドーITが引き起こすトラブルは数多くありますが、この章では代表的なトラブル事例を8つ紹介します。

●紛失によるトラブル
スマートフォンのようにさまざまな場所に携帯するデバイスや、USBメモリのように小さなデバイスは、紛失リスクが高くなります。
個人所有のデバイスは、リモートロックやリモートワイプなどの紛失対策が不十分であることが多いため、紛失したデバイスが悪意のある人の手に渡ると、重要な機密情報を盗まれたり、不正アクセスによる被害を受けたりする可能性があります。

●誤操作によるトラブル
個人所有のデバイスでは、公私を区別しづらく、誤操作によるトラブルが発生しやすくなります。
誤操作による主なトラブルとしては、フリーメールやチャットツールを通じて友人・知人への企業の機密情報の誤送信や、ファイル共有サービスにおける公開・共有範囲の設定ミスなどによる情報漏洩やデータの改ざん・破損被害が挙げられます。

●ITツールの仕様によるトラブル
無料で提供されているコンシューマー向けITツールには便利なものが多くありますが、企業にとっては不都合といえる仕様もあります。
実際に発生したトラブルとして、2015年2月、「I Love Translation」という無料翻訳サービスに入力された情報が、誰でも閲覧できる状態になっていたことという事例があります。
同サービスは、デフォルトの状態で入力された情報がサーバー側に保存される仕様となっており、誰でも閲覧できる状態になっていた情報の中には、個人情報や企業の機密情報を含むものもあったようです。

●セキュリティの不備によるトラブル
個々人が利用しているデバイス・ITツールには、ウイルス対策ソフトの導入やフィルタリング、適切なパスワード管理、暗号化などのセキュリティ対策が十分におこなわれていないことがあります。
セキュリティ対策が不十分であるのにもかかわらず、安全性の低いWebサイトにアクセスしたり、不用意に不審なメールを開封したりすると、マルウェア感染などの被害を受ける可能性があります。

●フリーWi-Fiへの接続によるトラブル
出先で業務をしたいとき、公共施設やカフェ、コンビニなどが提供しているフリーWi-Fiは大変便利です。
しかし、フリーWi-Fiはセキュリティ対策が十分でないことが多いため、トラブルに見舞われるリスクが高くなります。
たとえば、フリーWi-Fiを利用すると、悪意のある人によって通信内容を傍受されてしまう危険性があります。
また、デバイスを遠隔操作され、盗聴・盗撮などの被害を受ける可能性もあります。
さらに「なりすましアクセスポイント」と呼ばれる偽物のフリーWi-Fiにも注意が必要です。

●ショルダーハッキングによるトラブル
個人所有のデバイスは、いつでもどこでも使えるというメリットがある一方、背後から画面を覗き見され、ID・パスワードなどを盗み取られるショルダーハッキングの被害に遭うリスクが高まります。
カフェでのノマドワーク中、はるか後方の座席に座っている人にスマートフォンなどのカメラでパソコンの画面を撮影され、機密情報を盗み出されるといったケースもあります。

●社内への持ち込みによるトラブル
社内への私物デバイスの持ち込みを黙認することは、企業にとって大きなリスクとなります。
その理由は、個々人が利用しているスマートフォンを社内ネットワークに接続したり、USBメモリを社内のパソコンに接続したりすると、社内ネットワークに接続されているすべてのデバイスにマルウェア感染し、情報漏洩やデータの改ざん・破損などの被害を招く可能性があります。
また、持ち出し厳禁の情報を持ち出されるリスクも高まります。

●なりすましによるトラブル
悪意のある人が上司や部下、同僚などになりすまし、SNSやチャットツール、フリーメールなどを通じて近づいてくることがあります。
プライベートで利用しているSNSやチャットツール、フリーメールを日常的に業務にも利用している場合、なりすましと気づかずに重要な情報を聞き出されてしまう危険性があります。
企業の機密情報へのアクセス権限を付与してしまい、情報漏洩やデータの改ざん・破損などの被害に遭うこともあります。

まとめ

◆個々人が利用しているデバイスやITツールを企業の承認を得ずに業務のために使用するシャドーITは、情報漏洩やデータの改ざん・破損などの被害をもたらすトラブルの原因となる。

◆シャドーITによるトラブルを防ぐためには、シャドーITの危険性を従業員全体に周知することが大切となる。

◆自社のシャドーITの実態を把握し、対策を練る必要がある。
BYODの導入やサンクションITの拡充なども検討して、シャドーITの発生を防ごう。