あなたの会社は大丈夫?「シャドーIT」のセキュリティリスクと対策方法

テレワークが普及し、便利なITツールも続々と登場している一方で、企業の許可を得ずに個々人が利用しているデバイスやITツールを業務のために使用する「シャドーIT」が問題視されるようになってきています。

この記事では、シャドーITがもたらすセキュリティリスクとシャドーITの発生原因について解説し、シャドーITの対策方法を紹介します。

目次

シャドーITがもたらすセキュリティリスク

●ヒューマンエラー
シャドーITは、情報漏洩やデータ破損の主な原因となるヒューマンエラーを発生させる確率を高めます。常時携行するスマートフォンなどのデバイスは紛失リスクが高く、高価なデバイスは盗難被害に遭いやすいでしょう。
また、作業中に重要な情報を盗み見されてしまう可能性もあります。誤操作により、プライベートで使用しているSNSやクラウドメールサービス、ファイル共有サービスなどを通じて社外に機密情報が漏洩したり、データが破損したりする危険性も考えられます。

不正アクセス
シャドーITは、情報漏洩やデータの改ざんなどの被害をもたらす不正アクセスを受けるリスクも高めます。不正アクセスの主な原因は、他人のIDとパスワードの無断使用です。プライベートで使用しているデバイス・ITツールでは、安易なパスワードを設定している人が少なくありません。
また、さまざまなアカウントでパスワードを使い回したり、自動入力できるようにパスワードを保存したりしている人もいます。さらに、セキュリティ対策の不備やフリーWi-Fiへの接続なども、不正アクセスの原因になるため、注意が必要です。

●マルウェア感染
シャドーITは、マルウェア感染のリスクも高めます。マルウェア感染は、情報漏洩やデータの改ざん、破損・消失、盗聴・盗撮など、さまざまな被害をもたらす要因となります。個人所有のデバイスには、十分なセキュリティ対策が施されていないことがままあるでしょう。
また、プライベートでさまざまなWebサイトやメールの閲覧にも利用されるため、知らないうちにマルウェアに感染している可能性があります。マルウェアに感染したデバイスが社内ネットワークに接続された場合、接続されているすべてのデバイスにマルウェアが拡散されてしまいます。

シャドーITの発生原因

シャドーITを防ぐためには、発生原因を押さえておくことが大切です。 シャドーITの主な発生原因としては、以下の3つが挙げられます

●セキュリティリテラシー不足
自身が利用しているデバイス・ITツールを使用するのと、企業が支給しているデバイス・ITツールを使用するのとでは、セキュリティリスクにどのような差が生じるのかをよくわかっていない場合があります。このようなセキュリティリテラシー不足は、シャドーITの主な発生原因となります。

●支給デバイス・ITツールの性能・機能が不十分
企業が業務用のデバイス・ITツールを支給していなかったり、デバイス・ITツールを支給していても性能・機能が不十分だったりすると、自分が利用しているデバイス・ITツールを使って業務をおこなった方がよいと考える従業員が現れやすくなり、シャドーITの発生リスクが高まります。

●利便性・効率性の追求
支給デバイス・ITツールが十分であっても、利便性・効率性を追求するあまり、使い慣れているデバイス・ITツールを無断で使用してしまう人も少なくありません。熱心さが仇となり、シャドーITが発生しやすくなってしまうのです。
このようなケースは、ITリテラシーが高いと自負している人に多くみられます。

シャドーITの対策方法

シャドーITの発生を防ぐためには、以下に挙げる6つの対策方法を実践するとよいでしょう。

●シャドーITの把握
効果的なシャドーIT対策をおこなうためには、まず、社内におけるシャドーITの実態を把握することが大切です。たとえば、従業員一人ひとりに業務で使用しているデバイス・ITツールのヒアリングを実施します。
シャドーITが見つかった場合、なぜ利用しているのか、利点は何かなどもあわせて聞き取り、対策に活かします。シャドーITを咎めることはNGです。あくまでニーズの把握を目的としてヒアリングを実施します。

●従業員教育の実施
シャドーIT発生の主な原因となる従業員のセキュリティリテラシー不足を解消するためには、従業員教育を実施することが効果的です。シャドーITとは何か、シャドーITがどのようなリスクをもたらすのか、具体的な事件・事故などを提示しながら説明することで、従業員のセキュリティリテラシーを高めることができます。
新人からベテランまで、全従業員を対象として、1年に1回程度、定期的に従業員教育を実施するとよいでしょう。

●ガイドラインの策定
業務で使用できるデバイス・ITツールは何か、どうしても使用したいデバイス・ITツールがある場合にはどのような手続きを踏めばよいかなどを明文化したガイドラインを策定することも、シャドーITの発生防止に有効です。
ガイドラインを策定したら、従業員教育を実施するなどして必ず全従業員に周知しましょう。また、全従業員がいつでもどこでも気軽に確認できるよう、社内ポータルサイトなどに掲載しておくことも大切です。

●支給デバイス・ITツールの拡充
支給デバイス・ITツールを拡充することも、シャドーITの発生抑止につながります。拡充にあたっては、従業員へのヒアリングを通してニーズを把握し、適切なデバイス・ITツールをよく吟味しましょう。
支給デバイス・ITツールへの満足度について定期的に調査し、支給デバイス・ITツールの見直しをおこなうことも大切です。

●BYODの導入
BYODの導入も、シャドーITの発生防止に効果的な施策の1つとなります。BYODとは「Bring Your Own Device」の略称で、企業の許可を得て、個人所有のデバイスを業務に使用することです。
BYODを導入する際には、使用するITツールの制限やセキュリティ対策、料金の按分などについて、明確なルールを定めておく必要があります。

●ゼロトラスト・セキュリティの導入
働き方改革やDXを進めつつ、高いセキュリティを維持するためには、ゼロトラスト・セキュリティの導入が有効です。ゼロトラスト・セキュリティとは、社内・社外を問わず、すべてのアクセスに対して徹底した安全性検証を実施するセキュリティ体制のことを指します。
ゼロトラスト・セキュリティの具体例としては、ワンタイムパスワードなどを使用した「多要素認証」や、モバイルデバイスを管理できる「MDM」、クラウドサービスの利用を監視できる「CASB」などが挙げられます。

まとめ

◆シャドーITは、情報漏洩やデータの改ざん、破損・消失などの原因となるヒューマンエラーや不正アクセス、マルウェア感染などのセキュリティリスクをもたらす。

◆シャドーITの発生を防ぎ、セキュリティリスクを抑えたいと考えている企業は、シャドーITの発生原因を押さえた上で万全な対策を実践し、働き手にとって快適なIT環境と盤石なセキュリティ体制を築いていこう。

【著者プロフィール】
「ラーニング・イノベーションLABO」編集部
人事領域において人材開発やDX・ITにおけるクリティカルな情報をお届けします。
また、人事担当者の方々が日々抱える人材育成、人材開発における課題を整理し解決していくメディアを目指しています。
人材開発の先にある、社員の方一人一人の自己開発型人材の実現を目指し気づきと学びを提供するべく情報をお届けしていきます。
メルマガ会員登録で最新のマーケティング情報やトレンド情報、
イベント情報などをメールマガジンにて配信いたします。

    お名前
    E-MAIL (半角英数字)

    サイトでご紹介しているテーマやソリューションについて、
    ご相談等ありましたらお気軽にお問い合わせください。
    お問い合わせ
    Recommend おすすめ記事

    Ranking 人気記事ランキング

    サムトータルのソリューション
    人材の可能性を引き出したい!
    今いる社員を大事に育て、組織を強くしたい。
    サムトータルのラーニングと人材開発ソリューションで
    「教育と育成によって進化する組織」を実現します。
    サムトータルのソリューション詳細はこちら
    ラーニングを中心とする人材育成ソフトウェア 変化する社会と仕事のためのソリューション
    PAGE TOP