シャドーITのリスクと対策方法 | 原因、事件、データ損失の危険性
新型コロナウイルスの影響により、「働き方改革」が急速に進んでいます。現在、リモートワークやテレワークが当たり前のようになってきました。その結果、自宅や他の場所で仕事をする機会が増えています。しかし、この新しい働き方には「シャドーIT」という大きな問題があります。シャドーITは、セキュリティのリスクが高まることを意味します。ここでは、シャドーITの問題とそれに対する対策について、わかりやすく説明します。
シャドーITとは
シャドーITとは、会社の許可を得ずに個人のコンピュータやスマートフォン、タブレットなどを業務に使用したり、会社が承認していないオンラインストレージやクラウドサービスを使って業務を行うことを指します。
具体的な例を挙げると、以下のような行動がシャドーITに該当します。
- 個人のPCやスマートフォンを仕事に使うこと
- 個人のUSBメモリに業務データを保存し、社外に持ち出すこと
- 個人用の無料コミュニケーションアプリ(例:LINEやFacebookメッセンジャー)を
使って業務連絡をすること - 個人用のオンラインストレージサービス(例:DropBoxやGoogle Drive)を使って業務ファイルを共有すること
- 個人用のクラウドサービス(例:GoogleドキュメントやOnline Office)を使って業務ファイルを作成や編集すること
個人用のフリーメール(例:GmailやYahooメール)を使って業務データを送信すること
なお、会社の許可を得て個人のデバイス(PCやスマートフォンなど)を業務に使用する場合、それはBYOD(自分のデバイスを持ち込む)と呼ばれます。しかし、許可を得ずに個人のデバイスを使うことをシャドーITと呼んでいます。
シャドーITが発生する原因
シャドーITが発生する理由を以下にまとめます。
効率の問題
組織が提供するツールやアプリが作業の効率に欠ける場合、従業員はより効率的なツールを自分で導入することがあります。
承認の遅延
ITシステム管理部門の承認を受けるためには時間がかかる場合があります。その間に業務が進むため、従業員は承認を待たずに独自にツールやアプリを使うことがあります。
リモートワークの普及
リモートワークの増加により、従業員はIT管理部門との接触機会が減少しました。その結果、許可されていないツールを使う障壁が低くなりました。
以上がシャドーITの発生原因です。
シャドーITのリスク
シャドーITにはいくつかのリスクが存在します。以下に、わかりやすく説明します。
個人のメールからの誤送信
個人用のメールアドレスを使用している場合、業務用のメールアドレスから送るべきメールを誤って個人メールから送信してしまう可能性があります。受信者にとっては、企業からのメールが個人用のメールアドレスから送られてきた場合は不審に感じるかもしれません。そのため、メールが開封されず、情報が伝えられないケースもあります。また、相手からの信頼を失う可能性もあります。
アカウントの乗っ取り
個人で利用する無料チャットアプリのアカウントが乗っ取られると、業務関連の情報やファイルが漏洩する可能性があります。
サイバー攻撃
個人が自分のデバイスにダウンロードしたアプリやデータは、会社のセキュリティチェックを受けていない可能性があります。そのため、サイバー攻撃のリスクが高まります。例えば、トロイの木馬やウイルス、ワームといった攻撃者が仕掛けた悪意のあるプログラムが、個人のデバイスに侵入し、会社のネットワークや他のデバイスに感染させる可能性があります。
データの損失
シャドーITで使用されるアプリやデータは、組織のバックアップ対象外となっている場合があります。そのため、デバイスの故障や紛失、盗難、誤った操作によるデータの消去などが発生した場合、データの損失が起こる可能性があります。大切な業務データや顧客情報が失われることで、企業に重大な影響を与える可能性があります。
情報漏洩
無料で利用できるファイル共有サービスやチャットアプリなどもありますが、ビジネス目的で使用する場合はセキュリティ上のリスクが懸念されます。設定のミスや不注意により、他の人が閲覧や編集できる状態になってしまうことがあり、情報漏洩のリスクが生じます。また、個人のパソコンやスマートフォン、USBメモリなどの物理的なデバイスを使用している場合も注意が必要です。企業のデータが紛失したり盗まれたりする可能性があります。
不正アクセス
許可されていないクラウドサービスを利用する場合、不正アクセスによって情報漏洩のリスクが生じます。例えば、業務でフリーメールを使用している場合、メールサービスに不正アクセスが行われると、メールの内容や添付ファイルから情報が漏洩する可能性があります。
以上がシャドーITに関わる主なリスクです。
シャドーITに関連した事件
シャドーITに関連した事件の一例を紹介します。
オンラインサービス「宅ファイル便」で480万件の個人情報が流出
2019年に「宅ファイル便」というオンラインサービスで480万件の個人情報が流出した事件があります。この事件では、悪意のある攻撃者がサーバーに不正アクセスし、利用者の個人情報が漏洩しました。被害は個人向けのサービスに限定されたもので、法人向けのサービスは影響を受けませんでした。この事件は、安価な個人向けサービスのセキュリティリスクが問題視されたものでした。
静岡県島田市農林課で個人情報が漏洩
地方自治体でもシャドーITに関連した事件が2018年に発生しました。静岡県島田市農林課では、業務での使用が禁止されているフリーメールのアカウントを使って、個人情報を含むデータを課内で共有していました。2018年9月に不正アクセスがあったことが判明し、2,446件の個人情報が漏洩した可能性があると報告されました。この事件では、シャドーITを防ぐためにフリーメールの使用が禁止されていたにもかかわらず、3年もの間使用されたことが問題となりました。
大学病院で患者の個人情報が漏洩
シャドーITによる情報漏洩の事例は、大学病院でも起きました。
2021年にある大学病院では、医師が個人で使用していたクラウドサービスの「ID・パスワード」がフィッシング詐欺によって盗まれ、結果的に約270人分の患者の個人情報が漏洩してしまいました。
その後、アカウントが乗っ取られ、パスワードを変更されてしまったため、「クラウドサーバーの利用停止が完全にできなくなった」と病院側が説明しています。
シャドーITの危険性が高いサービス
シャドーITの危険性が高い代表的なサービスは、以下の5つです。
私物のPCやスマホ
私物のPCやスマホを業務で使用することは、シャドーITの危険性が高いサービスの1つです。私物のデバイスはセキュリティ対策が不十分であり、ウイルス感染や情報漏洩のリスクが高まります。
コミュニケーションツール
従業員によるコミュニケーションツールの無断利用も、シャドーITの発生確率を上げます。従業員が自分のPCやスマホで会社が許可していないコミュニケーションツールを使用することは、シャドーITにつながります。
クラウドストレージ
クラウド上でファイルを保管・編集するクラウドストレージサービスも、シャドーITの危険性が高いサービスです。従業員は業務効率を考えて、使い勝手の良いクラウドストレージサービスを選択する傾向があります。
タスク管理ツール
従業員が自分で選んだタスク管理ツールを使用する場合、シャドーITの危険性が高まります。会社が公認していないタスク管理ツールは、情報漏洩やデータの不整合のリスクを引き起こす可能性があります。
IoT機器
IoT(Internet of Things)機器も、シャドーITの危険性が高いです。従業員が自身で購入したIoT機器を業務で使用する場合、セキュリティの問題やデータ漏洩のリスクが発生する可能性があります。
これらのサービスをシャドーITとして使用することは、組織にとって重大なセキュリティリスクをもたらす可能性があります。従業員に対してシャドーITの危険性を十分に説明し、正規の業務ツールやサービスの利用を促すことが重要です。また、BYOD(Bring Your Own Device)などの制度を導入することで、私物のデバイスを適切に管理する対策も検討しましょう。
シャドーITのリスクを回避するための対策方法
シャドーITのリスクを回避するためには、以下の対策を行う必要があります。
シャドーITの現状を把握する
社員へのヒアリングやアンケートを通じて、シャドーITの利用状況を把握します。なぜシャドーITを利用しているのかを理解し、問題点を特定します。
シャドーITの代替案を検討する
現状の業務効率を維持しながら、シャドーITを使わずに業務を行うための代替案を検討します。必要に応じて新しいデバイスや適切なクラウドサービスの導入を検討します。
シャドーITの制御
シャドーITの利用を制御するための対策を講じます。CASB(Cloud Access Security Broker)などのツールを使用して、社員のクラウドサービス利用状況を監視し、不正なアクセスを制御します。
環境整備によるシャドーIT防止
不正アクセスやマルウェアの侵入を防ぐために、最新のセキュリティツール(例:EDR)を導入します。これにより、サイバー攻撃の脅威を早期に検知することができます。
啓蒙活動
シャドーITに関する情報を社員に周知し、教育や啓蒙活動を行います。シャドーITのリスクや会社への損害について十分に認識させると共に、情報漏洩による責任を明確にする必要があります。
ガイドラインの設定
シャドーITに関するガイドラインを作成します。個人のデバイスや無料サービスを業務に使用する場合、システム管理者の許可を得ることを義務付けるなど、明確なルールを示します。
社員教育
社員にシャドーITのリスクについて理解させるために、教育を行います。危険性についての情報共有や意識向上を図ります。
MDMツールの導入
MDM(モバイルデバイス管理)ツールを導入することで、私用のスマートフォンの紛失や盗難によるセキュリティリスクを低減します。MDMツールにより、業務利用以外の機能を制限したり、業務利用時のセキュリティ設定を行ったりできます。
社内クラウドによる管理
無料のクラウドサービスの利用を抑制するため、法人向けのクラウドサーバーを導入することが有効です。セキュリティ対策が施されており、使いやすさも考慮された社内専用のクラウド環境を構築します。
アクセスを監視する
シャドーIT対策として、クラウドサービス(SaaS)のアクセスを監視することも重要です。
アクセス監視用のツールを導入すると、クラウドサービス(SaaS)へのデータのアップロードやダウンロード、そしてどの端末からアクセスがあったかを監視できます。これにより、社内のルールに従っていない不審な行動に対応することができます。
代表的なアクセス監視ツールとしては「CASB(キャスビー)」があります。CASBを利用すると、社内のクラウド状態を可視化し、コンプライアンス管理やセキュリティ対策の管理の手間を減らすことができます。
アクセス監視用のツールを導入することで、社内のシャドーIT対策がより効果的になります。
シャドーITを検知するツールを導入する
シャドーITを検知するためには、専用のツールを導入することが有効です。これには費用がかかるかもしれませんが、リスクを削減することができます。
先ほど紹介したCASBは、会社が提供するデバイス(PCやスマホ)のアクセス管理に特化しています。しかし、最近ではリモートワークが一般化しているため、従業員の私物デバイスやクラウドサービスまで管理する必要があります。
そのため、SaaS全体を一括で管理できる「SaaS管理ツール」の導入がおすすめです。このツールを使えば、従業員のメールアドレスや件名を登録するだけで、シャドーITをすぐに検知することができます。
予算やシャドーITに対するリスクを社内で検討し、SaaS管理ツールを導入してシャドーIT対策を検討してみてください。
以上がシャドーITの対策です。ただし、シャドーITの問題は一度解決すれば終わりではなく、定期的な見直しと改善が必要です。
まとめ
シャドーITの対策は重要です。従業員が安全かつ適切なツールやサービスを使用するためには、私物のデバイスやコミュニケーションツール、クラウドストレージ、タスク管理ツール、loT機器などに対するリスクを理解し、対策を講じる必要があります。
具体的な対策として、私物のPCやスマホの使用を制限するためにBYODを導入し、従業員に対してシャドーITの危険性について教育を行うことが重要です。また、クラウドサービスのアクセスを監視するためにCASB(キャスビー)などのツールを導入することも有効です。
さらに、シャドーITを検知するためにはSaaS管理ツールの導入を検討し、従業員のメールアドレスや件名を登録して不正な利用を監視することが重要です。
これらの対策を組織全体で徹底することで、シャドーITによるセキュリティリスクを軽減することができます。組織の安全とデータの保護のために、シャドーIT対策を怠らないようにしましょう。