シャドーITってなに?
「シャドーIT」という言葉を聞いたことがありますか?なんだかちょっと怖い響きですよね 。 簡単に言うと、シャドーITとは、会社や組織のIT部門(情報システム部など)に許可されていない、またはIT部門が把握していないIT機器やソフトウェア、クラウドサービスなどを、従業員や部署が業務で勝手に利用してしまうことを指します。
例えば、以下のようなものがシャドーITに該当します。
- 会社に内緒で個人契約しているチャットツールを使って、同僚と業務のやり取りをする。
- 許可されていない無料のオンラインストレージ(Google DriveやDropboxなど)に、業務データを保存する。
- 私物のスマートフォンやタブレット(BYOD)を、会社の許可なく業務に利用する。
- IT部門に申請せず、便利なWebサービスやソフトウェアを勝手にインストールして使う。
「影(シャドー)のように隠れて使われるIT」だから、シャドーITと呼ばれているんですね。
なぜシャドーITが発生するの?
従業員は、わざわざ会社のルールを破ろうと思ってシャドーITをしているわけではないことが多いです。では、なぜ発生してしまうのでしょうか?主な原因を見てみましょう。
- 業務を効率化したい!: 会社が提供するツールよりも、もっと便利で使いやすいツールを見つけた場合、それを使いたくなるのは自然なことです。少しでも早く、楽に仕事を進めたいという気持ちから利用が始まります。
- IT部門の承認が遅い・面倒: 新しいツールを使いたいと思っても、IT部門への申請手続きが複雑だったり、承認までに時間がかかったりすると、「待っていられない」「面倒だ」と感じて、勝手に使い始めてしまうことがあります。
- 会社が提供するツールが使いにくい: 会社から支給されたツールが古かったり、機能が不足していたり、使い勝手が悪かったりすると、従業員はもっと良いツールを探し始めます。
- 個人の好みや慣れ: プライベートで使い慣れているツールを、そのまま仕事でも使いたいというケースもあります。
- BYOD(Bring Your Own Device)の普及: 個人所有のデバイス(スマホ、タブレット、PC)を業務に利用すること(BYOD)が広まっていますが、その管理ルールが曖昧だと、シャドーITにつながりやすくなります。
- 「これくらい大丈夫だろう」という意識: シャドーITのリスクを十分に理解しておらず、「ちょっと使うだけだから」「自分だけなら問題ない」といった軽い気持ちで利用してしまうことも原因の一つです。
シャドーITが引き起こすリスク
シャドーITは、個人の業務効率を一時的に上げるかもしれませんが、会社全体で見ると非常に大きなリスクを伴います。どんな危険があるのか見てみましょう。
リスクの種類 | 具体的な内容 | 危険度 |
---|---|---|
情報漏洩 | セキュリティ対策が不十分なツールやサービスに機密情報や個人情報を保存・送信することで、情報が外部に漏れてしまう可能性があります。特に無料のサービスは、セキュリティレベルが低い場合や、利用規約でデータ利用について不利な条件が設定されていることがあります。 | 非常に高い |
マルウェア感染 | 許可されていないソフトウェアやWebサービスには、ウイルスやスパイウェアなどのマルウェアが仕込まれている可能性があります。感染すると、個人のPCだけでなく、社内ネットワーク全体に被害が広がる恐れがあります。 | 非常に高い |
コンプライアンス違反 | 業界の規制や法律(個人情報保護法など)で定められたデータの取り扱いルールを守れなくなる可能性があります。違反した場合、法的な罰則や社会的な信用の失墜につながります。 | 高い |
管理コストの増大 | IT部門が把握していないツールが増えると、それぞれのセキュリティ対策や問題発生時の対応が必要になり、見えないコスト(手間や時間)が増加します。 | 高い |
データ消失・連携不能 | 個人が勝手に利用しているサービスが突然終了したり、アカウントが停止されたりすると、そこに保存していた重要な業務データが失われる可能性があります。また、正式なシステムとのデータ連携ができず、業務が非効率になることもあります。 | 高い |
ITガバナンスの低下 | 会社のIT利用に関するルールが守られなくなり、IT統制が効かなくなってしまいます。これにより、組織全体のセキュリティレベルや業務効率が低下します。 | 中程度 |
事例:過去には、従業員が個人契約のクラウドストレージに顧客情報をアップロードしてしまい、設定ミスから情報が外部から閲覧可能な状態になっていた、といった情報漏洩事故が発生しています。
シャドーITへの対策はどうすればいい?
シャドーITのリスクを防ぐためには、会社と従業員が協力して対策を進めることが重要です。
1. 利用実態の把握
まずは、社内でどのようなツールが許可なく使われているかを調査し、現状を把握することが第一歩です。アンケートやヒアリング、ネットワーク監視ツールなどを活用します。
2. ルールの明確化と周知徹底
どのようなツールなら利用して良いか、申請はどうすれば良いかなど、IT利用に関するルールを明確に定め、従業員全員に分かりやすく説明し、理解してもらうことが大切です。
3. 代替ツールの提供
従業員がシャドーITに頼らなくても済むように、IT部門が安全で便利な公式ツールを積極的に導入・提供します。従業員のニーズを把握することも重要です。
4. 従業員への教育
シャドーITのリスクや、会社のルールを守ることの重要性について、定期的に研修などを行い、従業員のセキュリティ意識を高めます。
5. セキュリティ対策ツールの導入
CASB(キャスビー:Cloud Access Security Broker)のような、クラウドサービスの利用状況を可視化・制御できるツールを導入することも有効な対策です。
6. IT部門とのコミュニケーション活性化
従業員が気軽にIT部門に相談できる雰囲気を作り、現場のニーズや困りごとをIT部門が吸い上げやすい関係性を築くことが、シャドーITの防止につながります。