ホームITセキュリティを脅かす「シャドーIT」のリスク どのように防ぐべき?

IT Insight

セキュリティを脅かす「シャドーIT」のリスク どのように防ぐべき?

レンテックインサイト編集部

IT Insight セキュリティを脅かす「シャドーIT」のリスク どのように防ぐべき?

通信環境が整備され、ツール・サービスが普及したことで、製造業でもITの利活用は手軽なものとなりました。スマホやノートPCといった個人端末はときにその強い味方となってくれます。
しかし、セキュリティという意味では大きなリスクとなり得るものまた事実。
本記事ではIT端末の個人利用にまつわる問題、シャドーITとそれを防ぐための考え方について解説いたします。

シャドーITとは? どんなリスクがあるのか

企業に把握されずに、個人のIT端末が業務で使われることを「シャドーIT」といいます。今やほとんどの社員がスマートフォンに代表されるIT端末を所持しており、オンラインストレージやチャットアプリ、翻訳アプリなど便利なツールにアクセスできます。
営業資料や図面のやり取り、社外での業務などの目的でシャドーITが発生することは、十分あり得ることです。
そして、それは以下のような問題につながるリスクをはらんでいます。

  • 情報漏洩・持ち出し
  • 社内システムへの不正アクセス
  • マルウェア、ランサムウェアなどウイルスへの感染
  • 仕事の進め方、労働時間などの管理の難化

端末の紛失、ウイルス対策ソフトウェアの未設定、外部からの攻撃、ID・パスワードの流出などが上記の問題の直接の原因となります。なんとNASA(米国航空宇宙局)でも2013年、シャドーITにより機密情報が脅威にさらされていたことが明らかになりました。
またコロナ禍により、事務・管理部門などでリモートワークを導入したというものづくり企業も多いでしょう。クラウドやチャット、ビデオ会議を通じたやり取りが増えるということは、シャドーITを管理する必要が高まるということでもあります。
個人端末の利用により業務とプライベートの境があいまいになることは、セキュリティはもちろん、労務管理にも悪影響を及ぼします。「仕事が残っても家で片付ければいいや」と、労働時間中の効率低下につながったり、働き方改革の妨げとなったりするかもしれません。

シャドーITとBYODの違い 全面的な禁止は逆効果になることも

「シャドーITを防がねば……やはり個人端末の利用は全面的に禁止すべき?」

このように考えた方もいらっしゃるでしょう。しかし、必ずしもそうとは言えません。個人所有の端末を業務利用することは「BYOD(Bring Your Own Device)」といい、現場のIT化を円滑に進めると言われています。また、全面的に禁止したところで適切なガイダンスやルール設定が行われていなければ、シャドーITのリスクは残り続けます。
“いかに社内のITの利活用を管理するか”という点に主眼を置いた方が、結果としてセキュリティ性の高い環境構築につながるのではないでしょうか。

Dell EMCは、2019年に実施した調査を材料に、シャドーITの原因には人員不足によりIT部門の対応が遅れ、しびれを切らした事業部門が独断専行でツールを導入することによりシャドーITの問題が発生しており、また皮肉にもそれが中堅企業のデジタル化促進につながっている面もあると報告しています。

参考:シャドーITも適切に「支援」、Dell EMCが中堅企業向け新施策┃ASCII.jp

すなわち、クラウドや端末の利用を一律に制限することはBYODの可能性を閉じるだけでなく、シャドーITを促進してしまう可能性すらあるのです。
“シャドーITを管理下でのBYOD”にできないかという視点で一度考えてみてください。

シャドーITを防ぎ、管理下でのBYODを促進するための3箇条

シャドーITを防止し、適切にBYOD化していくために意識すべき3箇条をここからは見ていきましょう。

【1】セキュリティルール・ポリシーを設定・周知する

そもそもセキュリティに関するルール・ポリシーがないという企業も少なくないでしょう。まずはそちらを作成、共有することが必要となります。CSAJ(一般社団法人コンピュータソフトウェア協会)のセキュリティ(BYOD)研究会がポリシーのサンプルを公開しています。そちらも参考にしてみてください。

リンク:https://www.saj.or.jp/activity/support/sample/byod.html

ここで重要なのがBYODを経営課題と考えること。よくある失敗パターンとして、ルールや制度の設計を情報システム部門に丸投げし、リスク回避優先でその先の活用が想定されないポリシーが作成されるというものがあります。この場合、周知に力が入れられずルールが形骸化することも。ルール作りを一つのプロジェクトとして設計し、経営陣も積極的に関わった上で、背景から従業員に丁寧に伝える意識が求められます。

【2】社員の現状と理想のギャップを調査する

社員を巻き込むうえで効果的なのが、そもそも社内のIT状況におけるどの点に不満を持っているのか調査することです。シャドーITが起きるケースとして、社内のIT利活用状況に不満がある社員がルールが未設定あるいは形骸化している中で、勝手に新たなサービスやツールを導入するパターンはポピュラーです。
すなわち、その不満を解消できる手段を示すことができれば、シャドーITの芽を未然につむことができるのです。

【3】管理下でのBYODに積極的になれる説明を

BYODをルール化しようとすると、社員から反発が起きる場合もあります。MDM(Mobile Device Management)で私物を管理されることや、業務利用分の通信料や端末の料金が自己負担であることに納得がいかない、プライベートに労働時間が食い込むのが不安、などの反発です。
こういった不満・不安を解消するためにも社員を巻き込むことは欠かせません。どういった目的でなぜシステムやルールを導入するのか、得られるメリットについてまで明文化して提示することが求められます。社員の負担分については、月々数千円の補助などで対応する企業が多いようです。
労務管理については時間、あるいは場所によってBYODが求められる範囲、禁止される範囲を事前に区分けしておくことが効果的でしょう。

「シャドーIT」への対処は早ければ早いほどベター

企業のセキュリティを気づかないうちに脅かす「シャドーIT」についてご紹介しました。この問題の厄介なとこは知らず知らずのうちに進行しているという点です。
本文中に挙げたNASAの例でも2年もの間、問題は気づかれず放置されていたとか。だからこそ、できるだけ早くルール・ポリシーを設定し、万全の体制を整えておくことが重要なのです。

IT Insightの他記事もご覧ください

Prev

Next