シャドウITとは?対策などをわかりやすく解説

2023.09.16

シャドウITとは、企業や組織が管理していない、従業員が業務で使用するIT機器やクラウドサービスソフトウェアなどを指す。




シャドウITが生まれる背景

シャドウITが拡大する背景には、以下の要因が挙げられる。

  • 従業員のニーズや意識の変化

近年、従業員の働き方が多様化しており、自宅やカフェなど、オフィス以外の場所から仕事をする機会が増えている。また、従業員のITリテラシーの向上により、個人で購入したデバイスやソフトウェアを使いこなせるようになってきている。

  • 企業のITポリシーの不備

企業のITポリシーが不十分な場合、従業員が個人で購入したデバイスやソフトウェアを業務に使用しても、企業の管理下には入らず、セキュリティ上のリスクが生じる。

  • ITの利便性

クラウドサービスやSaaSの普及により、従業員は個人で購入したデバイスやソフトウェアでも、企業のシステムにアクセスしやすくなった。

シャドウITの例

  • 私用デバイスの利用

スマートフォンやタブレットなどの私用デバイスを、業務で利用するケースである。私用デバイスは、企業の管理下にあるため、セキュリティポリシーの対象外となる。そのため、マルウェア感染や情報漏えいのリスクが高まる。

  • フリーメールやSNSの利用

業務で、フリーメールやSNSを利用しているケースである。フリーメールやSNSは、企業の管理下にあるため、セキュリティポリシーの対象外となる。そのため、メールアドレスやパスワードの流出、マルウェア感染などのリスクが高まる。

  • 個人のクラウドストレージの利用

業務で、個人のクラウドストレージを利用しているケースである。個人のクラウドストレージは、企業の管理下にあるため、セキュリティポリシーの対象外となる。そのため、データの漏えいや改ざんなどのリスクが高まる。

  • 個人のソフトウェアの利用

業務で、個人のソフトウェアを利用しているケースである。個人のソフトウェアは、企業の管理下にあるため、セキュリティポリシーの対象外となる。そのため、脆弱性によるマルウェア感染などのリスクが高まる。

これらのサービスは、従業員の利便性や生産性の向上につながる一方で、セキュリティリスクを高める可能性がある。そのため、企業は、シャドウITのリスクを理解し、適切な対策を講じる必要がある。

シャドウITのリスク

シャドウITが拡大すると、以下のリスクが生じる。

セキュリティリスク

シャドウITのデバイスやソフトウェアは、企業のセキュリティポリシーの対象外であるため、マルウェア感染や情報漏洩などのセキュリティリスクが高まる。

例えば、従業員が個人で購入したスマートフォンを業務に使用している場合、そのスマートフォンがマルウェアに感染すると、企業のネットワークやシステムに侵入する可能性がある。また、従業員が個人のクラウドストレージに機密情報を保存している場合、そのクラウドストレージが不正アクセスされると、情報漏洩につながる可能性がある。

コンプライアンス違反

シャドウITによって、企業が法令や規制に違反する可能性がある。

例えば、金融機関や医療機関などの業種では、情報セキュリティに関する法令や規制が定められている。これらの業種で従業員がシャドウITを行った場合、法令や規制に違反し、罰則の対象となる可能性がある。

生産性低下

シャドウITによって、企業のITシステムが複雑化し、管理が困難になる。これにより、IT運用コストの増加や、生産性の低下を招く可能性がある。

例えば、従業員が個人で購入したデバイスやソフトウェアを業務に使用している場合、そのデバイスやソフトウェアの管理が企業にとって困難になる。これにより、IT運用コストが増加したり、ITシステムのセキュリティが低下したりする可能性がある。

シャドウITは、企業のITセキュリティや生産性に大きな影響を及ぼす可能性がある。企業は、シャドウITのリスクを理解し、適切な対策を講じる必要がある。

シャドウITの対策

シャドウITの対策としては、以下のようなものが挙げられる。

デバイスの管理

企業が承認していないデバイスの利用を制限するために、デバイスの管理を行うことが重要である。デバイスの管理には、デバイスの登録や、ソフトウェアのインストール・アンインストールの制限、アクセス許可の設定などを行う。

ソフトウェアの管理

企業が承認していないソフトウェアの利用を制限するために、ソフトウェアの管理を行うことが重要である。ソフトウェアの管理には、ソフトウェアの登録や、インストール・アンインストールの制限、アクセス許可の設定などを行う。

従業員教育

シャドウITのリスクを従業員に理解させ、承認されていないデバイスやソフトウェアの利用を抑制するために、従業員教育を行うことが重要である。従業員教育には、シャドウITのリスクや、適切なデバイスやソフトウェアの利用方法などについて教育を行う。

具体的な対策としては、以下のようなものが挙げられる。

MDM(モバイルデバイス管理)の導入

MDMは、スマートフォンやタブレットなどのモバイルデバイスを管理するためのツールである。MDMを導入することで、デバイスの登録や、ソフトウェアのインストール・アンインストールの制限、アクセス許可の設定などを行うことができる。

CASB(クラウドアクセスセキュリティブローカ)の導入

CASBは、クラウドサービスへのアクセスを管理するためのツールである。CASBを導入することで、クラウドサービスの利用状況の監視や、アクセス許可の設定などを行うことができる。

セキュリティポリシーの策定

シャドウITの対策を効果的に行うためには、セキュリティポリシーを策定することが重要である。セキュリティポリシーには、シャドウITの禁止や、承認されたデバイスやソフトウェアの利用方法などについて明記する。

まとめ

シャドウITは、企業のITセキュリティや生産性を脅かす重大な問題である。企業は、シャドウITのリスクを理解し、適切な対策を講じることで、シャドウITの発生を抑制し、企業のセキュリティと生産性を維持していく必要がある。

タイトルとURLをコピーしました