シャドーIT（shadow IT）とは？

シャドーITとは、企業が利用を許可していないサービスや、企業が利用を把握できていない従業員のデバイスのことを指す名称です。企業の管理下にないサービスやデバイス全般のことを意味しています。
通常、業務に必要なデバイスやサービスは企業側が把握し、その管理の下で利用、監視されなければなりません。しかしシャドーITの存在は企業のセキュリティリスクに悪影響を及ぼし、場合によっては企業の機密情報漏えいなど信頼を失墜させる危険性を孕んでいます。

BYODとの違い

シャドーITと近しい言葉として「BYOD（Bring Your Own Device）」というものがあります。企業に所属する従業員が個人的にデバイスやサービスを利用するものです。
シャドーITとの決定的な違いは「企業が承認・許可を出している」という点です。BYODは企業の許可の下で利用されることから、セキュリティリスクを低減させることが期待できます。

合わせて覚えたいサンクションIT（sanctioned IT）

サンクションITのサンクションとは「承認」「許可」を意味しており、企業が利用の契約を締結し、社内でも公的に利用が認められているサービスやデバイスのことです。
シャドーITとの決定的な違いは「企業が使用を許可している」という点です。また企業が許可するという点ではBYODとも同じですが、BYODは個人のデバイス・サービスであるのに対し、サンクションITは会社側が提供するサービスという違いがあります。
企業のセキュリティリスクを低減するという点で、サンクションITには一定の効果が期待できます。

シャドーITが生まれる背景とは

会社からの許可を得ないシャドーITが生まれる背景には、従業員が業務上使用できるデバイスやサービスに不満を感じ、自己解決を図ろうとすることが大きな要因です。
現代はワークスタイルが多様化し、オフィスで働くだけでなくテレワーク、リモートワークが一般化しました。企業の多くもオンラインを利用しており、従業員の業務効率化が意識されています。

その中で、業務を進めるうえで企業側が効率的なデバイス・サービスを整備していない場合、従業員側がシャドーITを生み出す要因になっています。
特に個人で利用できる大容量のクラウドやストレージが普及したことで、シャドーITが生まれる危険性が高まっています。
シャドーITを防止するには、企業側が業務の効率化を推進し、従業員にとって働きやすい環境を整えることが重要です。

シャドーITとして利用されやすいものとは

シャドーITとして利用されやすいものについても紹介します。シャドーITは従業員個人の持ち物や無料で利用できるサービスが多いため、具体例とともに解説します。

1．私物のデバイス

企業側から仕事で使用するデバイスを支給されない場合、従業員個人が日常的に使用しているパソコン、スマートフォン、タブレットなどをシャドーITとして利用するケースが非常に多くあります。
また企業側からデバイスが支給されていても、著しく年式が古くスペックの低いデバイスの場合は、業務での利用に支障を生じます。最新のハイスペックデバイスまでは必要ありませんが、業務遂行でストレスを感じない程度の性能のものは支給すべきです。

2．チャットツール

従業員同士の業務連絡用に、チャットツールを利用する会社も多数あります。サンクションITやBYODであれば問題ありませんが、個人間の連絡にチャットツールを利用すれば、情報漏えいの危険性があります。
オフィスで利用されるチャットツールとしては、SlackやChatworkなど無料・無制限で利用できるサービスが人気です。シャドーITの発生を防止するなら、会社側からどのチャットツールを利用していいのか指定しておくといいでしょう。

3．フリーメール

フリーメールとは、無料でアカウント登録して利用できるメールのことです。代表的なものとして、GmailやYahoo!メールなどがあります。
簡単な情報を入力するだけで登録でき、他のアプリケーションともアカウントを連動できるため、業務用に使用している方も多いでしょう。実名を登録する必要がなく、簡単にアカウント削除もできることから、シャドーITとして利用されやすいツールです。

4．クラウドストレージ

クラウドストレージは、個人が無料で利用できるクラウドコンピューティングの一種で、大容量のファイルの保存共有などに便利なため、シャドーITとして利用されるケースが多くあります。
代表的なサービスは、DropboxやOneDrive、GigaFileなどです。テキストの作成・保存ができるだけでなく、大容量の動画や音楽なども自由に共有・ダウンロードできるため、テレワークを進める企業でも利用しやすいというメリットがあります。

シャドーITが発生する場面

シャドーITがよく発生する場面や、どのような問題点が考えられるのか解説します。

場面1．システム環境の構築時

近年IaaSやPaaSを利用して、システム構築やアプリケーション開発を行う企業も増えています。しかし企業が推奨するプラットフォームや環境を利用せず、従業員が勝手にIaaSやPaaSを利用してシステム環境を構築するシャドーITも起こりえます。
この場合、企業のデータを基にシステム環境やサーバが作成されるため、外部からの不正アクセスがあれば、企業情報が筒抜けになるリスクがあります。
また悪意を持っての情報の窃取も可能となり、自社の製品情報などが抜き取られ、勝手に利用される可能性も出てきます。

場面2．無線LANルータの使用時

インターネットを利用する企業の場合、社内に有線・無線LANの設備を用意しているはずです。しかし一般的にインターネットの業務外利用は禁止されていますから、インターネットで情報を検索するために、従業員が無線LANルータを持ち込むことがあります。
企業の無線LANルータであれば、万全のセキュリティを施しており簡単には不正アクセスできません。しかしモバイルWi-Fiやスマートフォンのテザリングであれば、暗号化が弱く、知識のある人間ならネットワークを通じて不正アクセスも可能です。
またセキュリティの脆弱性によってウイルス感染が発生し、社内のネットワーク内にも感染が広がる危険性があります。

場面3．クラウド翻訳サービスの利用時

企業の中には海外とのやりとりが多く、クラウド翻訳サービスを利用するケースもあるでしょう。クラウド翻訳サービスでは一度クラウド上にデータを送信し、その後翻訳されたものがフィードバックされます。
つまり自社情報をクラウド上に保存することになり、情報漏えいのリスクが高まります。情報漏えいを防ぐには、サンクションITを設定して翻訳するのが対策になるでしょう。

場面4．スマートフォンをパソコンに接続する時

私用のスマートフォンを持つ人がほとんどかと思いますが、スマートフォンをパソコンに接続する行為もシャドーITになります。USB接続やクラウドと連携すれば、スマートフォンでもパソコンと簡単に情報のやりとりができ、重要情報を持ち出すことも可能になります。
セキュリティ対策を行えば多少は防げますが、完全に防ぐには社内でのスマートフォンの取り扱いについてもルールを定めることが必要になるでしょう。
またスマートフォンがウイルス感染していれば、スマートフォンから社内のパソコンにウイルス感染が広がる危険性もあるため注意しなければなりません。

場面5．クラウドストレージの利用時

クラウドストレージは大容量のファイルやフォルダを保存し、共有も簡単にできてしまいます。無料プランでも10GB程度の容量があるため、個人で利用している方も大勢います。
しかし個人用のクラウドストレージは、企業用に比べてセキュリティ対策が甘く、自社情報の漏えいに繋がるリスクが高いです。そのためシャドーITとしてクラウドストレージが使用されている場合、直ちに企業用のクラウドストレージに変更することをおすすめします。

場面6．チャットツールの利用時

ビジネスでもプライベートでも、利用しやすいチャットツールは多くなっています。社内で許可されているチャットツール以外で、従業員個人が外部と連絡とるために勝手に利用しているケースや、私的なアカウントを業務用に利用しているケースには注意が必要です。
許可されていないチャットツールで業務上の秘密をやりとりすれば、第三者に情報を覗き見られたり、不正アクセスで情報を窃取されたりする危険もあります。

場面7．フリーメールの利用時

フリーメールやクラウドメールでも、業務上の秘密が漏えいするリスクはあります。例えば業務上のメールを個人のアドレスで利用した場合、無関係の人間にまで誤送信してしまい、企業情報が漏えいする危険があります。
またウイルスが含まれたメールを誤って開封し、会社のパソコンに感染してしまえば、情報漏えいやネットワークの破壊、不正アクセスなど大きな問題に繋がる危険性があります。

シャドーITが起きやすくなっている理由

なぜ企業が用意した環境ではなく、シャドーITを使用してしまうのでしょうか。ここには2つの大きな理由が関係しています。

この2つの理由によるメリットが非常に大きいことから、従業員としてはバレないようにシャドーITを使用してしまうという背景があります。
特に近年のサービスには付加価値がついているものや、他のサービスと連携できるものも多いため、仕事の効率化を考えて利用するシャドーITが増加している傾向があります。
インターネットに接続できれば、いつでもどこでも利用できる利便性の高さから、業務を効率化したい従業員にとっては魅力的なサービスといえるでしょう。

シャドーITを防止するためにできる対策

シャドーITを防止するために、会社としてできる対策を紹介します。

対策1．ガイドラインを設ける

シャドーITを防止するには、会社が推奨するサービス以外の利用について、ガイドラインを設けることが対策になります。不用意に私物のデバイス・サービスを利用しないことと、どうしても利用する場合には、会社に報告して許可を得ることをルールにしましょう。

対策2．シャドーITの危険性を教育する

シャドーITがなぜ問題なのか、シャドーITによって考えられる危険性など、従業員への教育を徹底することも対策です。シャドーITは不正アクセスや情報漏えい、ウイルス感染などのリスクが高く、企業の健全な運営を阻害する要因になります。
従業員に危険性を理解してもらうことで、企業全体でシャドーITへの危機管理を徹底してもらうことが大事です。

対策3．別のサービスを会社として提供する

シャドーITが企業の課題として明確なら、企業側から別のサービスを提供しましょう。禁止するだけでは業務効率化に繋がらず、従業員のストレスにもなります。
そのため従業員がどんなサービスを求めており、どのような業務上の課題があるか把握することが重要です。従業員のニーズを汲んだサービスを導入できれば、シャドーITは自然と減少していきます。

対策4．利用状況を把握する

シャドーITを減らすには、会社側が従業員の利用状況を常に監視し、従業員がシャドーITを利用しないようにプレッシャーをかけることも重要です。監視という言葉を気にする方もいるでしょうが、企業のコンプライアンスを守るためには必要なことです。
また従業員の利用状況を把握することで、ウイルス感染にも迅速な対応が可能になります。利用状況の把握は企業にとって、多くのメリットがある対策です。

対策5．ツールの禁止・許可を柔軟に判断する

シャドーITを禁止する際は、私物の利用を一律に禁止するのではなく、必要に応じて許可と禁止を使い分けましょう。全面的に禁止してしまうと、従業員の自由な発想や業務改善のチャンスを自ら放棄することになります。
従業員のツール利用については申請方式を取り、その都度許可か禁止かを判断しましょう。利用目的で判断して、有用なツールを選べば業務の効率化にも繋がります。

情報セキュリティ対策は”NECフィールディング”にご相談ください

シャドーIT対策を含めた情報セキュリティ対策なら、NECフィールディングの「セキュリティ対策サービス」をご検討ください。

NECフィールディングでは、セキュリティ対策サービスとして「入退室管理システム」「監視カメラ構築」「LAN構築サービス」「Webフィルタリング」など、インターネットを利用したあらゆる脅威から企業情報、ネットワークを保護します。
複数のサービスを最適な形でカスタマイズし、最適なプランを提案できるので、企業のシャドーITはもちろん、セキュリティ対策を強化するなら、NECフィールディングまでお問い合わせください。

▼関連サービス
NECフィールディングのセキュリティサービス

まとめ

スマートフォンやタブレットを誰もが持つ時代となり、シャドーITの管理も企業にとって大きな課題となっています。シャドーITを完全になくすことは難しいですが、企業の対策によって減らすことはできます。
シャドーITの危険性を従業員にも理解してもらい、企業を取り巻く不安材料を少しでも減らしましょう。そしてネットセキュリティに不安のある場合は、NECフィールディングにご相談ください。

関連記事

発行元：NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。