【シャドーITとは？】対策方法や原因、セキュリティトラブルの事例を解説

シャドーITとはどんな意味の言葉？

シャドーITとは、会社から認可されていない端末機器やサービスが、一部の業務部門や従業員の判断で導入・利用されている状態を指します。

例えば、従業員が会社から認可されていない自分のスマートフォンを使って、インターネットから利用できる無料のオンラインストレージサービスにデータをアップロードし、後ほど会社から貸与されているノートPCにデータをダウンロードすることは、シャドーITにあたります。

また、その他の例として、従業員が会社から認可されていない私用の端末を使って、LINEやMessengerなどの個人利用向けチャットサービスから業務連絡が行っている状態も、シャドーITに該当します。

シャドーITが企業にとって危険な理由

企業にとってシャドーITが危険な理由は、業務に使われているツールやサービス・端末機器が企業の管理下にないことにあります。

私用端末や個人利用向けサービスを業務に利用すること自体にリスクが伴うのではなく、「企業の管理下にない」という点がセキュリティ環境の構築においてリスクとなるポイントです。

なぜなら、「知らないうちに使用されている状態」では、企業としてセキュリティ対策を講じることが困難だからです。

適正な管理下にあれば、マルウェア感染や情報漏えいなどのセキュリティリスクに対して、企業はセキュリティソフトのインストールやアクセス制限などの情報保護対策を講じることができます。

しかし、認知の及ばない領域で使われているツールやサービスに対して、こういった対策を講じることは困難です。管理者やマネージャーが、業務の様子などを見て状況を推察することも不可能ではありませんが、すべてを把握するのには限界があります。

このように、会社に認可されていない端末やサービスを利用するシャドーITは、会社側が認知できないがゆえにセキュリティ対策を講じることが困難であるため、企業の情報保護において危険とされているのです。

シャドーITとBYODの違いとは

シャドーITと似たような言葉で、BYODという単語を耳にしたことがある方もいるのではないでしょうか？　シャドーITとの違いは、私用端末の利用を「会社に認められているかいないか」ということにあります。

シャドーITとは、これまで説明してきた通り、会社に認められていないデジタル機器やクラウドサービスを、一部の業務部門や従業員が独自の判断で導入し、利用している状況を指します。

一方のBYODとは「Bring Your Own Device」の略称で、従業員が会社認可のもと個人所有のスマートフォンやノートPCなどのデジタルデバイスを業務に利用するという意味の言葉です。

「会社に認可されている」という点と「対象がデバイスに限定されている」という点が、シャドーITとは異なります。

BYODにもセキュリティリスクは存在しますが、会社の承認を経ているため有事の際も対応策を講じやすく、シャドーITと比較して重大な問題に発展しにくいのが特徴です。

セキュリティを確保した上で業務生産性を向上できるということで、近年ではBYODを積極的に活用する企業も増加しています。

シャドーITによるセキュリティトラブルの具体例

シャドーITによって引き起こされる可能性のあるセキュリティトラブルの具体例を見ていきましょう。代表的な3つの例をご紹介します。

①チャットアプリによるなりすまし

まず1つ目は、チャットアプリによる「なりすましのトラブル」です。個人利用向けチャットサービスは名前や写真の設定が自由であり、個別で割り振られているIDがないケースも多いため、簡単に他人を装うことができます。

トラブルの内容としては、ウイルス感染や情報漏えいに関するものが多いです。

• 同僚や上司になりすましたアカウントからフォローを申請され、許可したらウイルスに感染してしまった
• なりすましに気づかず会話を続け、重大な情報を教えてしまい情報漏えいに繋がった

などのトラブルが、具体的な事例として挙げられます。

このケースでは、電話やメールによって本人確認をすれば、すぐになりすましであることはわかります。しかし、日常から業務に個人向けチャットアプリを使用している場合、そのような危機意識は芽生えづらいものです。

何の疑いを持つこともなくフォロー申請を許可し、社内の人間だと誤認したまま会話を続けてしまう可能性は十分にあるといえます。

また、問題が発覚したときに会社がログを追えないという点も、チャットアプリによるなりすましトラブルの厄介なポイントです。会社は問題の経緯を把握することができないため、適切な対応を行うことが困難となります。

②オンラインストレージサービスでの共有ミス

2つ目は、オンラインストレージサービスでの共有ミスです。オンラインストレージサービスとは、メールでは送れない大容量データの送受信や、情報の保管などに役立つツールです。

利用方法を簡単に説明すると、オンラインストレージサービスではデータを共有するとき、まずはオンライン上にデータを格納し、そのURLを相手に知らせることで相手にデータを共有します。

相手は知らされたURLからデータにアクセスし、閲覧したりダウンロードしたりするというわけです。

このデータ共有をするときに起こりがちなミスが、共有する相手を間違えてしまうことです。メールアドレスの打ち間違いや、チャットアプリで送る相手を誤認したまま送信してしまうといったことが原因となって、この共有ミスが引き起こされます。

具体的なトラブルの事例としては、

• チャットで上司に送るはずの共有用リンクを、誤って友人に送信してしまった
• メールで取引先にデータダウンロード用のリンクを送ろうとしたら、アドレスを打ち間違えてしまい、全く関係のない相手にデータが送信されてしまった

などが挙げられます。

間違って共有され、相手の手元に届いてしまったデータは、その時点で自分がコントロールできる範囲から抜け出してしまったことになります。

すぐに気づいてストレージ上からデータを削除したとしても、それで情報保護ができたことにはできません。相手が自分の端末に保存して隠しもっている可能性を捨てきれないからです。

オンラインストレージサービスは便利なだけでなく、無料で使えるサービスが多く、ブラウザから簡単に利用できるため、多くのビジネスに活用されています。

しかし、上記のようなリスクを孕んでいるサービスであるため、企業の管理下にない領域で利用するのは危険です。便利なサービスではありますが、個人での利用は避けたほうがいいでしょう。

③弱強度の無線LANで通信内容流出

3つ目は、弱強度の無線LANを使ったことで、通信内容が流出してしまうケースです。

このケースは、外出中の従業員が、業務のためにネット環境へ接続する必要に迫られたとき、カフェなどの飲食店で提供されている無料の無線LANサービスを使った場合に起こりやすいトラブルです。

こういった無料の無線LANサービスはセキュリティ強度が弱いことが多く、利用する場合は通信内容を覗き見されたり盗聴されたりといったセキュリティリスクを伴います。

悪意のある第三者に情報を抜きとられ、その情報漏えいが原因となって思いもよらぬ重大なトラブルに発展してしまう恐れもあるでしょう。

トラブルの事例としては、

• カフェの無料Wi-Fiを使用して仕事をしていたら、知らないうちに不正アクセスされていて、ログイン情報や顧客データなど重要な情報を抜き取られてしまった

などが挙げられます。

外出先でPCからメール処理などの業務を遂行するためには、インターネット環境が欠かせません。しかし、解説したように無料の無線LANサービスはセキュリティ強度が低いことが多く、安全に利用することは難しいです。

会社から貸与されたスマートフォンやモバイルルーターからネット環境に接続して、業務を遂行するのが望ましいでしょう。

シャドーITが起きてしまう理由

ここまでシャドーITが企業にとって危険な理由や、起こりうるセキュリティトラブルについて解説してきました。その中で説明してきたように、シャドーITが蔓延している状況は、企業にとって大きなセキュリティリスクを伴う危険な状態です。

では、危険であるにもかかわらず、なぜシャドーITは起きてしまうのでしょうか。理由について解説する前に、背景知識として、「ITコンシューマライゼーション」と呼ばれるIT市場の状況について触れておきたいと思います。

近年ではネットサービスや携帯端末の分野を中心に、一般消費者向けの製品が企業向けの製品を上回る速度で進歩し、市場をリードする傾向が強まっています。

法人向け製品が消費者向け製品の後追いとなる形で製品のアップデートを進める状況を、「コンシューマライゼーション」と呼びます。

IT市場においては、クラウドサービスの普及や携帯端末の高性能化によってコンシューマライゼーションの傾向が強く出ているため、結果として「ITコンシューマライゼーション」に繋がっているというわけです。

シャドーITが起きてしまう理由には、このITコンシューマライゼーションが背景として関与しています。次の節から、具体的な理由について解説していきます。

従業員のニーズとITコンシューマライゼーションの合致

シャドーITが起きてしまう理由は、ITコンシューマライゼーションの市場状況と、業務を効率よくこなしていきたいという従業員のニーズが合致していることにあります。

従業員が会社に内緒でクラウドサービスやチャットアプリを業務に使う理由は、それが仕事を効率よくこなす上でとても便利だからです。

先ほど説明したように、IT市場はコンシューマライゼーションが進んでおり、消費者向けIT製品のほうが利便性が高いケースはよくあります。そのため、業務効率を向上させたいと考えた場合、消費者向けのIT製品を活用したほうが手取り早いケースも多いのです。

本来、こういったIT製品を業務に利用する場合は、会社の承認を得ることが必要です。しかし、業務が忙しかったり、提案が受け入れてもらえる社風でなかったりなどの理由から、従業員が申請できないケースも考えられます。

従業員の「仕事を効率よくこなしたい」思いに配慮

シャドーITはセキュリティリスクを孕んだ問題であるため、ネガティブな問題として捉えられがちです。

しかし、「仕事を効率よくこなしたい」という従業員の思いが背景にあることを踏まえると、それは従業員が向上心を持って仕事に取り組んでいる証であり、かつ企業として取り組むべき課題がはっきりとしているポジティブな状態と捉えることもできます。

シャドーITそのものは是正すべき重大な問題ですが、従業員の業務効率化に対する欲求が背景にあることを踏まえると、頭ごなしに禁止したり罰則を与えたりして解決を図るのは、充実した組織を構築する上で得策とはいえないでしょう。

また、禁止や制限をかけたとしても、それだけでシャドーITの対策になるかと問われれば、それは疑問が残ります。

なぜなら、そのサービスを禁止したとしても、別のサービスを使われる可能性があるからです。監視するにしても、クラウド系サービスは無数に存在するため、情報セキュリティ担当者が全てを把握して管理することは不可能に近いといえます。

また、従業員は業務を効率よくこなしたいという思いからシャドーITを行なっているため、その根本原因が解決されなければ、シャドーITを止めることは難しいです。シャドーITに対策を講じる際は、従業員の思いに配慮した対策を講じることが重要になるでしょう。

シャドーITの対策方法

では、シャドーITを防ぐには、具体的にどうすればいいのでしょうか？　具体的な対策方法についてご紹介します。

まずは実態調査

シャドーITに対策を講じることが決定したのなら、まず始めにやらなければならないことは実態調査です。現場へのヒアリングや従業員アンケートなどを活用して、シャドーITが発生している業務や使われているサービス・端末機器、シャドーITに至った経緯などを把握します。

これらを把握することで、「従業員が業務のどこに不便さを感じていたのか」を知ることができ、次節で説明する「代替案の企画」を高い精度で行えるようになります。

代替案の企画｜サンクションIT

実態調査が完了したら、代替案を企画します。「シャドーITが起きてしまう理由」のセクションでも解説したように、シャドーITは禁止すればよいというものではありません。いたずらに禁止すれば、反動で業務生産性が低下してしまう恐れもあります。

代替案の企画を考える上では、従業員が業務に不便を感じている状態の改善を踏まえることが重要です。具体的には、これまでシャドーITに使われていたIT製品の代わりとなるものを探し、代替品として従業員に支給することが有効でしょう。

会社が代替品を用意できれば、従業員もわざわざリスクのあるシャドーITを行わなくなるはずです。

会社に認可された端末を業務に利用することは、「サンクションIT」と呼ばれています。シャドーITの対義語ともいえる意味の言葉で、シャドーITはセキュリティ上のリスクが高いため、サンクションITとして会社の認識下に置くのが望ましいといえるでしょう。

また、コストの問題で端末の支給が難しい場合は、BYODの活用を視野に入れてみるのも得策かもしれません。互いに安心して活用できるように環境整備やルール作りが必須となりますが、導入のコストを圧縮しつつ業務生産性を維持することができます。

セキュリティ意識を高める研修などの実施

従業員のセキュリティ意識を高めるために、情報セキュリティに関する研修や教育活動を実施していくこともシャドーIT対策には有効です。

• どのようなリスクが潜んでいるのか
• どういったケースがシャドーITに該当するのか
• 情報を守るために避けるべき行動や望ましい行動とは何か

といった情報セキュリティに関する研修教育を行うことで、従業員の中に情報を守ろうという意識が芽生えるようになり、自然とセキュリティリスクに問題がありそうな行動を避けるようになる効果が期待できます。

ガイドラインの策定

ITツールの利用についてガイドラインを策定することも、シャドーITの対策として有効です。ガイドラインでは、「会社として禁止していること」や「問題ではないケース」、「ITツールを新しく利用したい場合に必要な社内手続き」などを明記します。

会社としての取り決めを従業員に明示することで、故意ではないシャドーITの発生を抑えられる他、ケースごとにルールを設けることで、安全性を保ったままITツールを有効に活用できるようになります。

特にクラウド系のソリューションを利用する場合は、ツールの可用性の幅が広いため、会社側で使い方の指針を示すことが重要です。

総務省では、クラウドセキュリティについてガイドラインを発行しています。クラウドサービスを活用する際、ガイドラインの策定に困ったらこちらを参照してみるといいでしょう。以下の記事では、総務省が発行するクラウドセキュリティガイドラインの要点について解説しています。ぜひご参考ください。

IT部署の新設もシャドーIT対策には有効

現状、IT関連の部署が存在しない場合は、新設することもシャドーIT対策には有効です。従業員が生産性を高めるために、何かしらのITツールを利用したいと考えたとき、気軽に相談できる部署があればまずはそこへ相談が集まります。

従業員が事前に相談してくれることで、会社側はシャドーITを未然に防ぐことができます。従業員も相談窓口があれば、新しいITツールの利用について安心して検討できるでしょう。

また、相談を受けること自体が従業員のダイレクトな意見・要望をヒアリングできる機会にもなります。現場の生の声は、効率的なDXを進める上で非常に役立つ情報です。積極的に意見を吸い上げ、活用していけるとよいでしょう。

このように、IT部署の新設は従業員の働きやすさの確保だけでなく、シャドーIT対策やDXの推進にも役立つ施策なので、まだ設置されていない場合はぜひ新設を検討されてみるのがおすすめです。

部署の新設にあたって、「まずはクラウドセキュリティについて知見を深めたい」という方は、ぜひ以下の記事をご参考ください。クラウドセキュリティで懸念されるリスクや有効な対策方法について解説しています。

シャドーIT対策に！ビジネスチャット「WowTalk」

いかがでしょうか、シャドーITについて、言葉の意味やBYODとの違い、考えられるセキュリティトラブルや具体的な対策方法など、シャドーITに関する幅広い情報を紹介しました。

シャドーITは、セキュリティリスクを伴う危険なIT活用方法です。大切な情報が漏れてしまわぬように、シャドーITが発覚した場合は迅速かつ適切な対策を講じるようにしましょう。

対策を講じる際は、代替案の用意や研修・教育の実施が有効です。ぜひ自社に合ったやり方を検討してみてください。

また、代替案を用意する際は、法人向けITサービスの導入を検討してみるのもおすすめです。

筆者が所属しているワウテック株式会社では、企業向けIT製品としてビジネスチャット・社内SNS「WowTalk」というクラウドサービスを提供しています。

シンプルなUIで直感的に使える抜群の操作性と、金融機関でも利用されている万全のセキュリティが強みの法人向けチャットアプリで、これまで10,000社以上の企業様に導入させていただきました。

WowTalkは、企業の業務生産性の向上に寄与し、社内コミュニケーションの活性化にも効果が期待できるビジネスチャットアプリです。個人向けチャットアプリによるシャドーITの対策に頭を悩ませているという担当者の方は、ぜひWowTalkの活用をご検討ください。

※ワウテック株式会社は2023年9月1日にグループ会社であるキングソフト株式会社と合併いたしました。

WowTalk製品資料 導入実績10,000社を超えるビジネスチャット・社内SNS「WowTalk（ワウトーク）」についてまとめた資料です。機能に関する具体的な説明の他、導入事例や導入効果、料金プランなどの情報も掲載しています。 資料をダウンロード

関連記事

• 
  【無料版】タスク管理ツール8選。選び方のポイントとは？
• 
  【2022年-比較】勤怠管理システムおすすめ15選！必要性や種類も解説
• 
  【DXツール10選】業務効率化やコミュニケーションなど目的別にまとめ
• 
  中小企業のDXで“よくある課題”とは？具体的な進め方を解説