従業員が個人で所有するスマートフォンやパソコンなどの情報端末を、所属企業の許可なく使用する「シャドーIT」。チャットアプリやファイル共有アプリなど、次々と登場するクラウド型の便利なITツールの登場を背景に、数年前から問題視されてきた。こうしたITツールは端末も含め、今後も次々と新しいものが出てくることが想定され、セキュリティリスクの観点から企業では継続的な問題ととらえ対策を講じる必要がある。
企業は具体的にどのような対策を講じるべきなのか。本記事では、潜在的なリスクとなる「シャドーIT」の脅威を整理・説明したうえで、その対策方法を紹介していく。
シャドーITとはなにか?
シャドーITとは、企業で許可されていない個人所有のスマートフォンやパソコン、あるいは個人で契約しているウェブサービスなどを用いて業務をおこなうことをいう。個人所有の情報端末を一定の条件下で認める「BYOD(Bring Your Own Device)」に対し、シャドーITは企業側が許可していないIT機器を業務に利用する違反行為である。
シャドーITに注目が集まる背景には、利便性の高いITツールが次々と登場していることがある。その代表例がチャットアプリや、オンラインストレージともよばれるファイル共有アプリ。ほかにも、画像やHTMLの簡易編集ソフト、名刺やタスク管理ツールなどが挙げられる。これらを使うことで作業効率はアップするものの、費用面やセキュリティ面などで認めていない企業は多い。そのため、従業員はやむなく隠れて無断で利用することになる。スマートフォンの普及以降、アプリなどを通じてソフトウェアに馴染みがある層が増加したことも、シャドーITが増加している背景のひとつとして考えられるだろう。
シャドーITの具体例
企業としてはシャドーITに対して早急に手を打つ必要があるが、そのためにはシャドーITの実態を把握する必要がある。それでは、具体的にどのような手段や方法でシャドーITがおこなわれているのか。ここではその具体例を紹介する。
業務の持ち帰り
最近多くの企業で取り組みが進む「働き方改革」だが、業務をおこなう現場ではひずみが生じているのも事実だ。業務内容や業務量は変わらないのに、残業はできないため従業員はどこかでその辻褄合わせをおこなうことになる。その結果、業務の持ち帰りが増加しているのだ。
USBメモリーなどに作業途中のファイルを格納し、オフィス外で個人所有のパソコンにより業務を継続することは典型的なシャドーITの例といえる。USBメモリーを使わずとも、メール添付や個人で契約しているオンラインストレージなどのファイル共有アプリを使えば、データの持ち出しは容易にできてしまう。
この場合、企業側が課す残業抑制に対応するために従業員は善意で業務を持ち帰っている。シャドーITを抑制するためとして、企業が単純に業務の持ち帰りを禁止しても抜本的な解決にはならないどころか社員の反発を生みかねないことには注意が必要だろう。
チャットやSNSによるコミュニケーション
以前から業務の持ち帰りによるシャドーITは横行していたともいえる。一方で、最近増加傾向にあるのがプライベートでも広く利用されるチャットツールなどを業務でも使用するパターンのシャドーITである。プライベート利用で馴染みのあるツールを便利だからと業務にも取り入れるという流れでおこなわれることが多い。Eメールだと宛先や書き出しの定型文などを入力する手間があるうえ、即時性があるとは言い難い。
そこで、従業員同士や気の知れた取引先の担当者とは、プライベートの延長線上でチャットツールやSNSのメッセンジャーなどでコミュニケーションをはじめてしまう。スマートフォンからでも簡単にやり取りができるため、スムーズかつスピーディなコミュニケーションが成立する。しかしその反面、その手軽さがゆえに機密情報も容易にやり取りできてしまうため、情報漏えいリスクが高まることになりかねない。
チャットツールについては、最近ではビジネス向けのツールも登場しつつあるが、日本国内で本流となるにはもう少し時間がかかるだろう。それまではEメールが引き続きコミュニケーションの主役の座に居座ることになる。その間はこのシャドーITのパターンが解消される見込みは薄いと思われる。
ネットワーク機器の活用
クラウドサービスの普及により、近年ではインターネットに接続しないと業務ができないケースもある。このため、外出先などで企業支給のパソコンをインターネットに繋げる際、個人所有のスマートフォンをテザリングして使うことも多いだろう。こうした行為も実はシャドーITに該当する。自宅に持ち帰った企業支給のパソコンを、自宅のWi-Fi環境で利用することもある。これらで利用するWi-Fi環境は認証や暗号化の強度に問題を抱えていることもあり、一定のセキュリティリスクがあると考えられる。
そのほかにも、企業によっては、職場のWi-Fi環境内に個人所有の無線LANルーターを持ち込み、アクセスポイントを構築するケースも考えられる。こうしたネットワーク機器は、安全性が確保されているとは言いづらく、外部からの不正アクセスの侵入経路になる可能性もあり、非常に危険だといえる。
IaaS型クラウドサービスの活用
手軽にサーバー環境を構築できるIaaS型のクラウドサービスは、開発部門などで簡単に開発環境を構築できるとあってシャドーITを誘発しやすい。通常、開発環境 は当然ながら企業側で提供されるものだ。しかし、社内手続きが煩雑な場合も多く、オンプレミス型で提供される場合にはサーバー環境構築までに時間がかかる。これでは変化の速度が上がっているビジネスの現場では歓迎されない。
IaaS型のクラウドサービスはブラウザーさえあれば、わずかな時間でサーバーを立ち上げることができ、無料の評価期間が設定されているサービスも多い。個人で契約してサーバーを立ち上げ、開発環境に使うという動機づけには十分であるといえるだろう。しかし、いわば企業の 情報資産である開発環境を、個人契約のサービスで運用することは、情報漏えいリスクをはらむことはいうまでもない。
シャドーITの問題点
これまで見てきたように、職場で蔓延しているシャドーIT。しかし、その対策は一筋縄ではいかないのが難しいところだ。企業 が管理していない個人所有の情報機器や、個人契約の情報サービスが使われているケースが多く、その実態が把握しづらいのだ。これでは対策の立てようもない。そのうえ、多くの場合でシャドーITは従業員がよかれと考え会社のために個人の情報機器やサービスを使っている。そのため、単純に禁止するだけでは効力は薄く、厳しい罰則規定は従業員のモチベーション低下も招きかねない。
しかし、シャドーITを黙認することはセキュリティリスクがきわめて高いことを企業側は強く認識すべきだろう。情報漏えいリスクやマルウェアへの感染リスクは、管理下にある情報機器やサービスを利用する場合と比較にならないほど高くなる。個人所有のネットワーク機器を使った業務は、悪意を持った攻撃者の餌食 になりかねず、一度攻撃者からの不正アクセスを許してしまえばその被害は甚大になることは目に見えている。このようにシャドーITを放置するという選択肢はあり得ない。企業側からすれば、適切かつ組織的な管理が必要といえる。
シャドーIT対策
シャドーIT対策は、情報資産の重要性や業務内容などを加味し、必要な対策を組み合わせて実施していくことになる。最初に進めるべきは状況の把握だろう。しかし、個人の所有物を使っているという性質上、企業には公にされていないため、実態の把握は難しい。一案として、従業員向けのアンケートやヒアリング調査をおこなうという方法がある。調査を断行して実情を把握できれば、これから述べる以下のような対策を組み合わせて実施していくことが可能となる。
許容・許可
個人所有の情報資産の利用を一定の条件のもとで認める。あくまで「一定の条件のもと」で許容・許可することが重要で、ビジネスチャットアプリやオンラインストレージなどのファイル共有アプリを使うにしろ、許容するアプリの種類を限定し、場合によっては業務時間中の利用はログ取得を前提とするといったルール設定も必要になる。いわゆるBYODと同様の対応が企業に求められるのだ。
当然、定められたルールのもとでITツールを使っていくため、ルールを逸脱して使った場合には罰則規定を設ける必要もある。何を許可して何を禁止するのかといった線引きにおいては従業員からヒアリングをして決めていくことになる。実行までの手間は多少なりともかかるものの、シャドーITがなし崩し的に広がる事態は避けることができるだろう。
監視
個人が所有するスマートフォンやパソコン、タブレットの利用状況を強制的に監視することはできない。しかし、クラウドサービスのうち、社外からのクラウドサービスへのアクセスや、社内からの個人が契約するクラウドサービスへのアクセスを監視・モニタリングできるサービスが登場している。それが「CASB(Cloud Access Security Broker:キャスビー)」だ。
増加する一方のSaaS型クラウドサービスに対し、CASBは契約状況やアクセスの状況を可視化するとともに、危険なクラウドサービスへのアクセスを遮断したり、クラウド経由での機密情報を防御したりする機能を持つ。個人のスマートフォンやパソコンを監視することはできないが、個人契約によるクラウド利用を制限するためには有効な対策といえるだろう。
制限・禁止
可能な範囲で個人の所有物や、個人契約したウェブサービスなどを使わせない仕組みを構築する。オフィスで利用するパソコンには、USBメモリーを利用させないシステムを組み込んだり、社内LANに持ち込んだネットワーク機器を接続できないようにしたりということが考えられる。シャドーITとは関係なく以前から企業がおこなうべき当たり前のセキュリティ対策でもあるため、シャドーITの観点からこうした対策についても再確認するといった対応になるだろう。
シャドーITを制限・禁止するセキュリティ対策としては、先述のCASBを使うことも検討したい。CASBを使うことで、クラウド利用状況を可視化するだけでなく、クラウドへの機密情報のアップロードを防御したり危険なクラウドサービスへのアクセスを禁止したりと、シャドーIT抑制に大きな効果を発揮するだろう。
従業員教育
シャドーITの危険性を認識してもらい、シャドーITの拡散に歯止めをかけるうえで、従業員教育は欠かせない。そもそも多くの従業員は、シャドーITのセキュリティリスクは理解しないまま、業務活動を優先するあまり個人所有の情報機器やサービスを使っているにすぎないのだ。シャドーITの危険性を正しく理解することで、従業員が主体的にシャドーITを抑止することも期待できるだろう。
今後のシャドーIT対策
シャドーIT対策は、働き方改革と無縁ではない。残業の抑制が持ち帰り業務を増加させる要因になるほか、オフィス外で場所を選ばず働くような勤務形態のテレワークが広がることで、シャドーIT対策はよりハードルが高くなるだろう。そもそも生産性向上を期待するのであれば、従業員が肌身離さず持っている情報端末を活用するのが実は一番簡単で効果も高いという見方もできる。やみくもにシャドーITを禁止するのではなく、従業員の自主的な抑止効果を創出するように働きかけるのも一考だ。
また、可能な範囲でITツール等の利用を企業の監視・制限下に置きながら、一定の利用を許容することもひとつの対策となる。いずれにせよシャドーIT対策に最適解はない。それぞれ自社の実情を的確に把握し、現実的な対応策を考察・実行していく必要があるだろう。