パンデミックにおいて、多くの企業・組織がサイバーセキュリティを犠牲にしてでも、事業の継続性を優先させてきた。特にパンデミックの初期段階では、リモートワークの推進や顧客獲得に向けた新たな手法を探るため、業務を遂行することに重点がおかれた。労働環境の大きな変化に適応しようとする従業員を支援するため、いくつかのポリシーを緩和した。確かにこれは、妥当な対応だったと言えるだろう。しかし、パンデミック後のハイブリッド型勤務が浸透するにつれ、IT部門が対応するべき新たな問題が表面化しはじめた。サイバーセキュリティに関する隠れたリスクが課題となっているのだ。

要するに、IT部門の管理外にあるソフトウェアやデバイスの使用を放っておけば、組織にとって大きな脅威となる可能性があるということだ。問題の大きさを見極めることさえ難しいこの問題を、どのように対処すればよいのだろうか。

シャドーITとは何か？

シャドーITとは、何年も前から存在しているが、IT部門による承認・管理がなされない状況下で、従業員が使用するアプリケーション、ソリューション、またはハードウェアを総称するものである。IT部門が知らないまま企業向けのソリューションが導入され、使用されているケースさえある。しかし、多くの場合、それらは消費者向けのソリューションであり、組織に新たなリスクをもたらしてしまう。

以下に、シャドーITの例を示す。

• 従業員が効率的に業務を遂行するための消費者向けファイルストレージ
• 日常業務を支援するプロジェクト管理および業務効率化ツール
• 業務内外のコミュニケーションを円滑にするEメールとメッセージングツール
• 承認されてないIT資産を運用するためのIaaS（Infrastructure as a Service）、PaaS（Platform as a Service）型のクラウドシステム

なぜシャドーITが起こるのか？

シャドーITが発生するのは、従業員が生産性を阻害する非効率な業務用ITツールにうんざりしている背景に起因する。パンデミックの発生により、多くの企業では従業員が自宅で作業できるよう、個人が所有している機器を使用するのを許可せざるを得なかった。この状況が、承認されていないアプリをダウンロードしてしまう、きっかけとなった。

さらに、多くの従業員が会社のセキュリティポリシーに疎かったり、IT部門の責任者自身が「業務遂行を優先させる」ためにポリシーの適用を一時的に中断せざるを得なかったことが、状況をさらに悪化させた。ある調査では、76%のIT部門がパンデミックの際にセキュリティよりも事業継続を優先させたと認めている。また、セキュリティを妥協しなければならないというプレッシャーを感じたと回答したのは91%に上った。

パンデミックによってシャドーITの利用が増えたのは、IT部門の存在が従業員から見えにくくなったからだ。従業員が新しいツールを使い始める際、IT部門が事前に確認しにくくなった。その結果、心理的に組織のポリシーに従わない傾向が強まった可能性がある。2020年の調査では、全世界における半数以上（56%）のリモートワーク従事者が、業務用のデバイスで会社から許可を得ていないアプリを使い、そのうち66%が企業のデータをそのアプリにアップロードしたという。また、およそ3分の1（29%）は、IT部門が用意したシステムが「使えない」ため、会社から許可を得ていないアプリを自分たちが使うのは許されることだと考えている。

シャドーITの問題の大きさ

パンデミックによって導入されたBYOD（Bring Your Own Device）の使用は、シャドーITのリスクを部分的に説明するものではあるが、それがすべてではない。ユーザー部門がIaaSやPaaS基盤上で稼働させているIT資産のリスクは考慮されていない。ここで問題となるのは、クラウドの共同責任モデルが誤解され、クラウドサービス提供者（CSP）がセキュリティを担保してくれるものと勘違いしてしまう点だ。

残念なことに、シャドーITの特性上、そのリスクの規模を把握することは難しい。2019年の調査では、米国における64%の従業員はIT部門に知らせることなく、少なくとも1つ以上のアカウントを作成していた。別の調査では、パンデミック前からリモートワークに従事していた人の65%は、IT部門に承認されていないツールを使っていた。また、40％の従業員は、コミュニケーションとコラボレーションに関わるソリューションを承認なしに使用している。興味深いのはこの調査で、年代によってシャドーITの傾向が異なる点だ。ベビーブーマー世代のわずか15%がシャドーITを使用しているのに対し、ミレニアル世代では54%に達した。

なぜシャドーITが脅威となるのか？

次に問題となるのは、シャドーITが組織にもたらす潜在的なリスクだ。今年初めに発生した事例では、米国の新型コロナ接触追跡サービスを提供する企業において、7万人の個人情報が流出した可能性を指摘されている。従業員が「許可されていない連絡チャンネル」としてGoogleアカウントを使用し、データを共有したことが要因とされている。

以下に、シャドーITが組織にもたらす潜在的なリスクについて整理したものを示す。

• ソフトウェアにパッチが適用されていなかったり、（脆弱なパスワードが使われるなど）適切に設定されていなかったりして、IT部門による管理が及ばず、ユーザーや企業のデータがサイバー攻撃の標的になる恐れがある。
• シャドーITとなっている機器や、それらに接続される可能性のあるネットワークを保護するための全社的なウイルス対策ソフトやセキュリティソリューションが導入されていない。
• 偶発的または意図的なデータの漏えいや共有を制御する機能がない。
• コンプライアンスと監査における課題。
• データ損失の恐れ。シャドーITのアプリやデータは、全社的なバックアッププロセスの対象になっていない。
• 深刻なセキュリティ事故によって金銭的な損害を受け、評判を落とす危険性。

シャドーITへの取り組み方

シャドーIT対策の第一歩は、考え得る脅威の規模を把握することだ。IT部門はシャドーITの拡大を認識し、深刻なリスクになり得ることを理解するべきだ。しかし、これらのリスクは軽減できる。そのために以下の取り組みを検討してほしい。

• シャドーITに対応するよう、承認済み・未承認のソフトウェアやハードウェアを明文化し、承認を得るプロセスを含む、包括的なポリシーを策定する。
• 従業員に対してシャドーITに関する啓蒙・教育を行い、対話を通して透明性を促進する。
• どのツールが有用であり、何が有用でないかについて、従業員からフィードバックを受ける。そのフィードバックに基づきポリシーを修正する。セキュリティと利便性のバランスを取るよう、新しいハイブリッド型勤務の時代に合ったポリシーに見直す。
• 全社レベルでシャドーITの使用やリスクのある行動を追跡し、違反を繰り返す人に適切な対応をとるため、監視ツールを導入する。

シャドーITは企業の攻撃対象領域を広げてしまい、サイバーセキュリティのリスクを高める。しかし、そもそもシャドーITがここまで拡大してきたのは、現在のツールやポリシーがあまりにも利便性が悪いと思われているからだ。この問題を解決するには、IT部門が自らの文化を改め、ユーザーとより一層、緊密に連携する必要があるだろう。