シャドーIT拡大中!?テレワークに潜むセキュリティリスクを考える

この記事をシェア

業務連絡で個人所有のスマホを使う、あるいは個人アカウントのLINEで業務上の機密情報をやり取りするという話はしばしば聞かれる。勤務先がこうした行為を禁止している場合は、「シャドーIT」に該当する。この記事では、シャドーITに潜むセキュリティリスクと、企業が講じるべき対策について解説する。

シャドーIT拡大中!?テレワークに潜むセキュリティリスクを考える

シャドーITとは

シャドーITとは、業務で用いられるパソコンやスマートフォン(以下、スマホ)などの端末やソフトウェアが企業・組織で適切に把握・管理されていない状態のこと。すなわち、企業・組織が許可していない、従業員が所有、契約するパソコンやスマホなどの情報機器、ソフトウェアやクラウドサービスが紛れ込んで業務に利用されている状態のことだ。

例えば、企業が支給・貸与したパソコンにて、個人契約のクラウドストレージを密かに業務利用する場合、シャドーITに該当する。企業が社則などで許可していない端末、機器、ソフトウェアを業務で利用することが違反行為となるのだ。仮に違反した場合、社則に従って処分される可能性もある。

なお、関連する用語としてBYOD(Bring Your Own Device)がある。これは個人所有の端末や機器に一定の条件・制限を課した上で、業務使用を許可するという考えのこと。同様に、個人の物・サービスを使う場合でも、企業・組織の把握の有無によって状況は全く異なるのだ。

なお、シャドーITの対義語として「サンクションIT」という用語もある。これは企業・組織が許可した端末、機器、ソフトウェアのみを従業員が利用するという状態のことだ。例えば、企業向けの「LINE WORKS」、「ChatWork」、「Microsoft Teams」、「Slack」などを従業員向けに契約し、支給した業務用スマホで利用できるようにしている企業もあるが、このようなケースはサンクションITに該当するだろう。

テレワーク普及で高まるシャドーITのリスク

実際のところ、一定の理由に基づいて、従業員が個人の端末・機器やソフトウェアなどを利用するケースがある。キヤノンマーケティングジャパンが2021年に国内企業の社員に対して行ったインターネット上でのアンケートでは、「個人所有の端末を所属企業の許可を得ず利用したことがある」と回答したユーザーが実に4割近くに上った。

企業の管理が及ばない個人所有の端末では、必要なセキュリティ対策を講じることが難しい。そのため、企業にとってはマルウェア感染をはじめ、一定のセキュリティリスクが生じる。しかし、従業員もやむを得ずルール違反ながら個人の端末を利用しているという実情があることに留意したい。

先述の調査によると、「勤務先から業務利用のためにパソコンを含むモバイル端末を支給されている」との回答は5割弱。すなわち、約半数の回答者が業務用のモバイル端末を支給されていないのだ。同様に、27.3%が「個人契約のクラウドサービス・アプリを業務で利用している」という回答を踏まえると、業務利用可能な端末、機器、ソフトウェアを支給していない企業・組織の存在がシャドーITの一因となっているとも言えるのではないだろうか。

特に、2020年のコロナ禍における緊急事態宣言の発令で余儀なくされたテレワークでは、それ以前から準備をしていなかった企業・組織においては、十分な機材や体制を準備する時間を捻出できなかったかもしれない。そのような実情も、調査レポートの結果から推測できそうだ。

シャドーITが招くセキュリティリスク

一般的には、業務で利用する端末や機器、ソフトウェアなどは企業・組織で適切に管理されるべきものだ。そして、それらは適切なセキュリティ対策が講じられていることが前提となる。しかし、シャドーITの状態では端末の管理やセキュリティ対策は従業員任せとなってしまう。このような状況では、適切な管理下にあれば防げたはずのマルウェア感染、情報漏えいといったセキュリティインシデントを招きかねない。

シャドーITが問題になるのは、こうしたセキュリティリスクが企業にとって看過できないためだ。以下、シャドーITで生じ得るセキュリティリスクを紹介する。

1)設定不備によるクラウドからの情報漏えい

個人契約のクラウドストレージへ業務に関する情報をアップロードすることで、以降の漏えいリスクが高まる。シャドーITの状態で利用するソフトウェア、サービスは個人責任の範疇で必要な設定がされるため、適切に設定されないケースもあり得る。例えば、機密情報をクラウドストレージにアップロードしたが、閲覧権限が不適切に設定されていたために、不特定多数がその情報にアクセスできるようになってしまったという事例も過去に起こっている。

「クラウドサービス利用におけるインシデントの9割は設定の問題に起因する」と言われることもあるが、クラウドサービス利用時の設定ミスは、セキュリティインシデントの筆頭格として挙げられる。こうしたサービスを利用する際の各種設定は、情シスや総務といった管理部門が適切なルールを取り決め、従業員に周知・徹底すべきだろう。

2)マルウェア感染リスク

個人所有のパソコンやスマホなどの端末は、適切にセキュリティ対策が講じられていない場合がある。セキュリティソフトがインストールされていても、定義ファイルなどが最新状態になっていないこともある。端末の一括管理が前提の企業・組織の場合と比較すると、当然ながらリスクは高くならざるを得ない。

仮にマルウェアに感染した場合、バックドア経由での情報漏えいなどを招きかねない。また、感染した端末を社内ネットワークに接続してしまうことで、社内・組織内に感染を拡げてしまう危険性もある。近年急増しているランサムウェアについても同様に、被害が広がる恐れがある。

3)機密情報持ち出しによる情報漏えい

許可されていないパソコンやスマホだけでなく、USBメモリーを用いることもシャドーITと言える。こうした端末、機器を用いて企業・組織の機密情報や保有する個人情報などを持ち出す例も少なくない。先述の調査では、22.5%が「無許可の在宅業務で顧客情報(個人情報など)を持ち出した」と回答している。

また、データの持ち出しは36.4%が「記録メディアに保存(USBメモリーなど)」という方法で行っている。一度こうしたデータを外部に持ち出してしまえば、そのデータは企業・組織の管理が及ばなくなってしまう。こうした個人情報や機密情報を保存したUSBメモリーを移動中などに紛失してしまう可能性も否定できない。

4)端末の紛失・盗難

自宅との行き帰りや業務の移動中にパソコンやスマホを置き忘れ、紛失する・盗難に遭うことは今なお起こり得る。昨今のセキュリティ事情を踏まえ、企業・組織が支給するパソコン、スマホには紛失・盗難時に備え、起動時のパスワードロックや内部ストレージの暗号化、MDM(Mobile Device Management:モバイルデバイス管理)のインストールなどといった対策が講じられるようになっている。しかし、個人所有の端末の場合、そうした対策を講じることが難しいため、紛失・盗難時には端末内のデータが悪用される可能性がある。

また、個人の端末や機器、ソフトウェアなどを利用する場合、企業・組織が従業員の業務状況を適切に把握できなくなるといったデメリットもあるだろう。

シャドーITに対する適切な対処方法はあるか

企業・組織にとってリスクとなり得るシャドーITを避けるにはどうすべきか。以下、4つの方法を解説する。

1)一定の条件下におけるBYODを許可

先述のとおり、従業員は自身の業務を効率的に進めるために、やむなくシャドーITとなってしまうケースが少なくない。こうした状況も踏まえ、個人所有の端末、機器の利用を認めてしまうという方法がある。いわゆるBYODの状況を認める場合、一定のルールの下で行う必要がある。

例えば、企業・組織が指定した「セキュリティソフト」や「IT資産管理ツール」をインストールさせることをルール化する。「クラウドストレージ」・「クラウドサービス」は勤務先が契約しているものを利用する、といったことが考えられる。また、社内ネットワークへの接続時にはVPNを経由するといったルールも必要だろう。

情報漏えいを防ぐために、個人のパソコンを利用する場合は、業務用のログインアカウントを別途用意し、業務時にはVDI(Virtual Desktop Infrastructure)を用いるという方法もある。VDIとは仮想デスクトップのことで、サーバー側にすべての情報を保存するため、リモートで接続したパソコンには一切データを残さずに業務を行うことができる。

2)監視・制御を行う

最近では、「CASB(Cloud Access Security Broker:キャスビー)」と呼ばれるソリューションを利用する方法も一般的だ。CASBはユーザーのクラウドサービス利用を可視化し、脅威からの防御、データ保護などを行うソリューションだ。社内ネットワークからクラウドサービスへのアクセスを監視・モニタリングできるソリューションだが、この対象には個人契約であるかどうかの識別も含まれる。また同様に、リモートワーク中の社外からクラウドサービスへのアクセス状況をチェックすることも可能だ。

クラウドサービスの利用は特にシャドーITが生じやすい。そのため、こうしたソリューションを用いることで、シャドーITの回避だけでなく、自社の定めたルールが業務実態に即したものになっているかを確認できることは意義があるはずだ。

3)制限・禁止する

個人所有の端末や機器、個人契約のクラウドサービスなどの利用を強制的に制限・禁止するという方法もある。業務には、企業・組織の支給したものに限定するという考えだ。ただし、こうした強制力を伴う場合、従業員の反発を招きかねない。そのため、支給するパソコンやスマホ、クラウドサービスは業務実態に即したものを提供する必要がある。DX(デジタルトランスフォーメーション)が推進されていく中で、今後も業務環境は大きく変わっていくことだろう。そうした変化に応じた適切な環境を提供していくことが求められる。

4)従業員教育

先の調査では、22.3%が個人端末の業務利用は「許可不要」という認識が明らかとなった。こうした回答は、シャドーITの状況で問題が発生した際にどういった不都合が生じるのかを適切に理解していないことも要因の1つだろう。同調査では、情報セキュリティの研修や勉強会に参加したことがあると回答した人のうち、8割超が「有益と感じる」と回答している。シャドーITにはなぜリスクが伴うのか。そしてそのリスクは企業・組織だけでなく、時によっては従業員も責任を負う可能性があるという認識を共有するためにも、教育していく必要があるだろう。

シャドーITは、業務を効率よく遂行したいという従業員の考えが根本的な原因のケースも少なくない。従業員がリスクを理解していないことで生じている状況ではあるが、シャドーITを一方的に従業員の責任とせず、企業・組織も従業員の立場でこの問題に向き合う必要があるのではないだろうか。

昨今の業務においては、日々の報・連・相をはじめ、タスク管理、打ち合わせ、商談、企画、開発などITツールの利活用が前提となりつつある。こうしたツールの利用は現在のビジネスにおいて欠かせない存在であり、今後もより一層必要とされるはずだ。企業としてもそうした認識を共有し、従業員の業務効率を向上させるための業務環境改善に取り組む必要があるだろう。

この記事をシェア

シャドーITのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!