企業からの承認を受けずに情報端末やクラウドサービスを利用すること
企業側が把握せずに、従業員または部門がITツールを業務に利用することをシャドーITと呼ぶ。パソコンやスマートフォン(スマホ)等の情報端末の利用だけでなく、ソフトウェアやクラウドサービスの利用も該当する。個人所有の端末に使用許可を与える「BYOD(Bring Your Own Device)」とは意味が大きく異なる。
チャットアプリ、画像編集ソフト、名刺やタスクの管理ツール等の利用はシャドーITの代表的な利用とされる。また、私物のパソコンやスマホを会社のネットワークやコンピューターに接続するのもシャドーITに該当する。「働き方改革」により残業削減を指示された従業員がUSBメモリーやオンラインストレージにファイルを格納し、自宅のパソコンで作業を継続するといったシナリオも、シャドーITの典型的な例といえる。
シャドーITから生じる情報漏えいや内部不正、マルウェア感染のリスク
シャドーITが問題になるのは、そのセキュリティリスクが企業にとって大きいためだ。機密情報をオンラインストレージやチャットアプリにアップロードした際に、閲覧制限を誤って設定してしまうことで不特定多数のユーザーに情報が漏えいする可能性もある。あるいは、マルウェアに感染している私物の情報端末を会社のネットワークやコンピューターへ接続することで、社内にマルウェア感染が広がる懸念もある。シャドーITが常態化すると会社の情報を盗み出しやすい状況となり、内部不正が起きやすくなってしまう。
シャドーITの対策に求められるIT利用方針の見直しと従業員教育
企業がシャドーITの状態に陥るのは多くの場合、社内で規定したITツール利用の方針が、実際の業務実態にマッチしていないためである。従業員は生産性向上のために禁止されたITツールを利用しているため、情報システム部門は単純に禁止するのではなく、代替案を示した上で、対策を講じる必要がある。
シャドーITの利用を監視する方法として、社内からクラウドサービスへアクセスする状況をモニタリングできる「CASB(キャスビー)」を利用する方法がある。ただし、利用状況の監視だけではなく、現場の従業員の声を取り上げ、業務実態に即したITツールの利用を検討していくことが求められる。