皆さまの会社には、私物のノートパソコンを使って業務を行ったり、フリーWi-Fiサービスを介して社内システムを利用したりしている人はいませんでしょうか？

組織が使用を許可していないデバイスやサービスは「シャドーIT」と呼ばれ、放置しておくと重大なセキュリティ事故を引き起こすことがあります。

そこで今回は、シャドーITが生まれる原因や発生しやすいツールやサービス、セキュリティリスクなどを詳しく紹介します。シャドーITを防止するための対策方法についても解説しますので、ぜひご参考にしてください。

目次

• シャドーITとは
• シャドーITが生まれる原因
• シャドーITが発生しやすいツールやサービス
• 私物のデバイス
• オンラインストレージ
• フリーメールサービス
• チャットアプリ
• シャドーITのセキュリティリスク
• 情報漏えい
• 不正アクセス
• アカウントの乗っ取り
• LANへの侵入
• マルウェア感染
• デバイスの紛失・盗難
• シャドーITをなくすための対策方法
• シャドーITを使わずに済む環境を整える
• ガイドラインを策定する
• CASBでアクセス監視を行う
• シングルサインオン（SSO）を導入する
• WiSASで野良Wi-Fiの検出を行う
• まとめ

シャドーITとは

シャドーITとは、企業などの組織が使用を許可していないシステム（機器やソフトウェアなど）のことを言います。従業員が利用していることを組織側が把握できていないシステムも同様にシャドーITです。

シャドーITの具体例としては、従業員が持ち込んだスマートフォンやタブレット端末、個人が契約しているオンラインストレージなどが挙げられます。

シャドーITとBYODの違い

BYOD（Bring Your Own Device）とは、企業などの組織から持ち込みを許可されたシステムのことを言います。従業員が個人的に所有しているスマートフォンなどが代表的な例として挙げられます。

シャドーITとBYODの違いは、業務で使用する個人の機器やサービスについて、企業が承認しているか否かです。

セキュリティ対策の観点では、管理が難しいシャドーITを減らし、適切なルールの基、BYODを運用していくことが求められます。

シャドーITが生まれる原因

シャドーITが生まれる主な原因は、ITコンシューマライゼーションの進展が大きく影響しています。

ITコンシューマライゼーションとは、企業が法人向けでなく個人向けのIT製品やサービスを導入することを言います。

背景として、スマートフォンやタブレットの普及により、個人が便利なアプリケーションやツールを気軽に利用できるようになったことが挙げられます。

例えば、LINEに代表されるチャットサービス、iCloudなどのオンラインストレージ、スケジュールやタスク管理ツールといったアプリケーションは、無料で使えるものも多く、個人が簡単にインストールすることができます。

従業員は使い慣れたツールを業務で活用したいと考えるようになっており、組織内にシャドーITが発生する温床となっているのです。

この事態を許してしまうと、企業の重要な情報が漏えいするなど、セキュリティ事故につながってしまうおそれがあります。

シャドーITが発生しやすいツールやサービス

シャドーITが発生しやすいものは、従業員が普段使っている私物のスマートフォンやクラウドサービスなどです。

ここでは、シャドーITが発生しやすいツールやサービスについて詳しく解説します。

私物のデバイス

私物のデバイスとは、具体的には従業員が普段使うスマートフォンやタブレット、自宅のパソコンなどが該当します。

また、ポータブルWi-Fiやスマートフォンのテザリングなど、企業が許可していないWi-Fiの利用も、私物のデバイスとしてシャドーITの対象になり得ます。

シャドーITのリスクを減らすためには、あらかじめ企業から必要なデバイスを従業員に支給することが考えられます。

オンラインストレージ

オンラインストレージは、ファイルの共有や保存ができるクラウドサービスです。

大抵のオンラインストレージは、無料で導入することができます。スマートフォンやタブレットなどからも簡単にファイル閲覧や共有ができるため便利です。

フリーメールサービス

GmailやYahoo!メールのようなフリーメールサービスを使っている人は多くいます。

個人向けのフリーメールサービスを業務で利用すると、業務とはまったく関係のない人にメールを誤送信してしまうリスクがあります。

また、社内メールシステムを介さずに利用されるため、組織の管理外となりセキュリティ対策が難しくなります。

チャットアプリ

LINE・Slack・ChatworkなどのチャットアプリもシャドーITが発生しやすいツールです。

特に大抵の方がLINEで連絡を取り合うことに慣れており、手軽なやり取り方法として業務で使いたいと考える人は多く存在します。

個人のチャットアプリを業務で利用すると、組織では管理できない領域に社内情報が残ってしまうため、情報漏えいにつながります。

チャットアプリにおけるシャドーIT対策としては、法人向けのチャットアプリを導入し、組織としてガバナンスを利かせることが挙げられます。

シャドーITのセキュリティリスク

シャドーITは組織が管理できない領域で生まれることから脆弱性が生じやすいと言われています。

情報漏えい

シャドーITには情報漏えいのリスクがあります。組織が管理できない領域で社内情報のやり取りが行われてしまうことが主な理由です。

具体的には、個人で利用しているオンラインストレージやチャットアプリが業務で利用された場合などに情報漏えいの危険性が高まります。

不正アクセス

シャドーITを経由して悪意のある第三者から不正アクセスを受けてしまうことがあります。なぜなら、企業の管理外にあるシャドーITにはシステムの脆弱性が生まれやすいからです。

最近はリモートワーク時に公衆Wi-Fiサービスを利用するケースもよく見られますが、公衆Wi-FiサービスもシャドーITです。公衆Wi-Fiは通信の暗号化がされていないことも多く、危険性が問題視されています。さらに、正規のアクセスポイントになりすまし通信を盗み見ようとする「悪魔の双子」に接続してしまう場合もあり、非認可のアクセスポイントから不正アクセスを受けてしまう事例が増えています。

公衆Wi-Fiの対策方法については、以下の記事で詳しく解説しています。

公衆Wi-Fiサービス提供者が取り組むべきセキュリティ対策とは？ | ソルパックコーポレート

アカウントの乗っ取り

フリーメールやチャットアプリのログイン情報が流出すると、アカウントを乗っ取られてしまう可能性があります。

アカウントが乗っ取られてしまうと、以下のようなリスクが想定されます。

• 過去に送受信したメッセージ内容が盗み見られてしまう
• 登録されている連絡先になりすましの迷惑メールが送信されてしまう
• パスワードを使いまわしていた場合、芋づる式に他のサービスも乗っ取られてしまう

個人が利用するサービスでアカウントが乗っ取られた時には、企業の管理下にないため迅速な対応を取ることが難しいです。

シャドーITにおけるアカウントの乗っ取りを防ぐためには、会社としてBYODをしっかりと運用するなどの対策が必要となってきます。

LANへの侵入

管理外の私物デバイスを無線LANに接続することで、社内LANに脅威が侵入することがあります。

特に、私物デバイスがマルウェアに感染していた場合、所有者に悪意がなかったとしても、LANに侵入した結果、マルウェアが拡散されてしまうといった事態もあり得ます。

このような事態が起きないよう、Wi-Fiデバイスに対してもしっかりとセキュリティ対策を行う必要があります。

無線LANに向けた対策については、以下の記事で解説しています。

マルウェア感染

シャドーITはマルウェア感染のリスクを抱えています。

組織が管理しているシステムと違い、私物のデバイスはセキュリティソフトを導入していないなど、セキュリティ対策が不十分な場合が多いからです。

マルウェアに感染すると、機密情報が盗み取られたり、社内LANにある他のデバイスにマルウェアが拡散されたりすることが想定されます。

マルウェア感染による被害を防ぐためにも、シャドーITの発生を防止する必要があると言えるでしょう。

デバイスの紛失・盗難

業務利用しているデバイスの紛失・盗難の被害にあうリスクも考えられます。

組織が管理しているデバイスであれば、端末の持ち出しについて厳重な管理を行っていることもあるでしょう。

ただし、私物のデバイスは組織側から制限をかけることが難しいため、紛失事故が起きる危険性が高まります。

デバイスの紛失・盗難のリスクに備えるためにも、私物デバイスの業務利用についてルールを定めることが重要です。

シャドーITをなくすための対策方法

シャドーITをなくすためには、シャドーITを使わないで済む環境を整えることやガイドラインを作成すること、CASBなど監視ツールを導入することなど様々な対応方法が考えられます。

ここでは、シャドーITをなくすための対策方法について解説します。

シャドーITを使わずに済む環境を整える

許可されていないデバイスやサービスを使わなくても、従業員が不便を感じずに業務遂行できる環境を整えることを検討しましょう。

ガイドラインを策定する

シャドーITを防ぐためのガイドラインを策定することは欠かせません。

ガイドラインには業務で利用が許可されたツールやサービス、およびその利用ルールを記載し、従業員の理解を促進することが大切です。

また、シャドーITの危険性や禁止事項を定め、従業員に周知することで社内教育を行う狙いもあります。

CASBでアクセス監視を行う

CASB（Cloud Access Security Broker）とは、企業がクラウドサービスを利用する際のセキュリティリスクを低減するソリューションです。

CASBを導入すれば、契約中のクラウドサービスに対し、誰のどの端末がどれくらいの頻度でアクセスしているのかといった利用状況を可視化することができます。また、クラウドに接続する通信を監視して、不審な動きを検知し、遮断するといったこともできます。

有名なサービスでは、Netskope Japan社のNetskope CASB、日本マイクロソフト社のMicrosoft Defender for Cloud Appsなどがあります。

シングルサインオン（SSO）を導入する

SSOとは複数あるクラウドサービスの認証情報を一元管理し、一回の認証で利用できるようにする仕組みのことです。

SSOを導入すれば、従業員が安易なパスワードを使いまわすリスクを低減できます。さらに、組織が認めていないクラウドサービスの利用を制限することができるため、シャドーIT対策として有効です。

有名なサービスでは、HENNGE社のHENNGE ONE、GMOグローバルサイン社のGMOトラスト・ログインなどがあります。

WiSASで野良Wi-Fiの検出を行う

Wi-FiデバイスにおけるシャドーIT対策を行う場合には、Wi-Fiネットワーク監視ができるソリューション「WiSAS」を利用することがおすすめです。

監視したいネットワーク内にWiSASを設置することで、不正なWi-Fi通信をリアルタイムに検知・対処することが可能となります。

WiSASについては以下のページで紹介しています。

まとめ

今回はシャドーITが生まれる原因、発生しやすいツールやサービス、セキュリティリスク、対策方法に至るまで解説しました。シャドーITは、個人向けの便利なツールが気軽に利用できるようになったことを背景に広がっています。

組織側としては、従業員が許可されていないツールを使わなくても不便を感じずに業務遂行できる環境を整えることが大切です。

シャドーITの被害を防止するためにはガイドラインを策定し、さらにCASBなどのアクセス監視ツールを活用することでセキュリティリスクに備えていきましょう。