シャドーITとは?リスクと対策方法について解説

シャドーITとは?リスクと対策方法について解説

セキュリティ2025.01.30

top

皆さまの会社には、私物のノートパソコンを使って業務を行ったり、フリーWi-Fiサービスを介して社内システムを利用したりしている人はいませんでしょうか?

組織が使用を許可していないデバイスやサービスは「シャドーITと呼ばれ、放置しておくと重大なセキュリティ事故を引き起こすことがあります。

そこで今回は、シャドーITが生まれる原因や発生しやすいツールやサービス、セキュリティリスクなどを詳しく紹介します。シャドーITを防止するための対策方法についても解説しますので、ぜひご参考にしてください。

シャドーITとは

hands

シャドーITとは、企業などの組織が使用を許可していないシステム(機器やソフトウェアなど)のことを言います。従業員が利用していることを組織側が把握できていないシステムも同様にシャドーITです。

シャドーITの具体例としては、従業員が持ち込んだスマートフォンやタブレット端末、個人が契約しているオンラインストレージなどが挙げられます。

シャドーITの大きな問題点はセキュリティリスクにあります。組織の管理外にある機器やソフトウェアに対して適切なセキュリティ対策を講じることは難しく、情報漏えい事故などが起きた時に対応しきれない場合が多いからです。

シャドーITとBYODの違い

BYODBring Your Own Device)とは、企業などの組織から持ち込みを許可されたシステムのことを言います。従業員が個人的に所有しているスマートフォンなどが代表的な例として挙げられます。

シャドーITBYODの違いは、業務で使用する個人の機器やサービスについて、企業が承認しているか否かです。

セキュリティ対策の観点では、管理が難しいシャドーITを減らし、適切なルールの基、BYODを運用していくことが求められます。

シャドーITが生まれる原因

digitization

シャドーITが生まれる主な原因は、ITコンシューマライゼーションの進展が大きく影響しています。

ITコンシューマライゼーションとは、企業が法人向けでなく個人向けのIT製品やサービスを導入することを言います。

背景として、スマートフォンやタブレットの普及により、個人が便利なアプリケーションやツールを気軽に利用できるようになったことが挙げられます。

例えば、LINEに代表されるチャットサービス、iCloudなどのオンラインストレージ、スケジュールやタスク管理ツールといったアプリケーションは、無料で使えるものも多く、個人が簡単にインストールすることができます。

従業員は使い慣れたツールを業務で活用したいと考えるようになっており、組織内にシャドーITが発生する温床となっているのです。

この事態を許してしまうと、企業の重要な情報が漏えいするなど、セキュリティ事故につながってしまうおそれがあります。

シャドーITが発生しやすいツールやサービス

contact

シャドーITが発生しやすいものは、従業員が普段使っている私物のスマートフォンやクラウドサービスなどです。

ここでは、シャドーITが発生しやすいツールやサービスについて詳しく解説します。

私物のデバイス

私物のデバイスとは、具体的には従業員が普段使うスマートフォンやタブレット、自宅のパソコンなどが該当します。

また、ポータブルWi-Fiやスマートフォンのテザリングなど、企業が許可していないWi-Fiの利用も、私物のデバイスとしてシャドーITの対象になり得ます。

シャドーITのリスクを減らすためには、あらかじめ企業から必要なデバイスを従業員に支給することが考えられます。

また、監視ツールを導入することも有効です。監視ツールを利用すれば、許可されていないデバイスの接続を特定し、不審なアクセスを検知する仕組みを構築することができます。

オンラインストレージ

オンラインストレージは、ファイルの共有や保存ができるクラウドサービスです。

大抵のオンラインストレージは、無料で導入することができます。スマートフォンやタブレットなどからも簡単にファイル閲覧や共有ができるため便利です。

一方で、シャドーITとしてオンラインストレージが利用されると、情報漏えいのリスクが高まってしまいます。具体的には、個人で利用しているオンラインストレージに、従業員が勝手に社内情報をアップロードしたり、アップロードしたファイルに対して誰でも閲覧できる権限を付与したりすることが考えられます。

フリーメールサービス

GmailYahoo!メールのようなフリーメールサービスを使っている人は多くいます。

個人向けのフリーメールサービスを業務で利用すると、業務とはまったく関係のない人にメールを誤送信してしまうリスクがあります。

また、社内メールシステムを介さずに利用されるため、組織の管理外となりセキュリティ対策が難しくなります。

チャットアプリ

LINESlackChatworkなどのチャットアプリもシャドーITが発生しやすいツールです。

特に大抵の方がLINEで連絡を取り合うことに慣れており、手軽なやり取り方法として業務で使いたいと考える人は多く存在します。

個人のチャットアプリを業務で利用すると、組織では管理できない領域に社内情報が残ってしまうため、情報漏えいにつながります。

チャットアプリにおけるシャドーIT対策としては、法人向けのチャットアプリを導入し、組織としてガバナンスを利かせることが挙げられます。

シャドーITのセキュリティリスク

cyber

シャドーITは組織が管理できない領域で生まれることから脆弱性が生じやすいと言われています。

ここではシャドーITが原因で生じやすいセキュリティリスクについて解説します。

情報漏えい

シャドーITには情報漏えいのリスクがあります。組織が管理できない領域で社内情報のやり取りが行われてしまうことが主な理由です。

具体的には、個人で利用しているオンラインストレージやチャットアプリが業務で利用された場合などに情報漏えいの危険性が高まります。

企業側が許可(把握)していないシステムに対して誤送信の防止やアクセス制御といったセキュリティ対策を講じることは難しいため、シャドーITを生み出さないための仕組みづくりが重要となってきます。

不正アクセス

シャドーITを経由して悪意のある第三者から不正アクセスを受けてしまうことがあります。なぜなら、企業の管理外にあるシャドーITにはシステムの脆弱性が生まれやすいからです。

最近はリモートワーク時に公衆Wi-Fiサービスを利用するケースもよく見られますが、公衆Wi-FiサービスもシャドーITです。公衆Wi-Fiは通信の暗号化がされていないことも多く、危険性が問題視されています。さらに、正規のアクセスポイントになりすまし通信を盗み見ようとする「悪魔の双子」に接続してしまう場合もあり、非認可のアクセスポイントから不正アクセスを受けてしまう事例が増えています。

 

公衆Wi-Fiの対策方法については、以下の記事で詳しく解説しています。

公衆Wi-Fiサービス提供者が取り組むべきセキュリティ対策とは? | ソルパックコーポレート

アカウントの乗っ取り

フリーメールやチャットアプリのログイン情報が流出すると、アカウントを乗っ取られてしまう可能性があります。

アカウントが乗っ取られてしまうと、以下のようなリスクが想定されます。

  • 過去に送受信したメッセージ内容が盗み見られてしまう
  • 登録されている連絡先になりすましの迷惑メールが送信されてしまう
  • パスワードを使いまわしていた場合、芋づる式に他のサービスも乗っ取られてしまう

個人が利用するサービスでアカウントが乗っ取られた時には、企業の管理下にないため迅速な対応を取ることが難しいです。

シャドーITにおけるアカウントの乗っ取りを防ぐためには、会社としてBYODをしっかりと運用するなどの対策が必要となってきます。

LANへの侵入

管理外の私物デバイスを無線LANに接続することで、社内LANに脅威が侵入することがあります。

特に、私物デバイスがマルウェアに感染していた場合、所有者に悪意がなかったとしても、LANに侵入した結果、マルウェアが拡散されてしまうといった事態もあり得ます。

このような事態が起きないよう、Wi-Fiデバイスに対してもしっかりとセキュリティ対策を行う必要があります。

 

無線LANに向けた対策については、以下の記事で解説しています。

Wi-Fiにセキュリティ対策をしないとどうなる?リスクと対策について解説 | ソルパックコーポレート

マルウェア感染

シャドーITはマルウェア感染のリスクを抱えています。

組織が管理しているシステムと違い、私物のデバイスはセキュリティソフトを導入していないなど、セキュリティ対策が不十分な場合が多いからです。

マルウェアに感染すると、機密情報が盗み取られたり、社内LANにある他のデバイスにマルウェアが拡散されたりすることが想定されます。

マルウェア感染による被害を防ぐためにも、シャドーITの発生を防止する必要があると言えるでしょう。

デバイスの紛失・盗難

業務利用しているデバイスの紛失・盗難の被害にあうリスクも考えられます。

組織が管理しているデバイスであれば、端末の持ち出しについて厳重な管理を行っていることもあるでしょう。

ただし、私物のデバイスは組織側から制限をかけることが難しいため、紛失事故が起きる危険性が高まります。

デバイスの紛失・盗難のリスクに備えるためにも、私物デバイスの業務利用についてルールを定めることが重要です。

シャドーITをなくすための対策方法

lock

シャドーITをなくすためには、シャドーITを使わないで済む環境を整えることやガイドラインを作成すること、CASBなど監視ツールを導入することなど様々な対応方法が考えられます。

ここでは、シャドーITをなくすための対策方法について解説します。

シャドーITを使わずに済む環境を整える

許可されていないデバイスやサービスを使わなくても、従業員が不便を感じずに業務遂行できる環境を整えることを検討しましょう。

重要なのは、業務効率化の視点で考えることです。従業員は現状どこで不便な思いをしているのかを把握し、解決のために必要なツールの導入を会社として検討する姿勢が必要となります。

ガイドラインを策定する

シャドーITを防ぐためのガイドラインを策定することは欠かせません。

ガイドラインには業務で利用が許可されたツールやサービス、およびその利用ルールを記載し、従業員の理解を促進することが大切です。

また、シャドーITの危険性や禁止事項を定め、従業員に周知することで社内教育を行う狙いもあります。

CASBでアクセス監視を行う

CASBCloud Access Security Broker)とは、企業がクラウドサービスを利用する際のセキュリティリスクを低減するソリューションです。

CASBを導入すれば、契約中のクラウドサービスに対し、誰のどの端末がどれくらいの頻度でアクセスしているのかといった利用状況を可視化することができます。また、クラウドに接続する通信を監視して、不審な動きを検知し、遮断するといったこともできます。

有名なサービスでは、Netskope Japan社のNetskope CASB、日本マイクロソフト社のMicrosoft Defender for Cloud Appsなどがあります。

シングルサインオン(SSO)を導入する

SSOとは複数あるクラウドサービスの認証情報を一元管理し、一回の認証で利用できるようにする仕組みのことです。

SSOを導入すれば、従業員が安易なパスワードを使いまわすリスクを低減できます。さらに、組織が認めていないクラウドサービスの利用を制限することができるため、シャドーIT対策として有効です。

有名なサービスでは、HENNGE社のHENNGE ONEGMOグローバルサイン社のGMOトラストログインなどがあります。

WiSASで野良Wi-Fiの検出を行う

Wi-FiデバイスにおけるシャドーIT対策を行う場合には、Wi-Fiネットワーク監視ができるソリューション「WiSAS」を利用することがおすすめです。

監視したいネットワーク内にWiSASを設置することで、不正なWi-Fi通信をリアルタイムに検知・対処することが可能となります。

 

WiSASについては以下のページで紹介しています。

WiSAS | ソルパックコーポレート

まとめ

matome

今回はシャドーITが生まれる原因、発生しやすいツールやサービス、セキュリティリスク、対策方法に至るまで解説しました。シャドーITは、個人向けの便利なツールが気軽に利用できるようになったことを背景に広がっています。

組織側としては、従業員が許可されていないツールを使わなくても不便を感じずに業務遂行できる環境を整えることが大切です。

シャドーITの被害を防止するためにはガイドラインを策定し、さらにCASBなどのアクセス監視ツールを活用することでセキュリティリスクに備えていきましょう。

SOLPACが選ばれる理由

WhySOLPAC