テレワーク時代に再確認したい「シャドーIT」

2021.03.19 更新日:2021.10.26ビジネス豆知識

シャドーITは、企業に無許可でネット上のサービスや個人のパソコンを利用する行為です。いずれもセキュリティ設定が弱い傾向にあり、情報漏洩などの危険性が高いと指摘されています。セキュリティ面のリスクを下げるには、企業による適切な対策が怠れないでしょう。そこで今回はシャドーITの基本的な知識を解説したうえで、企業が気をつけたいポイントや効果的な対策方法をご紹介します。

セキュリティ低いPC

シャドーITの基本的な知識

シャドーITは、企業での使用が認められていないサービスや個人所有の機器を無断使用することです。

シャドーITの具体的な事例

シャドーITの具体的な事例としては、無許可のチャットアプリやSNSの使用、個人のパソコンやUSBメモリによる業務処理、同じく個人のスマホやWi-Fiルーターを介したインターネット接続などが挙げられます。社内の承認がない外部サービスの無断使用は、いずれもシャドーITに該当します。日常生活で個人的によく使っているチャットアプリやSNSでも、職場の許可を得ていなければ同様です。

職場が認めていない個人のパソコンで業務を処理した場合や、自宅に仕事を持ち帰るため無許可のUSBメモリにデータを保存する行為もシャドーITに含まれます。業務用に会社から支給されたパソコンを使う時も、外出先で個人所有のスマホやWi-Fiルーターを経由してインターネットに接続するとシャドーITです。これらのケースをふまえた場合、普段から使い慣れているサービスや私物でも、仕事で使えば何らかの問題があると考えたほうがよいかもしれません。

シャドーITとBYODとの違い

シャドーITとBYODとの大きな違いは、あらかじめ企業の許可を得ているかどうかです。シャドーITの場合、外部サービスや個人所有の機器の使用について、上述の通り企業から承認を得ていません。これらを無許可のまま使用するところが、シャドーITに該当する行為の大きな特徴です。通常、個人的に使っているサービスや機器は企業向けのセキュリティ対策が設定されていません。そのため、これらを社内の許可なく使用するシャドーITはセキュリティ面の甘さが問題視されています。

BYODは、「Bring Your Own Device」の略です。個人所有のパソコンやスマホを仕事でも使用する行為が該当し、この点はシャドーITと共通しています。ただ、事前に企業から承認を受けている点はシャドーITとの明確な違いです。BYODで使う機器は社内で把握・管理される場合が多く、セキュリティ面のリスクはシャドーITより低いと考えられています。最近、ネット上に便利なサービスが数多く見られますが、セキュリティ面の問題を考えると企業に無許可のまま業務に流用するのは控える必要があるでしょう。

企業が気をつけたいポイント

企業がシャドーITに関して気をつけたいポイントは、セキュリティ面のリスクです。具体的な問題としては、情報漏洩、アカウントの不正利用やデータの紛失が挙げられます。

チャットアプリやSNSの無断使用に伴うリスク

チャットアプリやSNSの無断使用に伴うリスクは、情報漏洩やアカウントの不正利用です。利便性の高いチャットアプリやSNSは手軽にコミュニケーションを取れますが、セキュリティ設定の甘い個人のスマホで情報交換すると機密情報の社外流出につながります。またネット上で提供される個人用の外部サービスは、一般的に法人向けのプランに比べるとセキュリティ機能が弱い設定です。個人的に使っているアプリなどで業務連絡すると、情報漏洩のリスクは高まります。サービスのセキュリティが弱い場合、使用中にIDやパスワードが盗まれアカウントが不正利用されるケースも見られ、安全とはいえません。

その他の外部サービスに潜むリスク

チャットアプリやSNS以外の外部サービスにも、情報漏洩やID・パスワード盗難のリスクは潜んでいます。これらのリスクがある代表例は、ネット上でデータを共有できる外部サービスです。個人向けのサービスに仕事のファイルをアップロードすると、業務データや個人IDが流出するリスクは高まります。フリーの翻訳ソフトも、よく情報漏洩のリスクが高いといわれるサービスです。文書を翻訳する際にはデータがネット上に保存されるため、不正アクセスにより外部流出する危険性があります。外部サービスに潜むリスクをふまえた場合、個人的に使っているアプリで業務データを処理するのは望ましくないでしょう。

個人所有の機器を利用するリスク

個人所有の機器を利用する場合に想定されるリスクは、情報漏洩やデータの紛失です。個人のパソコンやタブレットは、業務用の端末に比べるとセキュリティ面が弱い傾向にあります。ウイルスに感染する危険性が高く、安易に仕事で使うと不正アクセスにつながり情報漏洩を招きやすくなります。業務データを個人のUSBメモリに保存して持ち帰った際、よくあるトラブルが帰宅中の紛失です。また自宅のパソコンがウイルスに感染していると、ファイルをコピーした際にデータが流出する危険もあります。外部サービスや個人所有の機器の使用に伴うリスクを避けるには、シャドーITへの対策が怠れないと考えられます。

どんな対策方法が望まれるか

シャドーITへの対策として望ましい方法は、社員教育やガイドラインの作成です。その際、現状の把握は欠かせません。

まずは社内の現状を把握

シャドーITの効果を少しでも高めるなら、最初に社内の現状把握が不可欠です。社内の現状把握では、実際に仕事で使われている外部サービスや個人の機器を調べます。同時に、そのサービスや機器を選んだ目的や理由についての確認も必要です。現場での確認方法としては、ヒアリングが適切と考えられます。社員から詳しく話を聞くと、使用されているサービスや機器がどれほど仕事の生産性向上に貢献しているか見えてくるでしょう。シャドーITに求められているニーズが分かれば、適切な対策方法の検討に活かせます。

社員教育でシャドーITのリスクを周知

社内の現状を把握した後は、社員教育によりシャドーITのリスクを周知することが求められます。情報漏洩やID・パスワード盗難のリスクを周知徹底する際、ただシャドーITに該当する行為を禁止するのはNGです。それでは社員の抱いている不満は解消されず、たいてい根本的な問題が解決しません。社員に納得してもらうには、それぞれの職場の実情をふまえた説明が必要と考えられます。セキュリティ面の問題を伝えるとともに代案を提示すれば、社員の理解を得やすくなるでしょう。実際、シャドーITの見られない企業では快適に作業できる環境が整っているといわれています。

ガイドライン作成のポイント

企業でガイドラインを作成する時は、代案の提示を含めた明確なルールの設定が大切なポイントです。外部サービスについては、仕事で利用可能なツールやアプリを限定する方法があります。その場合、企業側の管理者が承認したユーザーだけ利用できるといった措置は必要です。パソコンやスマホは、企業から機器を支給する方法やBYODで個人の所有物の利用を認めるパターンがあります。いずれにしてもシャドーITを防止できれば、セキュリティ面の強化には効果的です。

企業でシャドーITが広まる背景には、外部サービスの利便性の高さや職場で用意されている機器への社員の不満があります。適切に対策するには、現場のニーズをよく把握したうえで職場の実情に見合ったルールを設定することが大切です。

Pocket

The following two tabs change content below.
電話代行サービス株式会社では、電話応対のアウトソーシングを検討している方向けに、電話代行やビジネスに関する情報を発信していきます。 電話代行について相談する
お問い合わせ