社内に潜む"シャドーIT"ちゃんと対策できてる？

オフィス内のICT環境に関して「シャドーIT」というキーワードが注目されています。ネーミングだけ聞くと、何だかカッコいい印象ですが、実は取り扱いを誤ると、とんでもない事態に繋がるやっかいな存在です。文字通りふだんは影のように潜んでいるのですが、果たしてその実態は敵か味方か、それとも……。デジタル時代の悩める副産物ともいえる「シャドーIT」について解説します。

最近耳にする「シャドーIT」って何のこと？

「シャドーIT」の定義は、会社の許可無く各種デバイスやウェブサービス、ソフトウェアなどを業務に利用することを指します。一般的には、会社の情報システム部門が把握していないICT活用全般がシャドーITに該当すると考えていいでしょう。

よくあるシャドーITの例としては、仕事を自宅に持ち帰って行いたいときに、会社に無断で私物のスマートフォンやタブレットなどを持ち込んでファイルをコピーする場合があります。また、会社の承認がないまま部署単位でクラウドなどのWebサービスを利用する場合もシャドーITに含まれます。

仕事熱心なのはすばらしいことですが、意図しないシャドーITの発生は、情報セキュリティの面でさまざまな問題が出てくる可能性があります。ここ数年世間を騒がせた情報流出事件の原因を探ると、このようなシャドーITがきっかけになっているケースが少なくないのです。

特に最近はGoogleをはじめとするクラウドサービスを仕事に活用するケースが急増しています。シャドーITによるクラウドの利用は、情報セキュリティのリスクをさらに深刻にします。シャドーITをどのように把握して管理するか、企業の情報システム部門の力量が試されているといえるでしょう。

シャドーITが引き起こす諸問題

対策を検討する前に、まずはシャドーITが引き起こす可能性のあるさまざまな問題をいまいちど確認しておきましょう。一見すると、ICTセキュリティの基本ができていれば防げそうなことですが、シャドーITが発端となりこれらの問題が頻発してしまうのが実情です。

データの無断コピー

私物のスマートフォン、タブレット、USBメモリーなど、いわゆる"スマートデバイス"を社内に持ち込んでファイルなどをコピーするケースです。無断コピーの理由は、自宅に仕事を持ち帰りたいという動機もありますが、転売などの不正目的で行われることもあります。おそらく大半の企業ではこれらの行為は禁止されているはずですが、リテラシー教育だけにとどまっているところも少なくありません。もはや社員の良心に訴えるだけでは防げないのが現状です。

また、社内システムがUSBデバイスを使用できない設定にしたとしても、スマートフォンなどのファイル転送方式であるMTP（Media Transfer Protocol）なども禁止する設定にしていないと、無断コピーされる恐れがあります。事実、2014年に発覚した教育系企業の大規模な情報流出事件では、MTP方式のデバイスを制限していなかったために起こった可能性が指摘されています。

photo by Official GDC

ウイルス感染や端末の盗難リスク

仕事を自宅で行う目的でデータを持ちだされた場合、以降の動きは会社から一切見えなくなってしまいます。この状態こそが、まさに"シャドー"という名の由来です。データを入れた私物のタブレットやスマートフォン自体に適切なセキュリティが設定されていない場合、ウイルス感染や、ネットワーク経由での情報流出、さらに端末自体が窃盗される可能性もあり、情報流出のリスクが高まります。

クラウドサービス利用での誤操作

近年急増しているのが、クラウド利用によるシャドーITです。冒頭にスマートデバイスによる無断コピーの例を挙げましたが、社内のPCで勝手にクラウドサービスにアップロードすれば、自宅のPCやスマートフォンからファイルにアクセスできてしまいます。クラウドは便利なサービスですが、共有の設定などをミスすると、情報流出のリスクが非常に高まります。また、会社規模での情報共有を考えた場合、個人や部署ごとにバラバラのクラウドやWebサービスを使うと、タスクの連携や共有がスムーズに行えないという面も出てきます。

クラウド面から考えるシャドーIT対策とは？

シャドーITの対策で特に重要なのが、クラウドサービスへの対応です。業務の効率化を考えると、クラウドは今やビジネスに欠かせない存在になっています。一方で、クラウドサービスに関して何も対策を取らないと、シャドーITはどんどん増殖していく懸念があります。

仮に全面禁止にしたとしても、日々の業務に大きな支障が出てしまうため得策とはいえません。重要なのはクラウドの排除ではなく、シャドーITをいかに可視化して合理的に管理できるかということになります。

この点を考慮すると、まず求められるのは社員個人や部署ごとにバラバラに使っているクラウドサービスを一元化することです。しかし、一般向けのクラウドサービスでは、セキュリティ面で不安があります。従来型のIDとパスワード認証では、会社が許可していないデバイスからのアクセスを防ぐことはできないからです。そこで選択肢になるのが信頼できる法人向けのクラウドサービスです。

クラウド型ファイルサーバを選ぶポイント

法人向けクラウド型ファイルサーバといっても、実にさまざまな種類があります。社内に浸透させるためにも誰でもかんたんに使えること、管理に負荷がかからないこと、セキュリティがきちんとしていることがポイントです。

例えば、特別なソフトを用意することなく、それぞれのパソコンからクラウド上に管理されたファイルにアクセスできる「WebDAV」に準拠しているサービスがおすすめです。OS標準の「Windowsエクスプローラ」や「MacFinder」から簡単にサーバにアクセスでき、ドラッグ＆ドロップによるファイル操作ができるのがメリットです。慣れ親しんだ操作はミスも少ないので、社員のICTスキルに左右されず、低リスク運用ができるのも大きな魅力といえるでしょう。

セキュリティ面では、情報漏洩対策や不正アクセス防止のためのIPアドレスによるアクセス制限、インターネットのSSL通信による暗号化、保存されるデータの暗号化がされているかどうかを確認する必要があります。

また、データが実際に保存される環境（データセンター）の品質も非常に重要です。堅牢性、トリプルミラー（三重化）保存、バックアップサービスの有無等。万が一災害が発生した場合でも、データをすぐに復旧できる環境でなければ安心できないからです。

スマートフォンやタブレットの対策

スマートフォンやタブレットといったスマートデバイスの紛失や不正利用対策としても、今は多くのサービスがあり、どれを選ぶべきかで担当者の方は悩まれていると思います。

従来の弱点だったプロファイルの無効化（削除）防止、AndroidとiOSそれぞれでの柔軟な端末ポリシー設定、端末の紛失時に追跡できるGPS、リモートでの端末ロックや初期化といった機能が備わっているかどうかを、まずは最低限の条件として検討されることをおすすめします。

シャドーITが不安な企業のシステム担当者は、ぜひ信頼できるクラウド環境の構築と有用なサービスの導入を検討してみましょう。

この記事のライター

宮下 由多加（みやした ゆたか）

1972年愛知県出身。雑誌編集者を経て、2000年にフリーライターとして独立。ITの複雑な内容を、鋭い観察眼と分かりやすい切り口でフォロー。主に雑誌・書籍、Webメディアで執筆を行っている。

近著

• 「思い出をデジタル化して永久保存する本」（洋泉社）
• 「最新Googleサービス入門」（マイナビ）
• Q&Aでわかりやすい! タブレット超入門（宝島社）
• わかる! 使える! エクセル（宝島社）