シャドーIT

「シャドーIT」とは、企業が把握・許可していないクラウドサービスや、個人のIT端末を業務に使用することを言います。便利なITツールの活用によって作業効率の向上が見込める一方、無料サービスや個人の端末はセキュリティ対策が万全でないものも多く、シャドーITによる情報漏洩リスクへの対応が急務となっています。

シャドーITについては2013年に米国航空宇宙局（NASA）で最高情報責任者（CIO）の承認を得ずにパブリッククラウドに機密情報を移行させていたことが発覚し、セキュリティ上の重要な問題として話題になりました。

そして、昨今のテレワークの急速な広がりを背景に、在宅勤務者への業務連絡にプライベートで使うチャットアプリを無断で用いたり、未承認の私物PCを自宅で業務利用するといったケースが急増しています。シャドーIＴのリスクは以前よりも広範囲の社会問題として改めてクローズアップされています。

セキュリティ部門で管理できないシャドーITが増えると、重大な情報漏洩が起きるリスクも高まります。実際、オンラインのプロジェクト管理ツールを経由して、国内企業の採用情報や顧客情報が流出してしまう事案が発生しており、政府の内閣サイバーセキュリティセンター（NISC）も注意を呼び掛けています。

また、無料で使用できる大容量のファイル転送サービスを利用して、顧客とデータのやりとりをするケースも多いですが、シャドーIT対策としてまず挙げられるのは、社員のニーズをヒアリングしたうえで、生産性向上のために必要なアプリやデバイスを把握し、代替案を用意することです。

例えば、セキュリティ対策がしっかりと講じられたサービスを、個人向けではなく法人向けの中から導入する、あるいは社員に貸与する端末を一定数購入する、などが考えられます。当然コストが発生しますが、情報漏洩によって企業の社会的価値が損なわれるリスクを回避するには必要な投資と言えます。

また、クラウドサービスへのアクセスを可視化するCASB（Cloud Access Security Broker）を使って社員の不正なクラウド利用を監視することも、シャドーIT対策として有効です。

しかし、社員がプライベートで使い慣れた端末やサービスを用いることで業務の効率化を図れるメリットもあります。そこで、組織がルールやポリシーを設けた上で使用を許可した端末を活用するBYOD（Bring Your Own Device）も注目されています。社員をがんじがらめに監視するのではなく、使い勝手の良いツールを安心して業務利用できる制度を整えるという方向の施策も重要です。

もちろん忘れてはならないのは、社員個人への情報セキュリティに対する意識の徹底です。在宅勤務やテレワークで起こりやすい脅威を理解し、突然リモートワークを命じられても適切な端末やサービスの利用ができるよう、社内周知や研修による教育が必要です。