シャドーITとは?事例と対策をわかりやすく解説

シャドーITとは何か?

シャドーITとは、企業において、ユーザーが独自に導入した情報システム部門が関知していないIT機器や、システム、クラウドサービスを使用することを指します。こうしたIT機器は適切な管理をされていないことが多く、脆弱性に対する対策を行っていないことが想定されます。一部のITエンジニアの中では「野良IT」と呼ばれることもあります。

シャドーITの事例をして以下の例が挙げられます。

  • システム環境構築時に無断でPaaSやIaaSを利用するとき
  • 暗号化の強度が弱い無線ルーターを利用したとき
  • 私用スマートフォンをパソコンに接続したとき
  • クラウドストレージサービスにおいて、社内のデータを個人用アカウントに移したとき
  • 会社が許可していないチャットサービスを利用したとき
  • クラウドメールサービスにおいて個人用のメールで業務内容の含むやり取りをしたとき
  • クラウド翻訳サービスを利用したとき

※PaaS(Platform as a Service):インターネット上のプラットフォームを利用してソフトウェアを稼働させること
※IaaS(Infrastructure as a Service):インターネット上の仮想サーバーやネットワークを利用すること

シャドーITが起こる原因

シャドーITが起こる原因として、業務の利便性や効率性が上がることが挙げられます。スマートフォンやタブレット端末の普及により、無料で容易に利用できるクラウドサービスが普及しました。しかし、法人向けのサービスは、消費者向けのサービスの後を追って開発されることが多く、導入が遅くなりがちです。

企業が用意した業務環境では「外出先でも社内データを見たい」「効率よくファイルを共有したい」といった従業員のニーズを実現することが難しいです。そのため従業員は、業務の利便性や効率を下げないためについ許可されていないクラウドサービスを利用してしまいます。これがシャドーITの起こる原因です。

また、シャドーITの危険性を従業員が認識していないといったことも原因として考えられます。

シャドーITの対策としてどのようなことをすればいいのか?

シャドーITの対策としては、まずはシャドーITを発見することが重要でしょう。その上で、適切な環境に整えるための対策を行うことが大切です。

シャドーITを発見するときは、企業が管理しているITインフラやセキュリティポリシーの運用だけで問題を把握しようとしないことが大切です。シャドーITは企業が知らないところで行われているため、既存のITインフラやセキュリティポリシーでは全容を把握することができません。その点は前提として意識すると良いと考えられます。また、業務実態と従業員のニーズとの間にギャップあることを理解し、従業員が「どのように業務を進めたいか」というニーズを理解することもシャドーITの発見や改善に繋がります。

また、適切な環境に整えるための対策としては、以下の3点が挙げられます。

①シャドーITに代わるサービスを導入する

より利便性の高いサービスを導入することで、シャドーITを無くすことができます。クラウドサービスを利用することも有効です。

近年では、企業などで消費者向けのITソリューションやサービスを導入する「ITコンシューマライゼーション」や企業において業務に私的なIT機器を持ち込む「BYOD」を導入する事例もあります。これらには消費者向けのクラウドサービスの利用も含むため、導入する際には、利用上の社内ガイドラインを作成し、そのルールを徹底化させる必要があります。

②従業員へのセキュリティ教育を強化する

「シャドーITが何故危険なのか」「どのような事例があるのか」「シャドーITによる企業への損害はどのようなものになるのか」を社内で共有することが大切です。

また、「ITコンシューマライゼーション」や「BYOD」を導入する際は、運用時のルールを徹底させる教育も併せて行う必要があります。

③従業員の使っているIT機器を適切に管理する

従業員が使用しているIT機器を管理することもシャドーITの対策として重要です。IT機器を管理する製品の一例としては、CASB(Cloud Access Security Broker)が挙げられます。CASBとは、従業員のクラウドサービスの利用を監視し、適切なセキュリティ対策を行うための製品です。クラウドサービスやインターネットからユーザーやデバイスを保護することを目的としています。

機能としては、

  • クラウドサービスのアクセスの可視化
  • 不正アクセスによるデータの流出の防止
  • 適切なクラウドサービスの利用のための監視や制御
  • 送受信するデータの暗号化

といったものが挙げられます。

クラウドサービスを安全に利用するためには、このような製品を駆使することも大切です。

CASBについては、こちらの記事をご覧ください。
「CASBとは?概要やメリット、必要性などを解説」

まとめ

シャドーITの概要やシャドーITが起こる原因、その対策について解説しました。シャドーITは企業にとってセキュリティ上のリスクとなります。そのため、適切な対処が必要でしょう。

シャドーITに対処するためには、より利便性の高いサービスを導入することが大切です。特にクラウドサービスを導入することは企業側のメリットも大きいでしょう。しかしその反面、利用するクラウドサービスの数だけログインIDとパスワードを管理するという負担がユーザー側に生じてしまいます。そこでID・パスワードの管理方法になりうるのがシングルサインオン(SSO)です。かもめエンジニアリングでは、SSOソリューション「KAMOME SSO」を提供しております。ご興味ある方は、以下のお問合せフォームよりご連絡ください。

事業・商品・サービスに関するお問い合わせ

製品に関するお問い合わせはこちら

※フリーメールでのお問い合わせは受け付けておりません。

必須
必須
必須
必須
必須
必須
必須