業務における社内外との情報共有を効率的に行うには、ファイル共有サービスやメール、チャットといったITツールの活用が欠かせません。ただ、社内で使用が許可されたものではなく、コンシューマー向けのサービスを社員が無断で使用する「シャドーIT」によって、セキュリティトラブルが発生する事例が増えています。

例えば、自宅で仕事を進めるために、得意先情報を含むファイルをプライベートで使用しているオンラインストレージにコピー、そのまま削除を忘れていたとします。その後、趣味で参加しているサークルで使う文書をメンバーと共有しようとしてファイルの選択を誤り、得意先情報のファイルを共有状態にしてしまったらどうなるでしょうか？　気づいた時点ですぐに共有を取り消したとしても、その情報はすでに外部に漏えいしたことになってしまいます。

今回は、シャドーITによって発生するトラブルの事例を紹介するとともに、シャドーITを防ぐために何をするべきなのかを考えてみます。

シャドーITとは何か？　BYODとはどう違う？

シャドーITとは、社内で使用が許可されていない外部サービスや、社員が個人で所有しているデバイスを業務で無断使用することを意味する言葉です。みなさんは、以下の行為に思い当たるふしはありませんか？

• コンシューマー向けのオンラインストレージサービスを、業務上のデータ共有に使用する
• LINEのようなチャットアプリを業務連絡に利用する
• 個人のスマートフォンで業務データを扱う

これらはすべてシャドーITに該当します。では、なぜ問題になるのでしょうか？

それは、コンシューマー向けのサービスが、企業向けサービスと比べてセキュリティ対策が手薄な場合が多いからです。のちほど詳しく見ていきますが、ちょっとした操作ミスや、サービス運営側のトラブルによって、大きなセキュリティトラブルが引き起こされてしまうこともあるのです。

なお、個人のデバイスを業務で使用する「BYOD（Bring Your Own Device）」という言葉もありますが、こちらは企業の承認を経ているところがポイントです。BYODにもリスクがないわけではありませんが、シャドーITの場合は、トラブルが発生してから社員が勝手に外部サービスやデバイスを利用していたことが発覚する場合も多いのです。BYODがデバイス利用だけを指すのに対して、シャドーITには各種のサービスも含まれています。

シャドーITが生み出す脅威

では、シャドーITによって起こり得るセキュリティトラブルにはどのようなものがあるのでしょうか？ここでは、コンシューマー向けサービスが広く浸透していて、業務に使われる可能性の高いオンラインストレージサービスとチャットアプリのリスクについて紹介します。

オンラインストレージサービスで起こり得るトラブル

オンラインストレージサービスは通常、保存しているデータの共有範囲をユーザー自身で設定できます。冒頭で紹介したように共有するファイルをうっかり間違えて、情報漏えいしてしまう可能性もありますが、自分だけがファイルを閲覧できるように設定しているからといって必ず安全とも限りません。例えば、利用サービスのサーバーがセキュリティの不具合等によって公開範囲の設定が変更されてしまい、ファイルが第三者と共有されてしまうといった事象が発生することも考えられます。

実際に、サーバーのトラブルによって、ほかのユーザーのアカウントと任意のパスワードでアクセスできる状態になっていたという事件も起きています。

チャット利用時に起こり得るトラブル

様々なコンシューマー向けのチャットアプリがあり、みなさんも利用されたことがあるかもしれません。ご家族やお友達などのグループでチャットアプリの使用は大変便利なものですが、これまでも業務でコンシューマー向けのチャットアプリを使用したことによるトラブルが数多く報告されています。

よくあるのは、「なりすまし」によるリスクです。部外者が同僚や上司になりすまして社員に「友だち」として申請し、業務で使っているグループに参加することはそれほど難しいことではありません。また、退職した社員がグループに参加し続ければ、そこから情報が外部に漏れる可能性もあります。チャット内容のログは企業側に残らないため、トラブル発生時に証拠を把握することが困難になることも問題のひとつです。

他にも、業務連絡と知人との連絡を同時並行で行い、会社のグループに返信したつもりが、知人宛にメッセージを送ってしまう、といったうっかりミスも考えられます。一度送信したメッセージを削除できないチャットアプリもあり、これは大きなリスクと言えるでしょう。

シャドーIT対策に欠かせない「社員のニーズ」の把握

禁止するだけでは、問題は解決しない

では、これらのセキュリティトラブルを防ぐためには、どのような対策をとればいいのでしょうか？　まずおさえておきたいのは、やみくもに外部サービスを禁止するだけでは、根本的な解決にはつながらないということです。

そもそも社員がシャドーITを行う背景には、現在の自社のIT環境では業務が進めにくいという「不満」があります。この不満を放置したまま禁止事項を増やしても、社員は別の抜け道を用意するだけでしょう。つまり、一方的に禁止することが、かえってシャドーITを生み出しているという見方もできるのです。

例えば、社内のパソコンから外部のオンラインストレージに接続できないようにすることは可能です。それでも、仕事を進めるうえでファイル共有が必要であれば、禁止されていない別のサービスを見つけて接続を試みるはずです。オンラインストレージサービスはたくさん存在するため、情報システム担当者が常にすべてを把握するのは現実的ではないでしょう。

代案を用意することで、シャドーITは自然と減少する

裏を返せば、シャドーITが行われていない企業には、快適に業務を進めるインフラが揃っていると考えられます。つまり、社員はわざわざリスクの大きいシャドーITに、こっそりと手を出す必要がないのです。

今回例に挙げたオンラインストレージであれば、データセンターの災害対策や侵入対策、データのバックアップ機能などを備えた安全性の高い業務用のサービスを導入する。チャットアプリは、管理者が承認したユーザーだけが利用でき、退職した社員のアカウントを企業側で削除できるといったセキュリティ対策が徹底されたビジネス向けサービスを選ぶ。このように、「代案」を用意することが、シャドーIT対策の一番の近道と言えそうです。

オンラインストレージとチャットアプリ以外にも、シャドーITは様々な業務に潜んでいる可能性があります。大事なのは、自社のIT環境のなかで、使いづらい部分や業務効率の低下につながっていそうな社内インフラの欠点を見つけることです。そして、社員へのヒアリングを行い、ニーズが満たされていないという不満の種を探すことが、シャドーITを見つけることにもつながるはずです。

参考：

• 日本企業をひそかに襲う「シャドーIT」の脅威｜ITmedia
• シャドーIT問題を増長させる「インフラの重力に魂を縛られた人々」と「ニュータイプ社員」とは？|ITmedia
• NASAでも発覚した「シャドーIT」の危険性とは？｜Club Unisys + PLUS
• GoogleやDropboxのセキュリティ事故とクラウドセキュリティガイドラインに学ぶクラウドの選び方 第2回|Web担当者フォーラム
• なぜ、LINEの業務活用はキケンなのか？｜business network.jp