様々なクラウドサービスやスマートフォンなどのIT機器が普及したことで、業務の効率はインターネット普及前に比べて、格段に向上しました。しかし個人で使用しているサービスやIT機器を、無断で会社に持ち込んで利用する行為が広がり、これは「シャドーIT」と呼ばれ企業にとって脅威の一つになっています。
今回はシャドーITによってどのようなリスクが発生するのか具体例を挙げ、その対策方法についても紹介します。
シャドーITとは
シャドーITとは企業において利用の実態や存在が確認できていない、クラウドサービスやスマートフォン、タブレットなどのIT機器を使って業務を行うことです。社員がプライベートで使用しているIT機器を持ち込んだ場合、紛失や盗難などにより、情報漏洩のリスクが発生することを考慮する必要があります。
社員が使い慣れているサービスや機器を業務で使う事は、業務の効率化につながりますが、その一方で、適切な管理・把握がされていないシャドーITは企業にとって思わぬ脅威になる可能性があります。
BYODとの違い
シャドーITに関連して「BYOD」という言葉があります。これはBring Your Own Deviceの略語であり、個人で利用しているサービスやIT機器を会社から許可を得て業務で使用することです。BYODの場合、個人で使用しているサービスやIT機器に対して、会社で管理・把握し、業務で使用することを認めています。
一方、シャドーITとは会社から承認を受けていないサービスやIT機器を業務で使用することを意味しており「勝手BYOD」とも呼ばれています。
シャドーITの危険性
シャドーITの利用の背景にあるのは、社員が業務の効率性を重視してしまうとう事情です。シャドーITを利用している本人はシャドーITを利用しているという意識は低く、企業もそれを把握していないため、知らない所で様々な危険性が発生しています。
クラウドメールサービス利用時
Gmailのようなクラウドメールサービスはブラウザを使って使用するため、パソコンやスマートフォンなどのIT機器によらず手軽に使えるメールサービスです。IDとパスワードを使ってログインできる環境であれば、社内でも社外でも同じように使う事ができるので、プライベートのメールアカウントをつかって業務のメールを送信することも可能です。そのため、取引先に送信するべきメールを、誤って別の人に対して送信してしまうリスクもあり、情報漏洩などの危険性があります。
クラウド翻訳サービス利用時
外国語で書かれた文章をクラウドで翻訳できるクラウド翻訳サービスがあります。多国語の翻訳を手軽に利用でき、翻訳の精度も上がってきているので、業務で必要な英文のメールなども簡単に翻訳できます。
クラウド翻訳サービスを利用した際に、翻訳前の文章がクラウド上に保存されているケースがあります。その場合、何らかの理由で文章が外部に漏洩してしまう可能性があり、企業にとっての脅威となります。
クラウドストレージサービス利用時
DropboxやGoogleドライブのようなクラウドストレージは、メールでは添付できないような容量の大きいファイルなどをやり取りする際に使える便利なサービスです。クラウドストレージには個人用と法人用の2種類のプランがあることが一般的で、法人用のサービスは有料ですがセキュリティがしっかりしています。
一方で個人用のプランは無料で使えますが、セキュリティ機能が法人用より弱くなっていることが大半です。そのため、法人用のクラウドサービスで受け取った業務用のファイルを、個人用の領域に保存してしまうことで、情報漏洩の原因になる可能性があります。
メッセンジャーアプリ、チャットサービス利用時
SkypeやLINEなどのオンラインチャットサービスもクラウドで提供されています。Skypeはマイクロソフト社の純正のチャットアプリケーションであり、Outlookなどからもメッセージを送信できます。LINEは日本では特に普及しているメッセンジャーアプリでもあり、スマートフォンの連絡先などの情報を読み込むことができます。
このようなメッセンジャーアプリは起動していれば、第三者から会話の内容を覗き見することもできますし、添付したファイルも確認できます。そのため外出先でスマートフォンやノートPCを置いたまま席を離れてしまうと、第三者から中身を見られてしまう可能性があり、情報漏洩につながります。
システム環境構築時
ソフトウェアなどをクラウドで利用するSaaS(Software as a Service)や、OSなどが動作する環境を構築すうPaaS(Platform as a Service)そして、システム基盤のようなインフラを提供するIaaS(Infrastructure as a Service)などがクラウドサービスとして提供されています。
IT部門を通さずに、検証環境や試験環境としてPaaSやIaaSを利用する際に、検証用のデータとして自社のデータを使ってしまうと、そこから情報漏洩するリスクが発生します。
IaaSを使うと手軽にシステムを構築できます。しかし公開設定やアクセス権限の設定にミスがあると、外部から容易に不正アクセスされる原因にもなります。また、PaaSにおいてアプリケーションを開発した際、基本コンポーネントに脆弱性があれば、そこから不正アクセスされる可能性があります。
スマートフォンの業務PC接続時
スマートフォンはUSBメモリのように外部ストレージとして利用することができます。スマートフォンを充電するために、パソコンに接続したらマイコンピュータにドライブが表示されるのを見たことがある人は多いのではないでしょうか。
このような方法を悪用して企業内の重要ファイルを外部に持ち出されるケースも考えられます。セキュリティソフトや資産管理ソフトの設定により、ストレージ機能を無効にできるものもありますが、デバッグモードと呼ばれる開発者向けの機能を使うことでデータを持ち出しができることが確認されています。
外付けハードディスクや無線LANルーター利用時
企業内部の共有ストレージの容量が少ない時に、外付けのハードディスクを部門単位で購入することがあります。外付けのハードディスクやNASにはリモートで操作できる機能が搭載されているものもあります。このような機能を使うことで、外出先からもデータにアクセスできますが、外部からの不正アクセスの原因にもなります。
また無線LANに対応したルーターも安価に手に入りますが、強度の弱い暗号を使用してしまうことで、外部から無線LANの通信を盗聴したり、ネットワークに侵入したりしてパソコンに不正アクセスされる可能性もあります。
シャドーITへの対策
シャドーITへの対策は迅速に行う必要があります。しかし禁止すればそれで良いということでもありません。業務の効率低下や社員のモチベーションの低下を招かないように、十分な対策を行った上で許容することも考える必要があります。
ただ禁止するだけではNG
まず自社内でシャドーITがどれくらい存在するのか把握しましょう。そしてなぜシャドーITを使用しているのか、そしてその目的は何なのかヒアリングしてニーズを把握します。
シャドーITに対してシステムで対応する方法としてCASB(Cloud Access Security Broker)などのサービスを使うことが有効です。CASBではクラウドサービスの利用ユーザーとクラウドサービスの間の通信を監視することで、把握できていないクラウドサービスの利用を洗いだすことが可能です。
しかし社員に何の説明もなく一方的にシステムを導入してシャドーITを禁止することはあまりよろしくありません。このような方法では社員から強い反感を買う可能性があるからです。
そうならないように、事前に行ったアンケートやヒアリングの目的はシャドーITの把握のためであって、コンプライアンス違反を責めるものではないことを、社員に十分に説明することが重要です。シャドーITを使うことで業務がどれだけ効率良く進められているのかは、社員本人が十分に理解しています。アンケートやヒアリングでは、社員から業務を効率良く進めるためには、どうしたらいいのか聞き出すくらいの姿勢で臨めば良いでしょう。
代案を用意することが大切
シャドーITの現状とニーズが聞き出せたら、それぞれのシャドーITへの対応策を検討します。例えば、個人所有のスマートフォンを業務で使用している際は、会社で支給するスマートフォンへの乗り換えを検討するか、個人のスマートフォンをBYODとして業務で利用できるようにします。
セキュリティリスクの高いクラウドサービスにおいては、法人向けのサービスの利用を検討するとよいでしょう個人用のサービスを利用している社員対して、契約した法人向けサービスに乗り換えてもらうという方法も有効です。法人向けのクラウドサービスであれば、セキュリティや多段階認証などにより、個人向けのクラウドサービスよりも安全に利用できるからです。
BYODを認める場合、端末の代金や通信費などの算出が課題となります。BYOD向けのアプリを導入して、利用時間から算出したり、単純に割合で算出したりする方法があります。BYOD用アプリには起動するとBYOD用の領域を作成し、個人用のアプリを起動できなくするものもあります。
このようにシャドーITはやみくもに規制するのではなく、業務の効率や社員のモチベーションを低下させないために、代替案を提案しながら対策を取っていくことが重要です。
教育でリテラシー向上を図る
システムによる対策だけでなく、社員に向けた教育も重要なポイントになります。セキュリティ教育は入社時の他にも1年に1回程度の頻度で実施されているようです。セキュリティに関しては特にリテラシーに関する教育が重要です。リスクを正しく理解し、危険な操作を行わないようにする必要があります。
シャドーITに関する教育では、個人向けのIT機器を業務へ用いることの危険性や、クラウドサービスの利用におけるリスクを理解してもらうことが重要です。
社員教育の方法では、外部から専門の講師に依頼してもらうものから、インターネット上にある動画で提供されているものまで様々です。社員のレベルやコストなどを考慮して、最適な方法を利用するようにしましょう。
まとめ
スマートフォンやクラウドサービスによるシャドーITの対策を紹介してきました。
IT業界は進歩が速く、これからもさらに便利なサービスやIT機器が登場するでしょう。このように一度効率の良さを経験してしまうと、非効率なやり方に対して抵抗が生まれてしまうのは仕方がないのかもしれません。企業はシャドーITへの対策を十分に行うと同時に、従業員に効率良く快適に業務に専念できる環境を整えることが重要だと言えるでしょう。