様々な業務にITが導入され、仕事の効率化やスピードアップが可能になりました。
しかし従業員がプライベードのデバイスやクラウドサービスを未許可で業務に使用してしまう「シャドーIT」という新たな問題も生まれました。この記事ではシャドーITの概要とリスク、そして対策方法について解説します。
シャドーITとは
シャドーITとは、未許可の個人スマートフォンやパソコン、個人契約のクラウドサービスなどを使って業務に対応することです。
従業員が、社内の業務の利便性や生産性を向上させるために、使用を許可されていないの個人スマートフォンやパソコン、個人契約のクラウドサービスなどを使って業務に対応することとも言えます。
シャドーITと関連する用語として「BYOD」があげられます。
「BYOD」とは「Bring Your Own Device」の略語であり、企業から承認を受けて個人のスマートフォンやパソコン、ラクウドサービスを使うことを指します。従業員のプライベートなデバイスやクラウドサービスを使う点は共通ですが、BYODの場合、シャドーITとは異なり、企業が実態を把握して適切に管理されることが前提となっています。
未許可のプライベートなデバイスやサービスを使用するとは、どのようなことを指すのでしょうか。具体的な例をあげて紹介します。
USBメモリや外付けHDDへ業務データを格納して持ち帰り
業務で使われているデータを、従業員が私物のUSBメモリや外付けHDDへ格納して持ち帰るケースがあります。もしこれらの記録媒体を紛失してしまうと、業務データの情報漏洩にもつながります。
また最近ではクラウドなどのオンラインストレージも普及しています。プライベートで取得したアカウントを利用して業務データをオンラインストレージに保存することも、不正アクセスのリスクを考慮すると同様に危険です。
SNSメールやチャットツールなどの業務利用
プライベートのSNSメールやチャットツールを業務利用することもシャドーITと言えます。メールでの対応は手間が多く即時性に欠けますが、SNSメールやチャットなどのツールは気軽にコミュニケーションできるため、プライベートの延長線上で業務連絡の手段として使われてしまうことがあります。
手軽に使えるSNSやチャットツールですが、スマートフォンなどのモバイル端末で使用可能なことを考えると、情報漏洩のリスクが高く、機密情報のやり取りに使うのはふさわしくありません。またこれらはIDやパスワードでの認証を採用しているものが多いため、不正アクセスによるアカウントの乗っ取りのリスクも無視できません。
個人スマホのテザリングや自宅のWi-Fiの業務利用
クラウドシステムの利用にはインターネット接続が必要です。プライベートアカウントのクラウドシステムを使うために、私物のスマートフォンのテザリングを使うこともシャドーITに該当します。また会社から支給された業務用パソコンを持ち帰り、自宅のWi-Fiに接続することもシャドーITです。
しかし最近のテレワークの普及に伴い、ある程度のシャドーITについては認めざるを得ない現状もあります。
シャドーITが抱えるリスクとは
シャドーITはどのようなリスクを抱えているのでしょうか。
具体的な4つのリスクについて紹介します。
情報漏洩
シャドーITには情報漏洩のリスクがあります。以下でいくつかのケースを紹介します。
- クラウドストレージに情報を記録している場合、アカウントが乗っ取られることで、簡単に情報が漏洩します。また国によって法律が異なるため、クラウド上に保存されている会社の機密情報が検閲の対象となるリスクもあります。
- クラウドで利用できる翻訳サービスがあります。この翻訳サービスを利用した際、翻訳前の文章がクラウド上に保存され外部から閲覧可能な状態なってしまうことで、情報が漏洩するケースもあります。
- テレワークでカフェやコワーキングスペースで仕事をしている際に、第三者にメールの内容やチャット画面を見られてしまうリスクもあります。
- GoogleドライブやDropboxなどのオンラインストレージにデータを保存している場合も、データの公開範囲設定の不備により、誰でもダウンロード可能な状態のまま気づかないケースもあります。また業務用アカウントに保存されているファイルを、従業員のプライベートアカウントの領域に保存され、そこから情報漏洩につながることもあります。
不正アクセス
クラウドサービスを利用しているデバイスのIPアドレスやID・パスワードが流出することで不正アクセスを許してしまう可能性があります。例えばシャドーITに使われているコンピュータがマルウェアに感染して、IDとパスワードが流出し、不正アクセスされるリスクがあります。
また業務で利用しているクラウドサービスが、特定のネットワークで管理しているIPアドレスからのアクセスに制限していたとしても、プライベートのコンピュータをそのネットワークに接続すれば、そのクラウドサービスに不正アクセス可能です。
また業務で使うスマートフォンやタブレットを、充電のためによくわからないUSBコネクタに接続するのも危険です。USBコネクタに悪意のある細工が施されており、接続するだけで内部の情報が吸い取られるリスクも無視できません。このような攻撃はジュースジャッキング攻撃と呼ばれており、情報の漏洩だけでなく、マルウェアの感染や不正なアプリをインストールする手段としても悪用されています。
環境によってはスマートフォン自体がUSBメモリのように使われることがあります。パソコンにスマートフォンを接続すると、USBメモリのようにドライブアイコンが表示されるのを見たことがあるかもしれません。そこからスマートフォン内部のデータにアクセスして、情報が漏洩することも考えられます。
なりすまし
クラウドサービスやチャットアプリに不正アクセスされるだけでなく、悪意のある第三者が上司や同僚になりすまして、不正にデータを窃取するリスクもあります。
会社を退職した従業員が、会社で使用しているグループウェアに入り続けることで、元従業員による情報漏洩が引き起こされることもあります。
シャドーITの乗っ取り
WebメールやクラウドサービスなどのIDとパスワードが漏洩すると、不正アクセスされるだけでなく、機能まで乗っ取られることもあります。
踏み台となったコンピュータからスパムメールが送信されたり、DDoS攻撃のためのボットネットの一部とされたりすることで、広範囲に影響が出ることもあります。
シャドーITの排除は困難
シャドーITには様々なリスクがあることを紹介しました。しかしシャドーITを完全に排除することは困難です。それには以下のような理由があります。
例えば、オンラインストレージやメッセージツールなどのクラウドサービスはシャドーITとして利用されることが多いです。
このようなクラウドサービスは業務の利便性を向上させるものであり、従業員の立場で考えると、「便利だから業務で使おう」という発想になってしまいます。
これらのクラウドサービスの利用の許可あるいは禁止を判断するためには、サービスの利用ログや特徴、リスク、そして利用の目的といった情報を確認することが必要となります。
また、これらのクラウドサービスが仕様通りの動作をしているとは限りません。そのため運用面、技術面での統制が難しいことも、シャドーITとなる要因の一つとなっています。
特にWebサイトではSSLに対応させることで、SEOで有利になるGoogleアップデートが施行されました。これはHTTPS通信に対応していないWebサイトの評価が下がる、ということですが、この仕様により通信内容が暗号化されてしまうため、第三者が通信の内容を知ることが困難です。
シャドーIT対策には現場へのヒアリングが不可避
そもそも従業員はなぜシャドーITを使うのでしょうか。理由の一つとして、現場での業務が非効率であると感じていることがあげられます。例えば業務で大量のデータの処理が必要なのに、パソコンには十分な空き容量がないため、私物のUSBメモリを使ったり、プライベートアカウントのクラウドストレージを使ったりしてしまうといった点です。
シャドーIT対策には、シャドーITが使われている現場にヒアリングして、代替案を用意することが重要です。ただ単純に禁止するだけでは、シャドーITは解決しません。シャドーITを使わなくても業務を効率的に行える代案があれば、シャドーITは自然と減少するでしょう。
まとめ
シャドーITを使っている従業員は、業務を効率的に進めるためという目的でシャドーITを取り入れているため、セキュリティリスクに無自覚な場合もあります。そのため、ただ単純にシャドーITを禁止するだけでは、問題は解決しません。
シャドーIT対策に最適解はありませんが、現場で働いている従業員に対するヒアリングを徹底して、代替案を用意することが現実的な対策となります。
