シャドーITへの対策とは。情シスが知っておきたい社内セキュリティのリスク
クラウドサービスの普及により、オフィスだけでなく自宅や外出先で業務を行う効率的な働き方が可能となりました。
しかし、普及に伴い使用する端末やアプリケーション(以下、アプリ)が増えたことで、社内にあるITリソースの把握が難しくなり、“シャドーIT”と呼ばれる新たな脅威が生まれています。
情報システム部門(以下、情シス)や管理部門では、安全なシステム環境を整備して社内の情報資産を守るために、シャドーITへの対策を行うことが必要です。
この記事では、シャドーITが発生する原因や社内セキュリティのリスク、情シスに求められる対策について解説します。
目次[非表示]
- 1.シャドーITとは
- 2.シャドーITが発生する原因
- 3.シャドーITによって生じる社内セキュリティのリスク
- 3.1.情報漏えい
- 3.2.社内システムへの不正アクセス・乗っ取り
- 3.3.マルウェアの感染拡大
- 4.企業に求められるシャドーITへの対策
- 4.1.➀社内ガイドラインの作成
- 4.2.②従業員への教育
- 4.3.③既存システムや社用端末の見直し
- 4.4.④CASBによるログの監視
- 4.5.⑤MAMによるモバイル端末・アプリの管理
- 5.まとめ
シャドーITとは
シャドーITとは、企業が許可していない端末やクラウドサービス、アプリなどを業務に使用することです。例えば、従業員が私物のスマートフォンを無断で使用して業務を行うことが挙げられます。
シャドーITと混同されやすい言葉にBYOD(Bring Your Own Device)がありますが、“企業側で管理している状態にあるか”といった点が異なります。
▼シャドーITとBYODの違い
シャドーIT |
BYOD |
|
意味 |
企業の許可なく端末やアプリを使用すること |
企業が許可している私物端末を業務に使用すること |
企業による管理の状態 |
管理できていない |
管理できている |
BYODは、あくまで企業の許可を得ている私物端末の使用を認める制度となるため、シャドーITには該当しません。
シャドーITが発生する原因
企業の見えないところで発生するシャドーITは、管理者によって完全に取り締まることが難しいといわれています。
シャドーITが発生する原因には、以下が挙げられます。
▼主な原因
- 業務システムや社用端末が使いにくい
- クラウドサービスの普及によりオフィス外での業務が増えた
- BYODの運用で端末やアプリの管理が不十分になっている
- 従業員のリテラシーが低い など
企業が用意した業務システムや社用端末が使いにくいと感じられている場合には、従業員が自分にとって使いやすいものを勝手に使用する可能性があります。
また、クラウドサービスを利用して自宅や外出先で業務を行う機会が増え、管理の目が行き届きにくくなっていることも原因の一つです。特にBYODを運用している場合には、プライベートで使い慣れているメールサービスやチャットツールなどを申請せずに業務で使用されるケースが考えられます。
そのほか、従業員がシャドーITに対するリスクを十分に理解しておらず、個人の判断で企業が許可していない端末やアプリを悪意なく使用する場合もあります。
シャドーITによって生じる社内セキュリティのリスク
シャドーITが発生すると管理者によるセキュリティ統制が行えなくなり、さまざまなリスクが生じます。
情報漏えい
シャドーITは、情報漏えいを招くリスクがあります。
▼シャドーITによって情報漏えいにつながるケース
- 顧客情報を保存した私物端末の紛失・盗難
- 脆弱性のあるファイル共有サービスやチャットツールへのサイバー攻撃
- 許可されていないUSBメモリを使用した機密情報の持ち出し
- フリーメールを利用した業務ファイルの誤送信 など
企業が保有する重要な機密情報や顧客情報が外部へ流出すると、社会的信用の失墜や損害賠償などの大きな被害をもたらす可能性があります。
社内システムへの不正アクセス・乗っ取り
企業によるセキュリティ管理が行き届いていない端末を使用すると、社内システムへの不正アクセス・乗っ取りが行われるリスクがあります。
▼不正アクセスや乗っ取りが行われる経路
- ID・パスワード情報の窃取
- 脆弱性のあるアプリへの侵入
- フリーWi-Fiを経由した社内ネットワークへの侵入 など
サイバー攻撃によって社内システムの不正アクセスや乗っ取りが発生すると、情報の流出やデータの改ざんなどにつながることが考えられます。
マルウェアの感染拡大
マルウェアは、不正な動作を引き起こす悪意のあるソフトウェアのことです。シャドーITが発生すると、管理者側でOSのアップデート管理やマルウェア対策ソフトウェアの導入ができなくなり、感染のリスクがあります。
▼マルウェアの感染経路
- メールの添付ファイルのダウンロード
- Webサイトの閲覧
- アプリのインストール
- 外部記憶媒体の接続 など
マルウェアに感染した端末で社内ネットワークにアクセスすると、業務システムやIT機器などの社内全体に被害が拡大してしまうことも考えられます。
企業に求められるシャドーITへの対策
シャドーITへの対策を行う際は、従業員の意識を高めるとともに、IT環境の見直しやツールを用いた技術的な管理が必要となります。
➀社内ガイドラインの作成
無許可で端末やアプリを使用されないように、社内ガイドラインを作成して周知することが重要です。使用のルールや禁止事項などを明確に定めて運用する仕組みをつくることで、シャドーITに対する意識を高められます。
▼社内ガイドラインで定める事項
- BYODの制限または申請方法
- テレワーク端末の申請方法
- 使用を許可・禁止するアプリ・ソフトウェア・クラウドサービスの内容
- ID・パスワードの管理方法
- 紛失・盗難時の対応や連絡先 など
②従業員への教育
従業員への教育を実施してリテラシーを高めることが欠かせません。
私物端末の利用やアプリのインストールは、管理者側で利用を制限する強制力はありません。そのため、意識なく無許可の端末を使用したり、「いつも使っているアプリだから大丈夫」といった軽い気持ちでシャドーITが行われたりする可能性があります。
従業員自らがシャドーITのリスクを理解して、企業が許可するITリソースのみを使用するように意識を高めてもらう必要があります。
③既存システムや社用端末の見直し
従業員の要望を踏まえて、既存システムや社用端末を見直すことも一つの方法です。企業が一方的に端末やシステムの使用を制限するだけでは、従業員の不満が生まれてシャドーITが残ってしまう可能性があります。
従業員にとって使いやすく効率的に業務を行えるIT環境へと見直すことで、無許可の端末やアプリを使用しなくてもよい状態となり、シャドーITを防止できます。
④CASBによるログの監視
CASB(Cloud Access Security Broker)は、クラウドサービスの利用状況を可視化してセキュリティを一括管理するソリューションです。
企業が契約するクラウドサービスだけでなく、管理者の目が届かない無許可のものまでログを監視して、企業のセキュリティポリシーに沿った一元的な制御を行うことが可能です。
▼シャドーIT対策に役立つCASBの主な機能
- 利用されているクラウドサービス(許可・無許可)の検出
- アップロードやダウンロードの監視・制御
- 禁止するクラウドサービスへの通信の遮断
- クラウドサービスの安全性評価
- マルウェアの検知・隔離 など
⑤MAMによるモバイル端末・アプリの管理
モバイル端末とそこにインストールされたアプリを管理できるツールに“MAM(Mobile Application Management)”があります。
シャドーITが発生しやすいBYODでは、業務とプライベートで使用するアプリやデータが混在してしまい、プライバシーの観点から統一したセキュリティ対策を行うことが難しい課題があります。
MAMを導入すれば、端末内にある業務用のアプリとデータのみを切り分けて管理できるため、BYOD運用時のシャドーIT対策に役立ちます。
▼シャドーIT対策に役立つMAMの主な機能
- アプリの使用許可または禁止の設定
- 業務用アプリ内に保存されたデータへのアクセス制限
- ファイルやデータの暗号化
- アプリの遠隔ロック・消去 など
まとめ
この記事では、シャドーITについて以下の内容を解説しました。
- シャドーITの概要
- シャドーITが発生する原因
- シャドーITによって生じる社内セキュリティのリスク
- 企業に求められるシャドーITへの対策
シャドーITは、企業にとって重大な脅威の一つです。社内のセキュリティ統制が行われていない状態では、情報漏えいや不正アクセス、マルウェア感染などの社内セキュリティのリスクを招く可能性があるため、対策が求められます。
社内ガイドラインの作成や従業員への教育を行ってシャドーITに対する意識の向上を図るとともに、ツールを活用した管理体制へと見直すことが重要です。
『FGLテクノソリューションズ』では、約20年にわたって蓄積した経験とノウハウを基に、ITインフラの構築や運用管理のサポートを行っています。貴社の課題に応じたIT環境の見直しやツールの導入・運用をご提案いたします。
