シャドーITのリスクと根本的な解決策とは?おすすめのITツールもご紹介

シャドーITのリスクと根本的な解決策とは?おすすめのITツールもご紹介

(2019年7月11日掲載)

目次

働き方改革に対する取り組みが加速する中、業務を進めるうえでさまざまなITツールの導入が進んでいます。多くの企業はITツールを導入する際に適切なセキュリティ対策が施されているかを見極めて選定していますが、一方で「シャドーIT」という問題が浮上しています。そこで今回は、シャドーITとは何なのか、その解決策とおすすめのITツールも併せて紹介します。

シャドーITとは

シャドーITとは、企業が指定し、管理している以外のITツールを従業員が業務に使用することを指す言葉で、以下のような例が典型的です。

  • プライベートのメールアカウントを業務に利用する
  • 企業が支給しているスマートフォンではなくプライベートのスマートフォンで業務を行う
  • 会社で契約していないファイル共有サービスに業務データをアップロードする
  • プライペートアカウントのSNSのダイレクトメッセージやチャット用アプリで業務のやり取りを行う

シャドーITにおいて特徴的なのは、従業員に悪意はなく、効率的に業務をしようと考えたうえで行っているケースが多いことです。また、企業の中には、そもそもプライベート用のITツールの利用禁止を明確にルール化していないケースもあります。

シャドーITがもたらすリスク

シャドーITは従業員自身に悪意がないケースが多いと紹介しましたが、同時にセキュリティリスクと認識していないケースも多いのが特徴です。これこそがシャドーITの大きな問題点であり、最大のリスクといえます。それでは、シャドーITとして具体的にどのようなリスクが考えられるのか、それぞれのケースで考えてみましょう。

プライベートのメールアカウント使用

業務用アカウントではないプライベートのメールアカウントを使用することによって、業務には関係のない第三者へ業務データを送付するリスクがあります。また、マルウェアへの感染につながる恐れも否定できず、プライベートのメールアカウント利用によって深刻な被害をもたらす危険性があります。

プライベート用スマートフォンの業務利用

会社から貸与された業務用スマートフォンではなく、自身で契約しているプライベートのスマートフォンを業務に利用することもシャドーITの典型的な事例です。プライベートのスマートフォンが自身でも知らないうちにマルウェアに感染しているケースも考えられ、そこから業務用のデータが外部に流出するリスクがあります。

クラウドストレージの利用

コンシューマ(個人)向けのクラウドストレージサービスは、ビジネスユースに適したセキュリティ機能が十分ではない場合があるほか、共有フォルダから情報が漏えいするリスクがあります。クラウドストレージサービスを業務に使用すると、自社の業務用データを不特定多数のユーザーが閲覧できる状態となるリスクが考えられます。

DMやチャットアプリ

SNSで知人になりすましてアカウントを登録したうえで友達申請を行い、ダイレクトメッセージのやり取りから仕事上の業務データが漏えいするリスクも考えられます。また、SNSだけではなくチャットアプリについても同様で、本人確認が不要で手軽にアカウント作成が可能なケースが多いです。

上記で挙げた例は、いずれも情報漏えいに直結するリスクといえます。また、実際にこれらの被害が明るみになって初めてわかる場合が多いのもシャドーITの恐ろしい点です。

シャドーITの根本的な解決策

シャドーITの問題が発覚した場合、問題となった対象のITツールを単に禁止するだけでは根本的な解決になりません。従業員が自社で認められていないITツールを利用するということは、そもそも自社で用意しているITツールの使い勝手が悪いというケースも考えられるためです。

シャドーITのリスクを従業員に説明し、十分に理解してもらったうえで、どのようなITツールがあると仕事の効率が上がるかをヒアリングし、対応策を模索していくことが重要です。

また、同時に全社員にアンケートを取り、ITツールの使い勝手に不満がないか、どのようなツールがあれば業務効率化につながるかをヒアリングすることも重要です。同時に重要になってくるのが、会社が用意しているITツールの使い勝手の悪さを洗い出すことです。ここが改善されない限り、使い勝手の良いツールを独自で使用したいという従業員はあとをたたないでしょう。このとき、懲罰を目的としているのではなく、あくまでも現状を把握するためであるということを事前に説明しておく必要があります。懲罰を目的としていると感じられてしまうと、従業員から本音の意見を集約することができず、そもそもアンケートの意味を成さなくなってしまうためです。

シャドーITのリスクを軽減するためのツール

シャドーITのリスク軽減に有効なツールをいくつか紹介しましょう。また、なぜこれらのツールがシャドーITに有効なのか、その理由も詳しく解説します。

社用携帯

シャドーITへのもっとも基本的な対策として挙げられるのは社用携帯の導入です。社用携帯がない場合、従業員個人が所有する端末で仕事を進めるほか手段がありません。全社一律で管理が可能な社用携帯を導入することで、セキュリティの平準化を図ることができます。

PrimeDrive

PrimeDriveとはソフトバンクが提供する法人向けのオンラインストレージサービスです。PCはもちろん、スマートフォンやタブレット端末など複数のデバイスからのアクセスも可能です。メールでは送付できない大容量のデータや、機密情報や個人情報などが含まれたファイルをやり取りする際に活躍します。自社でオンラインストレージサービスを用意していない企業においては、従業員が独自にオンラインストレージサービスを使用するシャドーITのリスクを軽減することにつながるでしょう。

PrimeDriveは法人向けのオンラインストレージということもあり、セキュリティ対策も万全です。たとえば取引先など社外の人とファイルを共有する際には上長の承認が必要といった機能があったり、ユーザごとにアクセス可能なデバイスを制限したりといった機能も充実しています。

LINE WORKS

LINE WORKSは、使い慣れた「LINE」のレイアウトや使い勝手はそのままに、法人向けビジネスチャットアプリとして高いセキュリティを確保しています。グループでのやり取りやスタンプも、普段利用しているLINEとほとんど変わらないため、シャドーITへの対策として有効なツールです。

業務に欠かせないデータファイルやスケジュール管理などもグループ内で共有することが可能で、これまでのように個別にメールをやり取りするのではなく、より簡単で見やすく、管理しやすいシステムがLINE WORKSで実現できます。

さらに、LINE WORKSはMDMサービスと連携することにより、特定の端末のみアクセス可能にする設定もできます。これにより、なりすましによる不正アクセスのリスクを大幅に軽減でき、情報漏えいを防ぐことにも役立ちます。

シャドーITのリスクを軽減するために

シャドーITのリスクを軽減するためには、まずは従業員にシャドーITの定義とリスクについて理解してもらうことが第一です。そのうえで、会社が用意しているITツールのなかで、使いづらいと感じているITツールはないか、または不足しているITツールはないかなど、従業員が抱えている不満とニーズを汲み取ることが重要です。最適なITツールを選定することでシャドーITのリスクが軽減されるだけではなく、一層の業務効率化を図ることにもつながります。

関連サービス

PrimeDrive

PrimeDriveばクラウド上での文書・プレゼンテーション・画像・動画ファイルなどの大容量ファイル共有ができる高セキュリティの法人向けオンラインストレージサービスです。→詳細はこちら

LINE WORKS

LINE WORKSはビジネス版のLINEです。使い慣れたLINEに管理機能やセキュリティ機能を強化しま した。ビジネスシーンでも安心して使えるチャットツールです。→詳細はこちら

あわせて読みたい関連記事

◾︎サイバー攻撃から会社を守る! 手口や事例、対策を徹底解説

◾︎ITリテラシーとは_炎上や情報漏洩を未然に防ぐためには対策が必要

導入事例