企業や組織において、IT部門などの許可なしに、従業員が個人で所有・利用している機器やソフトウエア・外部サービスのこと
無許可のツールや機器を利用することから、情報漏えいにつながるリスクも
シャドーITとは、企業のIT部門やシステム管理者が公式に許可や管理をしていないデバイスやアプリケーション、外部サービスを指します。具体例として、会社のパソコンやスマホなどから個人で所有・利用するオンラインストレージサービスやメールサービス、許可を得ずに会社の情報をコピーしたUSBメモリーなどがあげられます。
シャドーITには、情報漏えいや不正アクセスなどのセキュリティリスクがあります。社内のIT環境が複雑化し、トラブルの発生時に迅速な対応が難しくなるだけでなく、責任の所在が分からなくなる可能性もあります。テレワークの普及により、オフィス以外の場所で業務ができる機会が増えたことでシャドーITの利用を把握することが難しくなっています。これらのリスクへの対策として、従業員の業務ニーズを把握し、対策が施された適切な代替手段を提供することが重要です。また、シャドーITを検知できる仕組み作りや従業員向けのセキュリティリテラシー教育も必要となります。
ソフトバンクは、パソコンやスマホなどのデジタルデバイスやシステムから集まるログデータを監視し、セキュリティソリューションを活用してインシデント発生防止に努めているほか、従業員に対して高いセキュリティ意識を根付かせるための教育を定期的に実施するなど、社内のセキュリティ強化に取り組んでいます。
シャドーITに関連する情報
(掲載日:2024年12月3日)
文:ソフトバンクニュース編集部