テレワークの導入が増えてきた現代社会、そうでなくても問題視していたシャドーITがより深刻になっている企業は多いのでは無いでしょうか。
働く場所を選ばないからこそ、個人のスマートフォンやノートパソコンを使って作業をする人が増えてきています。
会社が把握していない場所でのこうした個人のデバイスや、会社が許可していない独自ツールの利用によって発生するリスクと、その対策についてご紹介していきたいと思います。
シャドーITとは
シャドーITとは、企業や組織側が把握せずに、従業員や各部門が独自に業務で利用しているデバイスやクラウドサービスといったITを指します。
本来情報管理の為のシステムは管理者で適切に管理する必要があります。
しかし近年、従業員が容易に個人所有の情報機器や外部のwebサービスやネットワークを利用出来る状況が広まり、独自に業務に導入してしまう事があります。
管理者が把握出来ない分、情報流出やサイバー攻撃のリスクは大きくなります。
こうした観点から、シャドーIT対策が重要視されています。
「BYOD」とは似て非なるもの
BYODとシャドーITは異なり、BYODの場合は会社がルールを設けて状況を把握しています。
BYODを導入する事で、従業員は端末を複数持つ必要が無く、情報管理を1本化する事で業務能率も上がります。
会社側としては端末の支給が不要になるのでコスト削減も図れます。
シャドーITとの大きな違いは、会社が個人の携帯やノートパソコンを利用する事を認めているかどうかという部分です。
BYODは会社で把握している分、適切なアクセス制限等を行う事が出来ます。
端末の紛失等の際にリモート操作で端末の情報を削除したり、端末のロックを行ったりする事で情報漏えいを防ぐことが出来ます。
しかし、会社が把握していないシャドーITでは、当然こうした制限は行えません。
シャドーITの例
シャドーITはなぜリスクが高いと言われているのでしょうか。
以下の項目では、シャドーITの利用によってどんなリスクが発生するかをより詳しくご紹介いたします。
どのような状況において、どのような問題が発生し得るのかを把握することで、トラブルを事前に回避することができますので、ぜひご参考ください。
無断で個人デバイスを使用
シャドーITの例として最も多いのは、無断で個人のデバイスを利用することです。
個人が独自に使用しているデバイスは、BYODと異なり会社が把握していません。
当然、自身が全くセキュリティ対策をしていなければ、情報漏えいのリスクが上がってしまいます。
顧客情報の入ったノートパソコンやスマートフォンを紛失した場合、何もロックをかけていない状態であれば、容易に見られてしまいます。
社内外の人とルール外の手段で連絡
続いては、プライベートで利用しているチャット機能を使って業務連絡を行ってしまうシャドーITのケースです。
連絡だけなら問題無いのではないかと考えられますが、近年ビデオ通話機能に第三者が介入出来てしまうといった事故も発生しています。
シャドーITを利用し、業務に関する打ち合わせ等を行っていれば、当然その場でやり取りした重要な情報が外部に漏れてしまう危険性は回避出来ません。
また、個人のLINEやメール等を利用するという事は、社外の全く無関係な人間に会社の情報を誤送信してしまうリスクも背負います。
些細な事と思われがちですが、こうしたシャドーITにもリスクが潜んでいます。
セキュリティが不十分な環境での作業
会社以外の場所での業務を行うことも、思わぬリスクが潜んでいます。
こちらもBYODの様にルールが定められていれば、周囲に不特定多数の人間が居る様なカフェやレストランを利用しないと制限出来ます。
ですが、シャドーITは個人が勝手に行ってしまうため、フリーWi-Fiのあるカフェスペース等で作業をする可能性があります。
近年SNSで話題になった中にも、テレワークの導入に伴い近所のカフェに仕事を持ち込み、周囲に人が居るにも関わらず顧客情報を口頭で漏らしてしまうという例があります。
そうで無くても、画面を盗み見る事は容易です。
また、セキュリティが万全で無いネットワーク環境での作業は、ウィルス感染によるデータの損失や漏えいに繋がる危険性も隣り合わせです。
シャドーITの中でも大きなリスクと言えます。
シャドーITのリスク
シャドーITの最大のリスクは「セキュリティリスク」です。
セキュリティ対策を十分に行わずに、様々なソフトウェアを無断で利用してしまうと、そこからの情報漏えい、ウイルス感染や不正アクセスといったトラブルを引き起こしてしまう可能性があります。
また、許可されていない端末を業務で使用した場合、紛失・盗難により重要な情報が漏れてしまう危険もあります。
これらの問題が発生してしまうと、会社の信用問題に関わり、多大な損失を生むことになるでしょう。
これらのことから、シャドーITは決して黙認せず、適切な管理・対策を行う必要があります。
シャドーITを減らすには?
シャドーITが企業の信用を脅かす物である事は、セキュリティ面のリスクから読み取れるかと思います。
そのため、このシャドーIT対策は必須と言えるでしょう。
ただ単に禁止してしまうのでは無く、代替え案としてBYOD化を推進していくのも、シャドーITを減らす為の対策の1つとなります。
ここからは、シャドーITを減らす為の具体例をご紹介していきます。
ルールや条件を定める
ルールや条件を定め、BYODとして取り入れる事でシャドーITを防止出来ます。
先ずは社員が個人で使う携帯やノートPCを利用する場合には、一定のルールや条件を明確に定めます。
携帯に情報を入れる場合は、紛失時に位置を検索できるようにし、遠隔でロックするなどの対策を万全にしておきます。
そして、実際に作業を行う場合は周囲の環境に配慮することも重要です。
不特定多数の人間が集まりやすい環境や、セキュリティが不十分なネットワークを利用して作業を禁止するというルールを設けます。
作業を行う際は、自宅や信頼出来る施設内、さらに周囲から画面を盗み見られない場所での作業のみ可能にすると良いでしょう。
また、近年では、ビデオ会議中に第三者が割り込んで参加してきたといったトラブルが話題になりました。
会社の大事な情報のやり取りを盗み聞きされてしまう可能性がありますので、ビデオ会議ツールを導入する前にしっかりとセキュリティ面を確認する必要があります。
なるべくコストを削減したい場合は、無料でありながらGoogleの協力なインフラ上で構築されている「Google Meet」がおすすめです。
会議URLへのハッキング対策が施されており、万が一他人が会議に参加できたとしても、ホスト側が直ぐに退出させる事が出来るため、悪質な乗っ取りを防ぐ事が可能です。
リスクのある行為は禁止する
上記の様なルールは勿論ですが、日頃からリスクのある行動を禁止していくのも重要です。
- 社外で業務に関わる発言を控える
- 業務連絡を個人端末で行わない
- 自宅以外での作業を禁止する
- 業務用の端末を第三者に操作させない
このようなルールを設けることで、情報漏えいを防ぐことができます。
実際には、シャドーITによってメールの誤送信や、USB紛失による個人情報の流失事件が発生しています。
また、セキュリティ対策がされておらず、なおかつ複数サイトで同じパスワードを利用する事で「パスワードリスト攻撃」の被害を受ける可能性もあります。
シャドーITのリスクについて伝える
シャドーITの防止策としては、禁止事項を設定するだけでは無く、シャドーITの危険性やリスクについてもしっかりと把握してもらう必要があります。
その為にはBYODの導入による対策は勿論必須ですが、シャドーITのリスクについて社員の教育も大切なポイントとなります。
実際の事故事例を社員全員で把握しておくことで、リスクのイメージが付きやすくなります。
情報漏えいが発生した場合、会社の信用が低下するのはもちろんですが、個人に対して損害の責任問題に発展することもあります。
そのため、社員の1人ひとりにシャドーITはリスクが大きい行為であると意識させることが重要です。
こうした研修を定期的に実施し、社内情報の取扱いについてルールを可視化できるようにしておくことで、トラブルを未然に回避できます。
まとめ
個人で利用出来るツールが多くなってきた現代社会において、便利さゆえにシャドーITをする人が増えています。
ただ単に禁止するのでは無く、リスクを伝え、導入が可能な物ならBYODを導入し、効率を図りつつ社員と向き合って行く事でリスク回避は可能です。
その為には情シス担当がシャドーITについてのリスクを把握し、どの様に代替え案を発信していくかが重要となっていきます。
こだまシステムでは、情報漏えいのリスクやテレワーク導入のためのセキュリティ対策をサポートしております。
各端末の操作ログを取得する事で、デバイスが適切に利用されているか把握する事も可能です。
セキュリティ対策と業務効率化の両方を実現させたい場合には、ぜひご相談ください。