DX技術用語辞典

by Arsaga Partners

シャドーIT

読み方: シャドーアイティー

シャドーITとは

シャドーITは、一種のセキュリティリスクであり、企業・組織において、管理部門の許可が降りていない情報システムやソフトウェア、クラウドサービスを利用することを指します。

■具体例(一部)

・利用が許可されていないチャットツールやフリーメールサービスの利用

・個人用パソコンやスマートフォンなどのモバイル端末の業務利用

・利用が許可されていないクラウドサービスの利用

・フリーWi-Fiなど外部のネットワークに接続した業務用パソコンの利用

シャドーITが発生する原因

■社内ツールやシステムが不便だと思われている

社内のツールやシステムが使いづらいと、違うものを使いたいと考える従業員が出てくる可能性があります。特に無料で使いやすいツールを知っている場合、業務効率化のために未承認のサービスを使ってしまうこともあります。

■情報セキュリティ部門への利用申請が煩雑になっている

シャドーITを防ぐためのルールが策定されている企業でも、承認手続きが煩雑だと「面倒だし時間がかかるから」と、気軽な気持ちで私物の端末や承認されていないサービスなどを使ってしまう可能性があります。

■テレワークで管理が難しい状況にある

テレワーク時のシャドーITは、発覚しづらく、常態化しかねないという問題があります。承認されていない端末やシステムを使うことへの抵抗が薄くなってしまい、大きなトラブルを招く可能性もあります。

シャドーITによるセキュリティリスク

情報漏洩

シャドーITは、企業側が管理していないITツールを使って業務を行ってしまっている状態であるため、企業として情報セキュリティ管理を行うことができず、対策が甘くなってしまうことがあります。

例えば業務上必要なデータを個人向けのクラウドサービスに入れて、自宅で仕事を進めようとした場合、セキュリティが脆弱なクラウドサービスが悪意のある第三者によって攻撃され、企業の大切な情報が流出してしまうことが考えられます。

不正アクセス

前述した情報の流出によって、悪意のある第三者にIDやパスワードといったログイン情報が盗まれてしまうと、不正アクセスの被害に遭うリスクがあります。

無駄なコストの発生

特に注意すべきなのは、「退職者アカウントの削除漏れ」です。会社が許可しているサービスであっても、退職者アカウントが残っている状況は広い意味でシャドーITに該当します。退職者アカウントが残り続けているだけで、そのアカウント分の費用が請求され、無駄なコストの発生原因になります。

LANへの侵入

個人用のパソコンやスマートフォンは業務用に企業が用意しているデバイスと比べてセキュリティが甘く、マルウェア(悪意のあるソフトウェア)への感染の可能性が高くなってしまいます。そのため、管理外のデバイス(私物)を企業内の無線LANなどに接続した際、ネットワーク全体が脅威にさらされるリスクがあります。

アカウントの乗っ取り

シャドーITでは情報セキュリティ対策が甘く、IDやパスワードが漏れてしまう可能性があるため、アカウントを乗っ取られるリスクがあります。

■コンプライアンス上の問題

シャドーITは、様々な規則や法律に違反するリスクがあるため、企業は罰金や訴訟、風評被害などのリスクを負うことになります。

シャドーITの対策

業務に必要なツールは事前に導入する

社内勤務やテレワークに関わらず、業務で利用するITデバイスやサービスについては、使いやすく効率的な環境を企業として作ることが大切です。現在の環境で問題なく業務が進められているか、定期的に現場から意見を吸い上げ、必要なものはあらかじめ導入することで、シャドーITが発生する可能性を減らすことができます。

■ガイドラインを設ける

業務環境を整えた上で、私物や無料サービスの業務利用に対するガイドラインを作ることは有効な対策です。新しくツールやデバイスを導入したい場合の申請手順を取り決めたり、新入社員への教育を体系化したりすることで、ルールがあいまいになってしまう状況を防げます。

■アクセス監視を行う

アクセス監視用のツールを導入すれば、クラウドサービスにどんなデータがアップロード・ダウンロードされたか、どの端末からアクセスがあったかを監視し、不審な動きに対応できます。

■シャドーITの危険性を教育する

シャドーITは悪意なく行われるケースが多いため、従業員に対してシャドーITのリスクと、具体的にどのような行為がシャドーITに該当するのかを教育することで、一定の効果が出る可能性があります。

現場の声

既に導入されているツールで現場のニーズを吸収出来ない時、抜け道的な方法でシャドーIT化することがよくあります。IT管理部門と現場との認識のギャップにより発生するシャドーITですが、情報流出等のリスクはありつつも必ずしも悪いものでもなく正しくそのニーズを認識出来れば大幅に業務を効率化したり新しいソリューションを生み出すチャンスでもあるためそのニーズの本当の原因を理解することが重要だと思っています。

<執筆・監修>

アルサーガパートナーズ株式会社 DX技術用語集制作チーム

(2023年7月時点)

制作・監修

アルサーガパートナーズ
DX技術用語辞典 制作チーム

当社は、営業部隊を持たないDX開発パートナースタジオです。

お問い合わせはこちら

当ウェブサイトでは、お客様の利便性の向上およびサービスの品質維持・向上を目的として、クッキーを利用しています。クッキーの利用にご同意いただける場合は、「同意する」ボタンを押してください。詳細につきましては、プライバシーポリシーをご確認ください。