シャドーITについて紹介

業務パソコンを効率化しようと、プライベートで使用しているパソコンと同じツールを使用したいと思ったことはありませんか？

使用したいツールが会社で許可していたものであれば問題はありません。

しかし、会社の許可を得ていないフリーソフトやツールを業務パソコンで使用することはNGです。

この様な行為はシャドーITと呼ばれ、セキュリティリスクになります。

シャドーITとは、企業（会社）の情報管理している部門が許可していないツールやデバイスを従業員が使用する行為を指します。

企業が許可していないツールやデバイスを使用することで、適切な管理ができずに情報漏洩やウイルス感染するといったリスクが発生します。

シャドーITとして発生しやすい事例について紹介します。

これらのツール、デバイスは潜在的に情報漏洩が発生するリスクがあります。

企業独自のドメインで使用しているメールアドレスは問題ありませんが、昨今は個人で簡単に無料メールアドレスが作成できます。

※GmailやYahoo！メール等

個人のパソコンやスマートフォン等で共有して使用できますので、機密情報等が外部に漏れる可能性があります。

便利なツールとして無料公開されているフリーソフトは多岐に渡って存在します。

ですが、該当ツールの脆弱性を利用し、外部から不正アクセスされたり、ウイルス感染といった問題が起こる可能性があります。

会社で許可を得ていないソフトを使用することで上記のような思わぬ被害が発生する危険があります。

私物のパソコンやスマートフォン、タブレットが該当します。

十分なセキュリティ対策が実施されていない状態で社内サーバ等にアクセスすることで機密情報等が漏洩する危険があります。

業務で使用する必要がある場合は、必ず会社の管理下でセキュリティ対策を実施することが必要です。

他には盗難や紛失の可能性もありますので、基本的には会社内のみで利用するべきで、社外持ち出しは避けるべきです。

シャドーITは従業員も気づかない間に手を出してしまっている可能性が高いです。

未然に防ぐためには、企業（情報管理部）で下記のような対策を取る必要があります。

企業の情報管理部門は、従業員に対しセキュリティリスクについて教育を実施する必要があります。

情報漏洩、ウイルス感染、乗っ取り等が発生した際の企業・個人が受ける被害について理解が必要です。

どのような影響を受けるか理解することができれば、セキュリティリスクに対しての意識が変わるはずです。

従業員は何がシャドーITに該当するか分からない状況です。

企業側が予め業務で使用して問題が無いシステム、ソフトウェアを明確にして、ガイドラインを策定する必要があります。

ガイドラインを従業員に周知させて、理解してもらいます。

従業員が使用するデバイスに対して、アクセス監視が必要です。

従業員に貸与しているデバイスで許可していないソフトをインストールしていないかチェックや、社内の機密情報があるサーバ等に許可していないデバイスのアクセスが無いか確認ができる体制が必要です。

BYODとはBring Your Own Deviceの頭文字を取った用語で、個人のデバイスを持ち込むという意味になります。

これは企業が貸与する端末では無く、仕事で個人のデバイス（パソコン、スマートフォン等）の利用を許可する仕組みです。

予め企業側が個人のデバイス利用に関してセキュリティチェックを行い、問題無いと判断されたデバイスはシャドーITに該当しません。

しかし、企業が把握している以上の用途で利用した場合はシャドーITに該当しますので、注意は必要です。