日本企業をひそかに襲う「シャドーIT」の脅威:新連載・“シャドーIT”との向き合い方
「シャドーIT」いう言葉を聞いたことはあるだろうか。その意味は、企業内で許可されていないデバイスや各種クラウドサービスなどを“仕事で勝手に使う”ことを指す。Dropboxなどのクラウドサービスやスマートフォン/タブレットの普及とともに、そのリスクを表現する言葉として最近よく用いられている。
| 連載「“シャドーIT”との向き合い方」目次 | |
|---|---|
| 第1回 | 日本企業をひそかに襲う「シャドーIT」の脅威 |
| 第2回 | 勝手ツールが企業にもたらす“悲劇” |
| 第3回予定 | 自社に潜むシャドーITを見つけるポイント |
| 第4回予定 | 企業がリスクを避けるためにできること |
シャドーITというと和製英語かと思われるかもしないが、実はれっきとした英語(Shadow IT)である。また、個人所有デバイスを業務利用する「BYOD」(Bring Your Own Device)と混同されることもあるが、シャドーITは対象がデバイスに限らず、「会社で承認されていない」という点がBYODとは異なる。
個人が使い慣れたデバイス/サービスを企業でも取り入れようとする「コンシューマライゼーション」の流れや、ワークスタイルの多様化などを背景に、企業におけるシャドーITは年々広がっている。では、シャドーITは具体的にどのようなリスクをもたらし、企業はそれにどう対策すればいいのだろうか。
本連載では「総論」「事例」「対策」の流れで、日本企業に求められるシャドーITとの向き合い方を考えていきたい。今回はまず、シャドーITがもたらす3つの代表的な脅威を紹介しよう。
ケース1 会社に持ち込んでいないから大丈夫かと思いきや……
自宅に仕事を持ち帰りたいと考え、クラウドストレージサービスやメールを使って自宅PCに業務ファイルを送った経験のある人は多いだろう。しかしこの際、自宅PCがデータを外部に漏えいさせるマルウェアなどに感染していると、仕事のファイルが悪意ある第三者の手にわたってしまう恐れがある。
私物端末は会社支給の端末に比べてセキュリティレベルが低いことが多いため、その分マルウェアなどに感染する可能性も高い。このケースだと、私物端末を会社内に持ち込んでいるわけではないので一見すると気付きにくいが、これも十分シャドーITのリスクの1つと言える。
ケース2 私物スマートデバイスに業務情報を入れていたら……
会社の資料データやメールを私物スマートデバイスで閲覧/保存した後、端末自体を紛失してしまうケースもある。こうして紛失した端末を悪意のある第三者が手にした場合、内部のデータを悪用したり、面白がって掲示板サイトなどに掲載してしまう恐れがある。
会社支給のスマートデバイスの場合、MDM(モバイルデバイス管理)ソフトを導入していたり、遠隔から端末ロックや内部データ消去を行える「リモートワイプ」「リモートロック」機能を備えているのが一般的だ。しかし個人所有デバイスの場合、追加サービスを申し込んでいなければ遠隔から内部データへのアクセスを遮断できないことも多く、紛失時のリスクははるかに高いと言える。
こうして流出してしまった情報が機密情報だった場合、その企業の経営戦略に多大なダメージをおよぼすことは避けられない。さらに、流出したのが顧客などの個人情報だった場合は、謝罪や損害賠償に発展することもあり得る。
ケース3 LAN経由で業務ファイルをごっそり持ち出し
多少ITの知識がある社員なら、社内に自ら持ち込んだ無線アクセスポイントを会社の有線LANに接続し、そこに私物のPCやスマートデバイスを接続して社内の営業情報、製品情報などのファイルをごっそり持っていくこともあり得る。
普通に勤務している社員がこんなことをする可能性は少ないと思うかもしれないが、例えば、退職前の社員がこうしたことを行う可能性がある。これは非常に悪質で、企業にとっての実害もかなり大きいと言えるだろう。
読者の中には「うちの会社や社員に限ってそんなこと……」と考えている人もいると思うが、見えないところでシャドーITは確実に広まっている。デジタルアーツが2013年10月にビジネスパーソン向けに実施した調査では、クラウドストレージなどのファイル共有サービスを使っている人は全体の30.8%で、そのうち38.3%は仕事で利用しているという結果も出ている。
利用しているサービスで最も多かったのはDropbox(29.0%)で、次がYahoo!ボックス(24.9%)だった。一方、会社が用意したストレージサービスを利用している人は全体の16.8%しかおらず、個人向けサービスに押されて5番目というのが実態だ。さらに、業務データファイルを外部に持ち出した経験がある人の中で、「転職の際に持ち出した」という人は26.2%もいた。
これらの数字をどう捉えるかは人それぞれだが、企業のIT管理者が「把握していない」「対策できていない」うちにリスクが広まっているのは事実。シャドーIT問題は、どの企業にとっても決して“対岸の火事”ではないのである。
今回は、シャドーITが企業にもたらす代表的な脅威について紹介した。次回は実際の事例を交えながら、より踏み込んでシャドーITのリスクを解説しよう。
関連記事
クラウド上の業務ファイルが突然消失……広がる波紋と「シャドーIT」問題
退職者が所有権を持っていたクラウド上の業務ファイルが全て消えてしまった――そんな“事件”がネットを騒がせている。社内でのクラウドストレージ利用にまつわる問題について考えてみたい。Googleグループに残る「非公開のつもり」のメーリングリスト 公開範囲設定に注意を
Googleグループで環境省の機密情報が公開されていた問題がクローズアップされているが、公開を意図していないとみられる情報が今も公開されたまま残っている。公開範囲を狭める方法は。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PRITmediaはアイティメディア株式会社の登録商標です。