情報流出の危険もある…気をつけたい状況「シャドーIT」とは?
昨今のセキュリティ事故の多発を受け、各企業とも情報セキュリティの強化に力を入れています。また、企業に務める社員も当然ながら、セキュリティの重要性を認識し、セキュリティインシデントを起こさないように努力しているはずです。しかし、こうした状況の中で、最近「シャドーIT」と呼ばれるセキュリティリスクが問題視されるようになってきました。シャドーITとはどういったセキュリティリスクで、なぜ今問題視されるようになってきたのでしょうか。
今回は、シャドーITについてその危険性や原因と対策についてご紹介したいと思います。
シャドーITとは何か
シャドーITとは文字通り「隠れたIT」です。
通常、企業には情報資産やその運用を管理する情報管理部門が存在し、全社の情報資産を把握して運用を監視し、セキュリティリスクを低減するよう日々努力をしています。
しかし、もし、こうした情報管理部門が把握していない情報資産や情報システムの利用があったとしたらどうでしょう?企業が自社内で管理できないIT活動は、大きなセキュリティリスクになるのは間違いありません。こうした、隠れたIT活動のことを「シャドーIT」と呼びます。
具体的には、社員が所有している自分のスマートフォンやノートパソコンを無許可で業務に使用したり、社外のさまざまなITサービスを無断で業務に使用したりする行為がシャドーITに該当します。
シャドーITの危険性
シャドーITの危険性の根源は「管理されていない」ことです。企業はこれまでのセキュリティインシデントの事例からさまざまなことを学び、どうすればセキュリティインシデントが発生しないかを研究して情報資産の運用を管理しています。つまり、企業が行う情報資産の管理にはきちんとした理由があり、それに従っていれば、セキュリティリスクを大きく減らすことができるわけです。
ところが、シャドーITの場合はこうしたセキュリティ管理の外にあるため、あらゆるセキュリティリスクがそのまま降り掛かってしまいます。 たとえば、自宅で仕事の続きをするために、社員が自分のスマートフォンに重要なデータをコピーして持ち帰ったとしたらどうでしょうか。会社が管理するデバイスなら、いつ、誰が、どのデータを何の目的で持ち出したのか、廃棄はきちんとなされたのか、すべて管理されています。 しかし、個人のスマートフォンはこの範囲外です。会社側は何も知らず、整備されたセキュリティ管理外で重要なデータが扱われることになってしまいます。 もし、このスマートフォンを紛失したとしたらどうでしょう。会社のルールでは重要ファイルを持ち出すときは必ず暗号化してパスワードをかけること、となっていたとしても個人のスマートフォンのデータにこのルールは適用されていないことでしょう。たちまち、重要データが漏洩する危険にさらされるわけです。
また、クラウドサービスのひとつであるオンラインストレージサービスを、無許可で使用したとしたらどうでしょうか。たとえば、顧客にファイルを渡すためにとりあえず置いて、後で客先でダウンロードしようとしたとした場合で、誤ってファイルの参照権限を不特定多数に設定してしまったとしたら…?顧客にとって秘密にしたいデータが、たちまちインターネット上にさらされることになります。
シャドーITには、このように、セキュリティリスクを回避するための施策がまったく適用されないことに、大きな問題があるのです。
シャドーITの原因
それでは、シャドーITが引き起こされる原因は何でしょうか。社員は悪意を持って自分のスマートフォンに機密データを移して自宅に持ち帰っているのでしょうか。
先ほどの例ではそうではありません。社員の目的は、自宅で仕事の続きをしたかったということです。オンラインストレージに顧客のデータを置いた事例も、悪意はありません。ただ、便利だからそうしたわけです。
このように、シャドーITの根本的な原因は、「社内の情報運用が自分の業務にとって不便」であることです。したがって、状況の改善策を打たずに一方的に禁止しても、社員は別の「便利な」抜け道を見つけて、「良くないとわかっていても便利だからつい」使ってしまうことでしょう。
企業が取り組めるシャドーIT対策
原因のところでも説明しましたが、シャドーITはその企業の情報運用が不便であるから起きるわけです。したがって、シャドーITの対策としては、シャドーITが不要なくらい業務上の不便が起きないよう、情報運用を整備することが有効です。
たとえば、自宅で業務の続きをしたいというニーズには、社内の共有サーバにしっかりとしたセキュリティガードをかけてから社員が自宅からアクセスできるよう整備すれば良いわけです。社内にきちんと社外からアクセスできるファイルサーバがあれば、社員もリスクを犯してまで自分のスマートフォンを利用しないでしょう。このファイルサーバを使えば、次の事例である客先にデータを持っていくためにオンラインストレージを使用した事例も防ぐことができます。
このように、シャドーITを防ぐためには、まず社員にヒアリングを行い、業務上不便な情報運用がないかを確認し、あればそれを便利に変えていくことが重要です。 自社のシャドーITが心配な情報管理部門の方は、一度全社でヒアリングを行うところから始めてみてはいかがでしょうか。