シャドー IT とは? セキュリティ リスクと防止策について解説
2023 年 2 月 14 日
企業のセキュリティ リスクの 1 つにシャドー IT があります。
シャドー IT とは、企業が許可していないデバイスやシステム、クラウド サービスなどを従業員が使用することです。
セキュリティ インシデントが起こった際に、システムの管理者が原因を特定しづらいことや、セキュリティ インシデントとなり得る脅威の検知や対策ができない問題があります。
すなわち、シャドー IT は情報漏洩や不正アクセスを引き起こすリスクが高く、企業が大きな損害を被るおそれがあるのです。
企業の存続にもかかわるシャドー IT を防止するためには、どのような対策が必要なのでしょうか。
本記事では、シャドー IT によるセキュリティ リスクと防止策について解説します。
- シャドー IT の概要
1-1. シャドー IT とは
1-2. シャドー IT と BYOD の違い - シャドー IT として利用されやすいもの
- シャドー IT によるセキュリティ リスク
3-1. 情報漏洩
3-2. 社内 LAN からの感染
3-3. アカウントの乗っ取り - シャドー IT の防止策
4-1. 業務でのシャドー IT 利用の実態把握
4-2. 情報システムやソフトウェアの利用に関するガイドラインを策定
4-3. シャドー IT によるリスク教育の実施
4-4. アクセス監視の実施
4-5. シャドー IT が不要な環境を構築
4-6. ツール利用への承認フローや権限の設定
4-7. BYOD の導入 - 「Microsoft 365 Business Premium」を導入してシャドー IT でのリスク防止
5-1. Microsoft 365 Business Premium の概要
5-2. Microsoft 365 Business Premium の機能 - まとめ
1. シャドー IT の概要
1-1. シャドー IT とは
シャドー IT とは、企業で用いられている情報システムやソフトウェアのうち、従業員や各部門が独自の判断で導入および使用し、経営層や情報システム部門による把握や管理が行き届いていないものです。
近年では、新型コロナ ウイルス感染拡大や働き方改革の影響により、リモート ワークが一般化し、自宅やカフェなど会社以外の場所で業務を行う機会が増えました。
しかし、ルールの整備や適切な準備を行わないまま、リモート ワークを導入した企業も少なくありません。そのため、企業が許可していないツールやサービスを利用する従業員が増え、シャドー IT が発生しやすい状況となっています。
1-2. シャドー IT と BYOD の違い
シャドー IT と混同されやすい用語に BYOD があります。BYOD とは、企業の許可を得ている個人のデバイスを業務で使用することです。
一方シャドー IT は、企業が把握してないデバイスやツールを許可なく使用することです。
つまり両者は、企業が個人デバイスの使用を許可しており、管理できる状態であるか否かの点で大きく異なります。企業が管理できていないデバイスを使用するシャドー IT では、適切なセキュリティ対策ができません。そのため、セキュリティ インシデントが発生した場合に対応が遅れ、大きな被害を招いてしまう危険性があります。
2. シャドー IT として利用されやすいもの
シャドー IT に使われることの多いデバイスやツールについて紹介します。
- 会社で管理されていないデバイス
社員の私物であるパソコンやスマートフォン、タブレットなどの会社で管理されていないデバイスはシャドー IT として利用されやすいです。
これらのデバイスにセキュリティの脅威が潜んでいるとも知らずに、社内サーバーへのアクセスや秘密情報の閲覧などを行うと、情報漏洩が発生するおそれがあります。
私物のデバイスを使用する場合は、セキュリティ対策が十分であることを確認したうえで、会社の管理下に置かなければなりません。
ただし、私物のパソコンやスマートフォンを業務で使用していると、紛失や盗難によってセキュリティ事故につながるリスクが高まります。会社の管理下にあったとしても、社外での利用は見直すべきでしょう。 - フリー メール
フリー メールとは、導入コストがかからず無料で利用できるメール アドレスのことです。代表例として、Gmail や Yahoo メール、Microsoft Outlook などが挙げられます。
無料で簡単にメール アドレスを作成できることから、シャドー IT として利用されるケースも少なくありません。
フリー メールを利用すると、アカウントが不正アクセスされ、そこから情報漏洩につながるおそれがあります。また、フリー メールでのメール誤送信も、情報漏洩を引き起こす原因です。 - チャット ツール
チャット ツールとは、リアルタイムでのコミュニケーションが可能なツールで、LINE や Chatwork、Facebook メッセンジャーなどが代表的です。
個人でも簡単に導入でき、業務連絡や顧客とのコミュニケーションに便利なため、シャドー IT として利用されるケースが多く見られます。
また、Twitter や Instagram などの SNS のチャット機能も、チャット ツールと同様にシャドー IT となり得ます。
チャット ツールは、名前やプロフィール画像の設定を自由にできる分、なりすまし被害が起こりやすく、社内の秘密情報が外部に漏洩してしまうおそれがあります。 - クラウド ストレージ
クラウド ストレージとは、クラウド上に用意されているデータを保管、管理できる場所のことです。代表的なサービスとして Google ドライブ、Microsoft OneDrive、iCloud が挙げられます。
無料でデータの保管や格納ができるほか、社員どうしでデータの共有もしやすいため、シャドー IT として利用されがちです。
クラウド ストレージでは、社員が誤って秘密情報をクラウド上にアップデートし、公開してしまうリスクが想定されます。 - 会社契約ではないインターネット回線
会社契約ではないインターネット回線とは、従業員個人で契約している私用の回線、カフェや街中にある公衆の Wi-Fi などを指します。
昼休憩にカフェへ行ってフリー Wi-Fi を利用するなど、気軽にインターネットにつなげられる環境は、セキュリティ リスクが高いため注意しなければなりません。
たとえば、公式に展開されているフリー Wi-Fi や、だれもが知っている有名店の Wi-Fi のため安心して接続した回線が、悪意のある人間によって作られた偽物の回線であるケースが考えられます。同じ SSID を設定して本物の回線に見せかけ、ユーザーのアクセスを誘うハッキング手法です。それらの回線に接続してしまうと、ウイルス感染やアカウント乗っ取りの被害に遭う危険性があります。
3. シャドー IT によるセキュリティ リスク
シャドー IT によるセキュリティ リスクについて解説します。
3-1. 情報漏洩
シャドー IT の利用による情報漏洩は、企業の管理下にない端末の紛失や盗難が主な原因です。
また、セキュリティ対策が不十分な情報システムやソフトウェアを使用し続けると、セキュリティ上の脆弱性が発生し、不正アクセスやサイバー攻撃によって情報漏洩が起こる危険性も高まります。
企業の管理下にない端末で情報漏洩が発生した場合、原因の特定や関係機関への報告などを迅速に行うことができません。そのため、対応が遅れ、被害が拡大しやすいのです。
企業の持つ情報には、顧客や取引先など個人を特定できるような個人情報も多く含まれています。それらの情報が流出すれば、社会的信用の低下や営業機会の損失を招くほか、顧客から損害賠償を請求されるケースもあり、企業の存続にかかわる大きな損失につながるおそれがあります。
3-2. 社内 LAN からの感染
企業の管理下にない個人のデバイスをウイルスに感染したまま社内 LAN に接続した場合、社内のネットワーク全体にウイルス感染が広まってしまうおそれがあります。
そうなれば、ネットワークにつながっているすべての社内デジタル機器が感染してしまい、大規模な損害にもなりかねません。
ウイルス感染は情報漏洩や破損を招く危険性があるため、個人デバイスの利用を管理する対策が必要です。
3-3. アカウントの乗っ取り
シャドー IT でのサイバー攻撃により、企業で使用しているアカウント情報を読み取られ、アカウントを乗っ取られるおそれがあります。
アカウントが乗っ取られれば、企業のネットワークへ簡単にアクセスされてしまうため、企業の秘密情報や顧客情報の漏洩リスクが高まるでしょう。
サイバー攻撃があったとしても早急な対応ができるように、シャドー IT をなくす対策が必要です。
中小企業のサイバー セキュリティのために生まれた Microsoft Defender for Business の魅力満載
おすすめのガイドブック
Microsoft Defender for Business カタログ
Microsoft Defender for Business カタログ
4. シャドー IT の防止策
セキュリティ リスクから自社を守るためには、脆弱性をなくす対策が欠かせません。ここでは、シャドー IT の防止策を 7 つ紹介します。
4-1. 業務でのシャドー IT 利用の実態把握
まずは、従業員が利用しているシャドー IT について調査を行い、実態を把握する必要があります。もしシャドー IT が利用されていた場合、なぜ利用しているのか、なぜ利用しなければならなかったかなどをヒアリングし、今後は利用させないよう対策を講じることが重要です。
4-2. 情報システムやソフトウェアの利用に関するガイドラインを策定
利用している情報システムやソフトウェアがシャドー IT であると従業員が認識していないケースがあります。
そのため、業務で利用してよい情報システムとソフトウェアを明確にし、ガイドラインを策定して従業員へ周知することが重要です。
またガイドラインには、どうしても個人所有のデバイスを利用せざるを得ない場合の承認フローなども明記しておくとよいでしょう。
4-3. シャドー IT によるリスク教育の実施
シャドー IT の危険性について従業員に教育を行いましょう。
シャドー IT が会社にどのような影響を及ぼすおそれがあるのかを理解できれば、従業員のシャドー IT に対する意識が変わるはずです。
また、シャドー IT の利用で問題が発生した場合、従業員自身が責任を負うことを納得してもらうことで、シャドー IT 利用の抑止につながります。
4-4. アクセス監視の実施
従業員の業務中の動きを監視するソフトウェアを導入することで、シャドー IT の利用を抑止すると共に、万が一セキュリティ インシデントが発生した際にアクセス ログから感染経路を特定できるようになります。
ただし、アクセス監視ではシャドー IT 利用のリスクは軽減できても、完全になくすことはできません。そこで、企業管理が行き届かないところへのアクセスを制限するなど、アクセス権限の付与を行うことも 1 つの手段です。
4-5. シャドー IT が不要な環境を構築
従業員がシャドー IT を利用する大きな理由は、作業の生産性や業務効率が上がることです。
そのため、シャドー IT が不要になるように、企業がセキュリティ対策のなされた便利な情報システムやソフトウェアを用意するとよいでしょう。
また、従業員が必要だと思っているものや不便と感じているものについて、定期的にヒアリングを行うことも重要です。
4-6. ツール利用への承認フローや権限の設定
シャドー IT に限らず、情報システムやソフトウェア導入する際の承認フローを作成し、システム管理者の承認がなければ導入できないしくみをつくることが有効です。
また、ツールの利用について権限を設定することも、シャドー IT の防止策として積極的に検討すべきです。
4-7. BYOD の導入
多くの企業では、従業員がどのようなデバイスをどのように利用しているかを把握できていません。そして、企業の仕事環境で使い勝手が悪いことがあるために、従業員が便利だと感じるシャドー IT を利用してしまいます。
そこで、しっかりとセキュリティ対策を講じたうえで、企業の管理下にあるデバイスを利用させる BYOD を導入することが、シャドー IT 対策として有効です。
5. 「Microsoft 365 Business Premium」を導入してシャドー IT でのリスク防止
Microsoft 365 Business Premium の概要と機能について紹介します。
5-1. Microsoft 365 Business Premium の概要
Microsoft 365 Business Premium とは、アクセス制御やファイルの暗号化など、中堅/中小企業向けのセキュリティ機能を備えたプランです。
5-2. Microsoft 365 Business Premium の機能
【Microsoft Intune】
Intune は、モバイル デバイス管理やモバイル アプリケーション管理をクラウドベースで統合管理し、デバイス管理の観点でシャドー IT 対策が可能です。
- デバイスの管理
Intune にデバイス登録を行うことで、だれがどのデバイスを利用しているのかを把握できます。
また、登録デバイスに対してパスワード設定要件などのルールの設定ができるため、セキュリティ対策としても有効です。 - アプリケーションの管理
Intune に登録しているデバイスに対し、インストールできるアプリや使用できるアプリを設定できます。
【Microsoft Defender for Cloud Apps】
(画像出典: Microsoft Defender for Cloud Apps の Web ページ)
Microsoft Defender for Cloud Apps は、SaaS アプリとクラウド サービスの全体監視を実現し、アプリケーションの観点でシャドー IT 対策が可能です。
- シャドー IT の検出
Microsoft Defender for Cloud Apps には、企業や組織内で利用しているクラウド アプリを自動的に検出、分析する機能が備わっています。また、検出したクラウド アプリに対し、クラウド アプリ カタログを用いてリスク レベルを算出します。
クラウド アプリ カタログとは 16,000 以上のクラウド アプリについて 80 項目以上のリスク要因を基に評価したカタログのことです。企業のシャドー IT となるクラウド アプリを可視化し、リスクの高いアプリを月次レポートにより報告します。 - データ セキュリティの強化
Microsoft Office 365 に監視ルールを設定することで、情報を保護できます。
また情報の利用ログを監視、制御して、監視ルールの情報の機密性重要度によってエスカレーションや月次レポートへ反映します。 - セキュリティ脅威の防御
常にユーザーのアプリ利用などのアクティビティを監視、制御できます。そして、通常行動とは大きく外れるなど、脅威となりうる動きの検知が可能です。
危険性の高い動きを分析し、自動的に修復を行うことでセキュリティを保護します。 - コンプライアンスの強化
Microsoft Defender for Cloud Apps に格納された大量のデータを月次レポートとして作成します。
また、コンプライアンス要件を満たしているかを評価し、再発防止策を知らせるサービスがあるため、データ セキュリティの強化に加え、企業のコンプライアンス強化にもつながります。
6. まとめ
企業の規模が大きくなればなるほど、シャドー IT を防止するのは困難です。そのため、従業員に対してシャドー IT の危険性に関する教育を行ったうえで、適切なセキュリティ対策を取る必要があります。
しかし、教育の実施やセキュリティ対策を行っても、シャドー IT が完全になくなる保証はありません。そこで、企業のリスクとしてシャドー IT を発見した場合の対応策を検討しましょう。
セキュリティ リスク防止に最も有効と言えるのが、セキュリティ対策ツールの導入です。
Microsoft 社が提供している Microsoft 365 Business Premium は、信頼性が高く、シャドー IT から企業を守るためのさまざまな機能を備えています。セキュリティ リスクを最小限に抑えるために、ぜひ導入を検討してみてはいかがでしょうか。
リモートワーク・ハイブリッドワークに適した環境設置のために
リモートワーク・テレワーク・在宅勤務環境を安全・快適に実現するためには、「セキュリティの確保」「Web 会議のためのデバイス選択」「グループワークのためのアプリケーション」など検討する課題も多く、またこれらを潤沢な資金で準備するのではなくコスト削減につなげることが大切です。
これらの達成のための Microsoft 365、Excel の使い方や、リモートワーク・ハイブリッドワーク環境を充実させるために以下の記事が参考になります。
- Microsoft 365・Excel: Microsoft 365 から、Excel の使い方など生産性を向上させるコラム
- Teams・Web 会議: Microsoft Teams を始め、Web 会議をワンランクアップさせるコラム
- リモートワーク・テレワーク: リモートワークやテレワークなど、新しい働き方のお役立ちコラム
中小企業のサイバー セキュリティのために生まれた Microsoft Defender for Business の魅力満載
Microsoft Defender for Business カタログ
Windows を知り尽くしたセキュリティ ツール
ご購入検討の問い合わせ先
Web フォームで購入相談
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。