「シャドーIT」、以下にも危険そうな言葉ですね。
「テレワークの拡大に伴い、シャドーITが広まっている」、なんて事を耳にしますが、今回はこのシャドーITの危険性と対策に関して解説します!
シャドーITとは?
シャドーITとは、企業が管理していないパソコンやスマホ、タブレットなどのデバイス、その他パソコン上のITツールやクラウド上のWebサービスなどを使って、会社の業務を行うことです。
ポイントは「企業が従業員のIT利用を管理していない」ということです。
これが具体的にどう危険なのかはこの後、解説するとして、具体的にはどんなことがシャドーITになるかを以下に上げてみます。
- プライベートの携帯端末やPCで業務を行う
- プライベートのメールアドレスで業務を行う
- 会社のデータをUSBメモリなどに保存し、自宅のPCで開く
- 会社として契約していないファイル共有サービスを使って業務データをアップロードしたりする
- 会社のPCやスマホでお店などのFreeWiFiを使う
普通によくありそうなことかと思いますが、全てシャドーITになり、危険性を伴ってます。
では、続いてシャドーITの危険性を理解しましょう。
シャドーITの危険性
シャドーITは会社が管理、想定できない様々なセキュリティリスクを生じる危険性を持っています。
プライベートの端末で会社のデータを扱っていたら、知らない間に端末がマルウェアに感染し、そのマルウェアが会社のデータを裏でアップロードしてしまうなんてことがあります。
会社が管理していないファイル共有サービスに会社のデータを共有していたら、閲覧権限がフリーになっていて、誰でもリンク先を知っていればそのファイルにアクセス出来てしまう状態だった、なんてこともあり得ます。
つまり、シャドーITを使っていると、自分が悪気が無くても、知らない間にリスクに侵されている可能性が高くなってしまいます。
シャドーITの対策
では、シャドーITの有効な対策とは何になるのでしょうか?
単純に会社のデータをプライベートな端末やサービスを使って扱えなくすれば良いと思いますが、そのために、この製品を導入すれば良いとか、この設定をすれば良いとか、システムの仕組みでカバーするだけでは効果的な対策とは言えません。
なぜなら、ガチガチに制約を掛けてしまうと、業務効率が低下してしまう可能性が高くなってしまうからです。
とはいえ、制約を無しにしてしまうと、セキュリティリスクが高いので、制約を程よく設定してあげる必要があります。これにより「シャドーITの軽減」を実現できます。
そして、シャドーITのリスクを軽減するためには、会社が従業員にそのリスクを理解してもらい、不足しているITツールや環境が無いかなどをヒアリングし、現状の不満やニーズを汲み取ることが大事です。
その上で、プライベートな端末の一部利用を申請によって許可したりすることで、会社も利用者の状況を把握でき、利用者もリスクの認識をもって、プライベート端末を使うようになり、セキュリティリスクが減ります。この場合、プライベート端末利用はシャドーITでは無くなってますね。
まとめ
今回はシャドーITに関して解説しました。
- シャドーITとは「企業が従業員のIT利用を管理していない」こと
- シャドーITは自分が悪気が無くても、知らない間にリスクに侵されている危険性がある
- IT利用の制約の掛け方によってシャドーIT対策を実現できる
個人的にシャドーITはやってしまうことがあるのですが、やはり万が一会社に損害を与えてしまった時のリスクをイメージすることで、シャドーITへの抑止力になると思います。
昔は家で仕事をするために、色々な手段でやっていましたが、最近はテレワークの環境も充実してきているので、シャドーITのリスクは減っていそうですが、逆に色々できてしまうので、やはりしっかりした意識と対策が必要ですね。
以上です!