コロナ渦の影響で「働き方改革」が急速に進み、もはやリモートワーク、テレワークが当たり前になってきました。そんな中、自宅など会社以外の場所で業務を行う機会が増えるに伴い、「シャドーIT」の問題があらためて指摘されるようになっています。今回は、大きなセキュリティリスクが潜むシャドーITと、その対策について解説します。
シャドーITとは
シャドーITとは、会社の許可なく個人のPCやスマートフォン、タブレットなどを業務で使用する、あるいは会社で認められていないオンラインストレージといったクラウドサービスを利用して業務を行うことです。
例えば、次のような事例がシャドーITに該当します。
- 個人のPCやスマートフォンを業務に使う
- 個人のUSBメモリに業務データをコピーして社外に持ち出す
- 個人利用のLINEやFacebookメッセンジャーなどの無料コミュニケーションアプリで業務連絡を行う
- 個人利用のDropBox やGoogle Driveなどのオンラインストレージサービスで業務ファイルを共有する
- 個人利用のGoogleドキュメントやOnline Officeなどのクラウドサービスで業務ファイルの作成や編集を行う
- 個人利用のGmaiやYahooメールなどのフリーメールで業務データを送信する
なお、会社の許可を得て個人のPCやスマートフォンなどのデバイスを業務に利用することをBYOD(ビーワイオーディ:Bring Your Own Device)といい、この言葉からシャドーITは「勝手BYOD」と呼ばれることもあります。
シャドーITのリスク
普段使い慣れた個人のPCやスマートフォンなどのデバイスやクラウドサービスで業務を行えば、たしかに作業効率は上がるかもしれません。しかし、これにより会社は大きなセキュリティリスクに直面することになります。シャドーITには、以下のようなリスクが潜んでいます。
個人のメールからの誤送信
会社のメーラーから会社のメールアカウントを使って、社内や取引先、顧客にメールを送信する場合、誤送信は意外に少ないものです。しかし、個人利用のメーラーやメールアカウントを使用する場合、アドレス帳や送信履歴から誤って友人や知人など、業務に関係のない宛先に送信してしまうリスクが生じます。業務に関連したメールの多くは機密情報であり、友人や知人といえども、場合によっては悪用されないとも限りません。
マルウェアなどの感染リスク
個人のPCやスマートフォンの利用では、往々にしてセキュリティに関する意識が低く、必要な対策を講じないまま知らないうちにマルウェアに感染していたという例が多く見られます。マルウェアによってPCやスマートフォンにある業務データが漏洩したり、それを経由してマルウェアが社内ネットワークに侵入するリスクもあります。また社外で業務データを閲覧した際に、第三者に盗み見られることも考えらえます。
アカウントの乗っ取り
このところLINEやFacebookメッセンジャーなど、無料チャットアプリのアカウントの乗っ取りが絶えません。これらのアプリを個人で利用する場合、会社の業務とは違ってセキュリティをあまり気にしません。しかし、そのアカウントが乗っ取られてしまうと、それまでのやり取りが第三者に盗み見られ、さらに業務に関する情報やファイルのやり取りを行っていれば、情報漏洩につながってしまいます。
無料のオンラインスサービスに潜むリスク
ネット環境があれば、いつでもどこでも必要なファイルを共有できる無料のオンラインストレージサービスなどは、その使い勝手から広く業務で利用されています。ただし、ファイルを共有する際の設定を誤ると、誰もがアクセスできるようになり、情報漏洩の大きなリスクにつながります。
端末の置き忘れ、紛失
情報漏洩の原因とした真っ先に挙げられるのが、「端末の置き忘れ・紛失」です。シャドーITでは、このリスクがさらに増大します。なぜなら、持ち出しが厳しく管理されている会社の端末とは違い、プライベートで利用されている個人の端末にはこうした制約がなく、常に置き忘れや紛失のリスクにさらされているからです。
シャドーITに関連した事件
シャドーITに関連した記憶に新しい事件では、2019年1月に発生した「宅ファイル便」の480万件の個人情報流出があります。この事件では、悪意の攻撃者によるサーバーへの不正アクセスによって、利用者の個人情報が流出しました。発表では「宅ファイル便」の複数あるサービスのうち、法人向けのサービスは被害を受けず、個人向けのサービスからの流出のみだったとされています。個人向けの安価なサービスは、セキュリティリスクが高いことが露呈した事件でした。
会社だけではなく、地方自治体でもシャドーITに関する事件が2018年に起きています。静岡県島田市農林課では、業務での使用を禁止されているフリーメールのアカウントを2015年に取得し、スキャナーなどで取り込んだ個人情報を含むデータの課内での共有に利用していました。2018年9月にフリーメールのアカウントに不正アクセスがあったことが判明し、2,446件の個人情報が流出した可能性があることが報道されました。シャドーITを防ぐためにフリーメールの使用を禁止されていたにもかかわらず、3年もの間使用した結果、発生した事件です。
シャドーITの対策
では、シャドーITのリスクを回避するためにはどうすればよいのでしょうか?これは単に利用を禁止するだけで解決できるものではありません。現状を把握し、問題点があれば、それを解決するための社内環境や運用体制の改善などの対策が必要です。以下で、シャドーITの対策について紹介します。
シャドーITの現状把握
シャドーITの現状把握には、社員に対してヒアリングやアンケートが実施されることが一般的です。ここで特に抑えておきたいポイントは、シャドーITを利用している理由です。多くの場合、使い慣れたデバイスやクラウドサービスの方が業務効率が高いことが、その理由になっています。そのためシャドーITの対策では、会社が提供しているデバイスやクラウドサービスが、本当に業務に適しているかどうかの再検証も必要です。
シャドーITの代替案
現状を把握できたら、シャドーITを利用せずに現状の業務効率を維持するための代替案を検討します。会社が支給しているデバイスが旧式で業務に支障があるのならば、新しいデバイスの調達を検討する。また、利用しているクラウドサービスの使い勝手が悪いのなら、業務に最適なものへの変更を検討しましょう。
シャドーITの制御
代替のデバイスやクラウドサービスが整っても、シャドーITが完全になくなるとは言い切れません。シャドーITを制御する対策も必要です。社員がどのクラウドサービスにアクセスしているかを管理するサービス、CASB(キャスビー:Cloud Access Security Broker)を利用することも一案です。CASBによって、社員のクラウドサービスの利用状況を可視化し、会社の許可のないクラウドサービスへのアクセスを制御することが可能です。
シャドーITを防ぐ環境整備
ただし、シャドーITを制御するだけでは万全ではありません。不正アクセスやマルウェアの侵入を防ぐ環境整備も重要です。EDR(Endpoint Detection and Response)などの最新のセキュリティツールを導入することで、社内の状況を常時監視し、サイバー攻撃の脅威を素早く検知することが可能となります。
シャドーITの撲滅に向けた啓蒙活動
シャドーIT対策は、会社側の管理体制だけではなく、社員の教育や啓蒙活動も並行して行う必要があります。シャドーITとは何なのか?どういったリスクをもたらすのか?といったことを周知する活動を継続的に行うことが肝要です。また、情報漏洩などによって会社が被る損害と、それを招いた社員の責任も十分に周知する必要があります。
最後に
働き方の変化によって、利便性の高いクラウドサービスやチャットサービスの利用が増えてきました。しかし、社外での業務機会が増えるのに伴い、シャドーITのリスクは必ず高まると考えておかなければなりません。
情報漏洩が実際に発生して、はじめてシャドーITが利用されていたことに気づくケースも少なくないだけに、これを機会に社内のシャドーITの利用状況の把握し、事前に対策を講じてはいかがでしょうか。
