シャドーITとは？ BYODとの違いやトラブル事例、背景、解決案を解説

企業の仕組みや従業員のリテラシーの課題から発生し、個人情報の漏えいなどのリスクを有する。

[ITmedia]

• BYODとの違い、シャドーITの例
• シャドーITの問題事例
• シャドーITによるトラブルを防ぐために

　シャドーITとは、企業のIT部門の管理外で使われるツールやサービスを指す。

• 私物のPCで業務にあたる
• 私物のスマートフォンを業務上の連絡に使う
• 私物のフラッシュメモリで業務データを運ぶ
• 無許可のクラウドストレージサービスで他社とデータをやりとりする
• ブラウザで動作する無料ツールで業務情報を翻訳する
• 個人のSNSアカウントで業務情報をやりとりする

　企業のポリシーを適用できず、十分なセキュリティを確保できないため機密情報や個人情報の漏えいが発生しやすくなる。

BYODとの違い、シャドーIT問題の背景

　シャドーITと似た言葉に「BYOD」（Bring Your Own Device）がある。「自身の端末を持ち込む」という意味で、私用のデバイスを業務で利用することを指す。企業はデバイス調達コストを削減でき、従業員は使い慣れた端末で業務にあたれるなどのメリットがある一方、IT部門による一元管理が難しくなりセキュリティインシデントが発生しやすい。

　シャドーIT問題の背景には、企業の仕組みや従業員のリテラシー不足がある。例えばテレワークを導入する企業がスマートフォンを支給しなければ従業員は私的な電話番号を利用せざるを得ず、使い勝手の悪いシステムを強要された現場は生産性向上のために無断で便利なクラウドサービスを利用するようになる。

　また、従業員にITリテラシーやセキュリティに関する意識の不足があればシャドーITのリスクが理解できず、悪意があれば故意に情報を持ち出すことも可能になってしまう。

シャドーITの問題事例

　以下に、シャドーITがきっかけとなって問題が顕在化した事例を挙げる。

岡山大学病院

　2021年8月、岡山大学病院が患者約270人分の個人情報が漏えいしたと発表した。同病院の医師が利用するクラウドサービスのIDとパスワードがフィッシング詐欺によって詐取され、アップロードされていた個人情報が攻撃者により閲覧可能な状態となった。同サービスは病院で認可されておらず、医師が個人で利用していた。

レオガーデン

　2018年2月、不動産事業を展開するレオガーデンにおいて、従業員が顧客の資金計画書や建築図面、メールのやり取りといった情報約2万6000件をオンラインストレージに保存していたことが判明した。定期点検で発覚したもので、同社は従業員を懲戒解雇した。データが第三者の手に渡ったかは不明とされている。

宅ふぁいる便

　2019年1月、オージス総研が提供する無料ファイル転送サービス「宅ふぁいる便」で約480万件の個人情報流出があった。第三者の攻撃によって利用者のユーザー名やパスワード等が流出し、同サービスをシャドーITで利用していた多くの企業で業務情報流出の懸念が発生した。同社の法人向け有料サービス「オフィス宅ふぁいる便」における被害はなく、個人向けサービスを業務利用するリスクが明らかになった。

シャドーITによるトラブルを防ぐために

　シャドーITとそれによるトラブルを防ぐためにはいくつかの対策が考えられる。いずれもコストを要するため、経営課題として取り組む例が一般的だ。

ユーザーの啓発

　従業員のセキュリティ意識を高める機会を設ける。悪意ある従業員の存在を考慮した対策も必要だ。

状況の把握と代替手段の提供

　個人が利用するデバイスやSaaSの利用実態を調査し、必要に応じて代替サービスをIT部門が支給する。

監視体制の強化

　EDR（Endpoint Detecition and Response）やMDM（Mobile Device Management）、個人端末を制御するサンドボックスアプリの導入などによって、利用者のインストール操作やデータファイルのアップロード状況等を管理側が把握できる。ユーザビリティ低下による従業員の反対が予想される。

ゼロトラストセキュリティの採用

　境界型防御のみでの対策を見直して全てのアクセスを監視対象とし、アクセス元の端末のロケーションや利用サービスの確認を行う。