テレワーク下のシャドーITを「不可視化させないフロー」を作る 各部門は何をするべきか
コロナ禍によるテレワークが新常態として定着しつつある。そのような中で、企業はリモート環境の従業員が使う「シャドーIT」をどう管理するべきか。各部門が果たすべき役割とは。
近時、テレワーク導入の流れが進む中で、新たなクラウドサービスの活用やBYOD(私物端末の業務利用)などを進める企業もあります。こうした積極的なITの利用は業務効率やクオリティーの向上に寄与する一方、組織内で利用されているITを適切に管理できていないと、情報漏えいやセキュリティなどのリスクが生じえます。
BUSINESS LAWYERSが2020年5月に実施したアンケート(※1)では、約4割の企業でITの導入、開発時の審査フローが未整備でした。また、社員が独断で利用する「シャドーIT」が社内に存在するという回答も少なくありませんでした。企業は適切なITの利用を促す上で、どのような審査の体制や方法をとるべきなのでしょうか。
本稿では、セキュリティ対策のコンサルティングなどを行うラックの仲上 竜太氏(セキュリティプロフェッショナルサービス統括部デジタルペンテストサービス部長 兼 サイバー・グリッド・ジャパン シニアリサーチャー)に、IT導入時に各部門が果たすべき役割や、シャドーITを減らすための考え方について伺いました。
個人アカウントでのクラウドサービスの利用がシャドーITとして問題に
――以前から企業におけるシャドーITの存在が指摘されていますが、コロナ禍によるテレワーク推進を背景として、現場担当者の独断で新たなITサービスが利用されるケースもあるようです。シャドーITに関する近時の状況を教えてください。
近年、さまざまなクラウドサービスの利用が一般的になっています。シャドーITにおいては、このクラウドサービスの私的利用が大きな課題となってきています。例えば、自宅で業務を行うためデータを持ち帰りたい場合に、個人的なアカウントのクラウドストレージにデータをコピーし、自宅でダウンロードして利用するケースなどです。このようなクラウドサービスの私的利用は、企業や組織の機密データの漏えいにつながりえます。
また、スマートフォンやタブレットなど従業員個人の携帯情報端末を会社の無線LANに接続するケースも見受けられます。多くの場合、大きな問題にはなりませんが、組織として管理されていない携帯情報端末を通した、社内ネットワークの侵害の端緒にもなりえます。
さらにBUSINESS LAWYERSによるアンケートを見ると、シャドーITとして代表的な、クラウドサービスの利用やPCの持ち込みだけでなく、許可していないものの導入が簡単なソフトウェアのインストールや、緊急性の高いテレワークにあわせて導入されたソフトウェアの利用なども回答されています。インターネットで配布されている手に入れやすいソフトウェアの中には、悪性の動作をするものも含まれています。そのため入手の仕方やルールについては社内での周知が必要でしょう。
――アンケートでは、企業内でIT導入時の審査フローが決められていながらシャドーITが利用されているという回答が、およそ4分の1に上りました。ITの導入検討方法や審査フローについて、担当者はどのような悩みを抱えているのでしょうか。
多くのクラウドサービスは、インターネットに接続していれば簡単に利用できます。そのため、組織内での審査を受けず、私的なアカウントでの利用や許可されていないサービスの利用が可能です。
情報システムやオンラインサービスを扱う従業員であれば、業務での新たなIT・サービスの利用時に必要な審査フローの存在を認識していますが、多くの場合、一般社員にはその存在があまり周知されていないものと思われます。シャドーITによるリスクの啓発や、承認・審査のフローの周知の難しさが担当者の悩みではないかと考えます。
審査フローに関わる部門とそれぞれの役割
――社内で新たなITやサービスを審査、承認する上でのポイントを教えてください。
まずは社内で業務利用が可能な認可したIT(Sanctioned IT)の棚卸しが重要です。どのようなサービスを、どの部門の、誰が、どのぐらい、いくら使用しているかを把握します。また状況に応じて全社的な取り組みとして利用するサービスを統一するなど可能な範囲で管理の一元化とコスト削減を検討します。
シャドーITがまん延する背景の紹介箇所でも説明したように、審査・承認方法の周知も重要です。シャドーITによるリスク・問題点を啓発し、認可されたITの使用や審査・承認を自発的に行ってもらえるよう周知する努力が必要になります。
例えば、定期的な情報セキュリティ研修を実施し、未許可のクラウドサービスやSNS、ファイル共有サービスが原因となって起こる情報漏えいなどの事例を提示することは、意識向上の観点で有効です。さらに、社内で利用可能なサービスの一覧や利用方法、新たなクラウドサービスの利用申請フローを従業員が分かりやすいように社内イントラネットなどに掲示を行うことで、適切な利用を促すことができます。
――審査フローにおいて、各部門はどのような役割を果たすべきでしょうか。
IT・サービスの審査・承認時には、リスクマネジメント部門が主要な役割を果たします。IT・サービスの利用によるリスク管理の観点で、どのようなリスクが生じるのか、どのように軽減できるのかを評価し、新たな導入における評価基準を、IT・サービスの有識者とともに策定します。
次に、情報システム部門は実務的な役割を果たします。IT資産管理の観点で、承認されたIT・サービスの管理・利用状況を把握し、適切な利用を促します。
法務部門は、リスクマネジメント部門が実施するIT・サービスの評価基準の策定に参加し、GDPRやCCPAなどのプライバシーや情報保護に関する法律、クラウドサービス事業者の管理体制、係争になった場合の対応などの観点で利用者が確認すべき評価基準を設定します。併せて、個人情報保護など利用者側が守るべき制約についても基準に盛り込むことで未必の故意による事故の発生を防ぎます。
加えて、定期的にIT・サービスの審査・承認が機能しているかを社内のIT利用実態とあわせて点検することで、リスクマネジメントやコンプライアンスの順守が保たれているか確認することを推奨します。
また前述のアンケートでは、法務部門やシステム部門、事業部門の間で、審査に関するIT知識や法務知識に関するギャップがあることが課題としてあげられています。事業部門も、ソフトウェアやクラウドサービスの利用にあたっての最低限の契約知識を持つことでより効率的なサービス選定が行えるものと思います。
適切なITサービスの利用を積極的に後押しすることがシャドーIT対策に
――シャドーIT対策の重要性を社内で共有し、体制や予算を確保するためにはどうすべきでしょうか。
シャドーIT、BYODや私的なクラウドサービスの利用による情報漏えい事故は現実問題としてさまざまな事例が存在します。セキュリティ担当者向けのニュースサイトでは、直近で発生したインシデント(情報システムにまつわる事故)の事例が多数紹介されています。
これらの事例の共有を通して、従業員のシャドーITのリスク意識向上が期待できます。
あわせて、利便性が高く安全なサービスの活用を積極的に推進する姿勢が重要です。多くの場合、新たなIT・サービスは、費用対効果や業務効率向上を目的として利用されます。利便性と安全性を備えた適切なIT・サービスの利用を積極的に後押しすることで、「申請手続きや承認が面倒」「止められそう」といった不安を解消し、業務効率の向上とともにシャドーITの割合を減少させられます。
――社内でのITの利用推進へ向けた体制構築、人材確保について企業が取り組む際のポイントを教えてください。
情報システムは今やオフィスオートメーションからIT革命を経て、デジタルトランスフォーメーション(DX)の推進へと進んでいます。業務におけるITの活用はますます活発になり、現代の経営ではITをうまく使いこなすことがこれまで以上に求められます。
反面、ITの拡大には現実的な課題として情報漏えいや知的財産の窃取、新たなプライバシーの問題が伴います。ITにまつわる新たな権利や法知識、制度を常にアップデートし続け、守るべき資産を明確にすることが新たなテクノロジーの活用を適切に進めていくためには重要です。多くの企業で設置が進められているCISO(Chief Information Security Officer=最高情報セキュリティ責任者)など、情報システムの開発・構築・運用だけではなく、ステークホルダーから求められるコンプライアンスやリスクマネジメントを主導的にITに反映する人材が求められています。
さらに、今後はデジタルネイティブと呼ばれる世代が社会の中心となってきます。新たなITツールの活用に自主的に取り組める若手社員を積極的に登用し、社内のIT利活用の活性化をはかることが望ましいでしょう。
――今後、ITの業務利用が一層進むと考えられます。業務効率化や質の向上と、ガバナンスやセキュリティを両立させるためには、どのような考えを持つべきでしょうか。
IT・サービスの位置づけが業務効率化から、価値創造にシフトしており、デジタルそのものが資産価値を有する時代となりました。またコロナ禍においては、行政によるテレワーク・リモートワークの推奨により、混乱がみられながらも、新たな生活様式(ニューノーマル)の形として、デジタルワークが常識となりつつあります。
テクノロジー、セキュリティ、コンプライアンスのバランスをとりながら積極的なIT利活用を促進するためには、従業員一人一人のリスク意識の向上が欠かせません。同時に、新たなテクノロジーに安全にチャレンジできる環境づくりも、これからのデジタル企業経営に欠かせない取り組みではないかと考えます。
注1:BUSINESS LAWYERSが2020年5月18日〜5月29日、企業の法務担当者を対象に実施した「社内で利用するITサービスの導入・開発時の法務担当者の役割等」に関するアンケート(有効回答数:211)による
本記事は2020年10月7日のBUSINESS LAWYERS「テレワーク推進により注意すべきシャドーITのリスクと、IT導入時に各部門が果たすべき役割」をキーマンズネット編集部が一部編集の上、転載したものです。
© BUSINESS LAWYERS