- 働き方改革
- IT統制
2022.02.15
更新日:
2018.12.11
全2回 「テレワーク」時代の今知るべき「シャドーIT」のリスクと対策 《連載:第1回》 ガバナンスとセキュリティを脅かすシャドーIT
働き方改革の取り組みが進められる中、オフィス以外の場所でも仕事ができるようにテレワークの仕組みを導入する企業が増えています。しかし、テレワークを実施する際には、特に注意すべきことがあります。それは、ユーザーが会社に無断で利用する「シャドーIT」への対策です。なぜシャドーITが問題なのか。どのような対策を打つべきなのか。改めて考えてみたいと思います。
ITサービス運用でお困りなら、ITサービス管理ツール「SmartStageサービスデスク」へ
全2回「テレワーク」時代の今知るべき「シャドーIT」のリスクと対策
テレワーク時でますます危険性は高まる
テレワークを実施する際、オフィスでも社外でも情報を共有しながら効率的に業務に取り組むには、さまざまなITツールの利用が欠かせません。企業によっては場所を問わずに同一のデスクトップ環境を使うオンプレミスの仮想デスクトップ基盤(VDI)、あるいはそれを自社で持たずにクラウドで利用するDaaS(Desktop as a Servive)などのサービスを導入し、社外にデータを持ち出さないように対策を講じているところもあります。しかし、実際そうした対策ができるのも一部の企業に限られており、コスト面の課題から導入できない企業も少なくありません。
企業の多くはグループウェアや情報共有サービスを導入し、社内データの保存や管理をそこで行うルールにしていることが多いのです。しかし、すべてのユーザーがルールを守るとは限らないのが実情です。
例えば、社外のビジネスパートナーと情報をやりとりするために、コンシューマー向けのオンラインストレージが使われるケースがあります。また、業務連絡を行うために、個人所有のスマートフォンとチャットアプリを使っているケースも見られます。
このような会社が認めていないクラウドサービス、あるいはデバイスを無断で使用することがいわゆる「シャドーIT」です。当然ながら、個人管理のデバイスやアプリケーションで行われた操作や履歴はその個人が消してしまえば企業はもうどうしようもできません。問題発生時の証跡管理など、ガバナンスを維持することができません。テレワークの機運が高まっている今だからこそ、シャドーIT対策は、テレワークを導入する企業の情報システム部門にとって優先的に取り組むべき施策です。
シャドーITに潜むセキュリティ上のリスク
なぜシャドーIT対策が必要なのでしょうか。前述のガバナンスはもちろん、ここには大きなセキュリティリスクが潜んでいることも問題です。
よくあるシャドーITのリスクとして、機密情報が含まれた文書ファイルを個人用メールアドレスに転送するというケースがあります。このときもし自宅のPCにマルウェアが感染し、外部から制御できるような状態になっていれば、簡単に情報が漏えいしてしまいます。USBメモリやスマートフォンなどのデバイスにデータをコピーした場合は、デバイスの紛失による情報漏えいのおそれも考えられます。
オンラインストレージにもリスクがあります。コンシューマー向けのクラウドサービスは企業向けのサービスに比べ、セキュリティ対策よりも利便性を優先していることが一般的です。例えば、保存したファイルを簡単に一般公開するような設定変更も簡単に行えます。個人的に使用しているオンラインストレージへ機密情報をコピーし、それを間違って一般公開してしまったとしたら、その情報は外部に漏えいしたのと同じことになります。
一方、コンシューマー向けのチャットアプリを使用している場合も要注意です。近年、チャットアプリのアカウントに不正アクセスし、“なりすまし”によって情報を窃取する事件が発生しています。チャットアプリは会社と関係のないところでアカウントを管理することになるため、退職者が含まれるグループに機密情報を投稿し、そこから情報が漏えいするという危険性もあり得るのです。
企業の情報漏えいの原因には、サイバー攻撃ではなく内部からの人為的な持ち出しや個人の管理ミスによるものがかなりの割合を占めていることは意外と知られていません。こうしたリスクも踏まえ、シャドーITに対しては常に注意する必要があります。