勝手にストレージやチャットツールを使わないで!シャドーIT対策の極意


会社で使用を許可していないオンラインストレージやチャットツールを、社員が勝手に使っていませんか?
今回は、そんな様々なリスクを抱えるシャドーITへの対策の極意をご紹介します。

シャドー.png

シャドーITとは

シャドーITとは、会社に無断で個人所有のIT機器やサービスを業務に利用することを言います。少し前までは、主に私物のPCやUSBメモリ、スマートフォンの利用を指すことが多かったですが、現在ではオンラインストレージやチャットツールなど、手軽に無料で利用できるサービス・ソフトウェアが増えており、これらを無断利用することが特に問題になっています。
そのような背景から、最近では「勝手BYOD(Bring Your Own Device)」だけでなく、「勝手BYOA(Bring Your Own Access/Application)」という言葉も出てきています。

そのようなシャドーITの原因は、「ファイルを共有したいけど、大容量でメールに添付できない」「会社から提供されているソフトウェアより便利なものを使いたい」といった業務上の理由のほか、「すきま時間で業務外のことをやりたい」「ゲームをしていてもばれないだろう」といった悪質なものまで、様々なパターンがあります。いずれにしても、管理体制の穴をくぐって軽い気持ちで利用しているケースが大半です。

ストレージやチャットツールなどのシャドーITにおけるリスク

オンラインストレージやチャットツールなどは便利な半面、会社で許可されていない状況での利用は、セキュリティが確保されていない/万が一の際の補償が無い/トラブルの解決法がわからないため、「情報漏洩」「データ紛失」「ウイルス感染」などの被害を受けるリスクが高まります。また、管理者が知らぬままに被害が拡大してしまうことも考えられます。

2019年はじめには、とあるファイル転送サービスを提供しているサーバーが不正アクセスを受け、約480万件の個人情報が外部に漏洩した事件がありました。しかし、このファイル転送サービスには複数のプランが用意されており、法人契約版は不正アクセスの被害を受けていないと発表されています。実際に個人利用と法人契約とでは、このような差が生まれることがあります。
このケースは利用者情報の漏洩でしたが、これがもし転送したデータの漏洩だったら...オンラインストレージやチャットツールにアップロードしたデータだったら...と考えると、どれだけ深刻な事態になるか想像することは容易でしょう。
特に企業にとって「情報漏洩」は、経営に甚大な被害を与える可能性があるため、シャドーITの利用は禁止するべきです。

STOP.png

また、シャドーITを許すと、社外に仕事を持ち帰って定時後や休日に業務をおこなってしまうリスクが高まります。SNSやチャットツール、ゲームアプリの利用による作業時間の浪費を見逃すことにもなるでしょう。
働き方改革の推進によって、長時間労働の是正や業務効率化が叫ばれています。社内がこのような状況になっていないかを確認し、不透明な状況であれば改善しなければいけません。
情報漏洩などのセキュリティリスク、労働環境におけるリスク、どちらも責任をとらなければいけないのは企業側です。「真面目にPCに向かっている社員がそんなことあるはずない」と思い込まず、まずは現場を知ることからはじめましょう。

シャドーIT対策の極意

シャドーIT対策の極意は下記の5ステップ。ポイントは、「1.現状を知る→2.IT環境を見直す→3.社員教育をおこなう→4.システム的に制限する→5.ツール導入を提案できる環境を作る」を段階的におこなうことです。

突然「シャドーITは禁止です」とアナウンスをおこなっても、改善効果はあげられません。また、いきなりユーザー環境のソフトウェアのインストール権限を奪うなどの制限をかけると、業務に支障が出たり、社員が不信感を抱くことにもなりかねません。シャドーITへの対策は、順序立てておこなうことが重要です。
また、現場で必要なツールがあれば、上長を通して社内への導入を提案しやすい環境を整えることも有効です。現在は、テレワーク需要の高まりを背景に、セキュリティ面も強化された便利なツールが次々と出てきています。これらを活用しないことは、企業としての競争力欠如につながりかねません。

【シャドーIT対策の極意】
 1. 現状を知る:シャドーITの存在がないか確認する
 2. IT環境を見直す:業務上、不便な点を解消するなど、シャドーITが不要な環境にする
 3. 社員教育をおこなう:シャドーITのリスクを共有し、社内ルールを周知する
 4. システム的に制限する:万が一のリスクに備えられるよう、シャドーITの利用を監視・制限する
 5. ツール導入を提案できる環境を作る:提案フローを整備し、ツール導入を提案しやすい環境を整える

おすすめソリューション

まず、シャドーIT対策の極意にある「1.現状を知る」を実現するためには、IT資産管理ソフトSS1がおすすめです。IT資産そのものの情報にあわせて、社内のIT環境のリアルな利用状況も監視できるため、効率の良いリスク対策をおこなえます。また、Web閲覧やソフトウェアのインストールなどを制限することも可能なため、「4.システム的に制限する」にも効果を発揮します。

シャドーIT.png

オンラインストレージやファイル転送サービスなどの使用がないかを確認し、その使用自体を禁止できます。
チャットツールやゲームアプリなどのインストール・使用がないかを確認し、不必要なものは使用禁止に設定することや、アンインストールも可能です。

03.png

また、個人所有のUSBメモリなどの利用、フリーWi-Fiへの不正接続などの利用状況も把握・制限できます。
シャドーIT対策に、IT資産管理ソフトSS1をぜひご活用ください。

●SS1の詳細はこちら
●SS1に関するお問い合わせはこちら

前へ

「第3回関西情報セキュリティEXPO」出展レポート

次へ

【ログ徹底解説シリーズ:Webログ編】セキュリティインシデントに備えて、Web閲覧履歴を取得しよう