勝手にUSBメモリやチャットツールを使わないで!テレワーク時のシャドーIT対策の極意

会社で使用を許可していないUSBメモリやチャットツールを、社員が勝手に使っていませんか?
テレワークが当たり前になった昨今、目の届かないところで情報漏洩が起こるリスクが高まっています。
今回は、そんな様々なリスクを抱えるシャドーITへの対策の極意をご紹介します。

3472feee1988a6ccb8dcedcbc079a0bab12868e2.png

シャドーITとは

シャドーITとは、会社に無断で個人所有のIT機器やサービスを業務に利用することを言います。少し前までは、主に私物のPCやUSBメモリ、スマートフォンの利用を指すことが多かったですが、現在ではオンラインストレージやチャットツールなど、手軽に無料で利用できるサービス・ソフトウェアが増えており、これらを無断利用することが特に問題になっています。
そのような背景から、最近では「勝手BYOD(Bring Your Own Device)」だけでなく、「勝手BYOA(Bring Your Own Access/Application)」という言葉も出てきています。

そのようなシャドーITの原因は、「ファイルを共有したいけど、大容量でメールに添付できない」「会社から提供されているソフトウェアより便利なものを使いたい」といった業務上の理由のほか、「すきま時間で業務外のことをやりたい」「ゲームをしていてもばれないだろう」といった悪質なものまで、様々なパターンがあります。いずれにしても、管理体制の穴をくぐって軽い気持ちで利用しているケースが大半です。
在宅勤務などのテレワーク時には、そのような傾向がより強まるため、特に注意が必要です。

チャットツールやストレージなどのシャドーITにおけるリスク

オンラインストレージやチャットツールなどは便利な半面、会社で許可されていない状況での利用は、セキュリティが確保されていない/万が一の際の補償が無い/トラブルの解決法がわからないため、「情報漏洩」「データ紛失」「ウイルス感染」などの被害を受けるリスクが高まります。また、管理者が知らぬままに被害が拡大してしまうことも考えられます。

2019年はじめには、とあるファイル転送サービスを提供しているサーバーが不正アクセスを受け、約480万件の個人情報が外部に漏洩した事件がありました。しかし、このファイル転送サービスには複数のプランが用意されており、法人契約版は不正アクセスの被害を受けていないと発表されています。実際に個人利用と法人契約とでは、このような差が生まれることがあります。
このケースは利用者情報の漏洩でしたが、これがもし転送したデータの漏洩だったら...オンラインストレージやチャットツールにアップロードしたデータだったら...と考えると、どれだけ深刻な事態になるか想像することは容易でしょう。
特に企業にとって「情報漏洩」は、経営に甚大な被害を与える可能性があるため、シャドーITの利用は制限するべきです。

STOP.png

また、シャドーITを許すと、社外に仕事を持ち帰って定時後や休日に業務をおこなってしまう、個人PCにデータを移して作業してしまうなどの労務的なリスクも高まります。SNSやチャットツール、ゲームアプリの利用による作業時間の浪費を見逃すことにもなるでしょう。
働き方改革の推進によって、長時間労働の是正や業務効率化が叫ばれています。社内がこのような状況になっていないかを確認し、不透明な状況であれば改善しなければいけません。

情報漏洩などのセキュリティリスク、労働環境におけるリスク、どちらも責任をとらなければいけないのは企業側です。「真面目にPCに向かっている社員がそんなことあるはずない」と思い込まず、まずは現場を知ることからはじめましょう。

シャドーIT対策の極意

シャドーIT対策の極意は下記の5ステップ。ポイントは、「1.現状を知る→2.IT環境を見直す→3.社員教育をおこなう→4.システム的に制限する→5.ツール導入を提案できる環境を作る」を段階的におこなうことです。

突然「シャドーITは禁止です」とアナウンスをおこなっても、改善効果はあげられません。また、いきなりユーザー環境のソフトウェアのインストール権限を奪う、USBメモリの使用を禁止するなどの制限をかけると、業務に支障が出たり、社員が不信感を抱くことにもなりかねません。シャドーITへの対策は、順序立てておこなうことが重要です。
また、業務効率化のために追加で必要なツールがあれば、こっそり使うのではなく上長を通して社内への導入を提案しやすい環境を整えることも有効です。現在は、テレワーク需要の高まりを背景に、セキュリティ面も強化された便利なツールが次々と出てきています。これらを活用しないことは、企業としての競争力欠如につながりかねません。

【シャドーIT対策の極意】
 1. 現状を知る:シャドーITの存在がないか確認する
 2. IT環境を見直す:業務上、不便な点を解消するなど、シャドーITが不要な環境にする
 3. 社員教育をおこなう:シャドーITのリスクを共有し、社内ルールを周知する
 4. システム的に制限する:万が一のリスクに備えられるよう、シャドーITの利用を監視・制限する
 5. ツール導入を提案できる環境を作る:提案フローを整備し、ツール導入を提案しやすい環境を整える

おすすめソリューション

まず、シャドーIT対策の極意にある「1.現状を知る」を実現するためには、IT資産管理ソフトSS1がおすすめです。SS1は、社内にあるPCはもちろん、社外に持ち出すテレワーク端末も含めIT資産として統合管理が可能です。ログでPCのリアルな利用状況の把握できるため、効率の良いリスク対策をおこなえます。また、Web閲覧やソフトウェアのインストールなどを制限することも可能なため、「4.システム的に制限する」にも効果を発揮します。

シャドーIT.png

オンラインストレージやファイル転送サービスなどの使用がないかを確認し、その使用自体を禁止できます。
また、チャットツールやゲームアプリなどのインストール・使用がないかを確認し、不必要なものは使用禁止に設定することや、アンインストールも可能です。

03.png

個人所有のUSBメモリやUSBハードディスク、スマートフォンの使用などの利用状況も把握・制限できます。使用を禁止するだけでなく、読み取り専用にする、違反ログを取得し管理者へのみ通知するなど柔軟な設定が可能で、利用者に負担がかからない運用をおこなえます。
利用者への警告メッセージ表示により、セキュリティ意識の向上にもつなげられます。

IT資産管理ソフトSS1を活用することで、シャドーIT対策に役立てていただけます。テレワーク時の情報漏洩対策などにお悩みの方は、お気軽にお問い合わせください。

●シャドーIT対策に活用できるSS1の各種機能の詳細はこちら
●SS1に関するお問い合わせはこちら