シャドーITとは?そのセキュリティリスクと対策方法を解説
働き方の多様化に伴い、仕事の生産性向上を目的としたビジネスツールが数多く登場しています。しかし、気軽に利用できるようになった今、「シャドーIT」がもたらすセキュリティリスクへの懸念が高まっています。
そこで本記事では、シャドーITについて、そのリスクや対策、最新インシデント事例を紹介します。
シャドーITとは?
シャドーITとは、情報システム部門などが使用許可を出していない、あるいは関知せずに利用者や部門が独自に導入・利用するIT機器やクラウドサービス等を指します。
シャドーITの利用シーンとして、以下の例が挙げられます。
- ・ファイル共有、情報共有(例:Dropbox、Google ドライブ、Slack、Notion等)
- ・メッセージによるコミュニケーション(例:Microsoft Teams、Slack、Chatwork等)
- ・クラウドサービスの利用(例:AWS、Azure、Google Cloud Platform等)
- ・管理外のIT機器利用(例:個人所有のUSB、委託業者の管理PC)
最近のクラウドサービス利用事例として、ChatGPT(AIチャット)での個人情報の取扱いについて、個人情報保護委員会から注意喚起があり、対象の個別サービスだけでなくクラウドサービス利用全体の懸念点となっています。
こうした状況からシャドーITによる大きな損害となるリスクを考慮し、組織でセキュリティ対策を十分に行っていく必要があります。
シャドーITとBYODの違い
BYODとは、個人の私物PCやスマートフォンを業務に使うことです。会社で機器を用意する必要が無くなるため、機器の購入コストを削減できます。シャドーITとの違いは、情報システム管理者が機器の存在を把握しているかどうかにあります。BYODは事前に機器の存在を把握できますが、シャドーITは存在を把握できていないという違いがあります。
シャドーITのリスク
許可されていないIT機器等の利用は、申請や承認等が必要な場合が多いと思います。顧客要望に応えたい、すぐ使いたい等、利用者の意識でシャドーITが生まれてしまいます。
そこで、数ある中でもリスクの高いものから3つ挙げましたので、確認していきましょう。
情報漏えいリスク
例えば、ある従業員が個人PCに業務書類を転送し作業した場合、組織管理のPCに比べセキュリティ対策が出来ていないPCでの作業かも知れません。この例によるとセキュリティが万全でない無料クラウドサービス(メールソフト、ファイル共有)の利用や個人PCから情報漏えいが発生する可能性があります。
コンプライアンス違反リスク
もしシャドーITの利用がある場合、その利用により組織のルールやコンプライアンスに適合していない場合があります。例えば、個人情報保護法や業務に関連する規制等に違反している場合、組織として罰金や訴訟になる可能性があります。
IT基盤の安定性リスク
シャドーITが正規のシステムと相性が悪い場合、セキュリティ上の様々な異常を引き起こすことがあります。これにより、組織のネットワークやシステムの安定性が失われ、業務システムの停止や障害が起こり、最悪業務が停止してしまう可能性があります。
いずれのリスクについても、知らなかったでは済まされない典型的な例と言えるでしょう。
シャドーITの対策例
セキュリティと業務運用のバランスが崩れるとシャドーITの問題が発生する傾向があるため、適切な対策を講じてリスクを最小限に抑える必要があります。下記では今回ご紹介した3つのリスクへの対策を例示します。
情報漏えいリスクへの対策
組織内でのポリシーやセキュリティについての教育を行います。特に情報漏えいによるリスクや適切なデータの取り扱いは全従業者が理解している必要があります。
コンプライアンス違反リスクへの対策
組織で取り扱うデータに関連する法的要件を確認し、適切な手続きや専門家と連携し罰則等が科されない仕組み作りが必要です。
IT基盤の安定性リスクへの対策
組織全体の規定を見直し、シャドーITへの監視や運用管理を強化することでシャドーITの利用を防止します。
インシデント事例
実際に起きた事故事例を知ることも、シャドーITの対策として有効です。最近のシャドーITに関わる実際のインシデント事例を2つ紹介します。
1.医療機関による事例
2021年8月、大学病院の医師の個人的な判断により利用していたクラウドストレージサービスのIDとパスワードがフィッシング詐欺により窃取され、アクセスができなくなり、数百人規模の患者情報を含む情報が第三者に漏えいしました。
※フィッシング詐欺とは、第三者が関係者を装い利用者から個人情報等を盗むことを言います。
2.米石油パイプライン運営会社による事例
2021年5月、企業ネットワークにランサムウェア攻撃を受け、全ての操業を一時停止する事態となりました。攻撃グループはシステムを乗っ取り、身代金を要求しました。これにより、パイプラインの運営や燃料供給に支障が生じると共に、攻撃グループから多額の身代金要求や業務の停止に関わる経済的損失は、数十億ドル以上と言われています。
詳細は割愛しますが、シャドーITとなっていた端末がきっかけで発生した事件であり、この端末には当該組織の情報セキュリティのルール/基準が適用されていなかったことが原因であると明らかになっています。
この事件以降、サプライチェーンマネジメントや情報セキュリティリスクの見直しについての議論が活発化したと言われています。
シャドーIT対策におすすめの情報セキュリティサービス「Coach Mamoru」
シャドーITにはIT運用の現状分析と専門知識が必要で時間もかかることもあり、多くの企業が外部の専門家に支援を求めています。
シャドーIT対策の専門家として、弊社の情報セキュリティ関連サービス「Coach Mamoru(コーチマモル)」をご紹介します。日本パープルには経験豊富な情報管理のプロが集まっており、規則整備やセキュリティ対策支援、教育などを柔軟にカスタマイズしてご提供しています。
日本パープルはこれまでに300社以上の教育コンサルティングの実績があり、初めてコンサルタントサービスを利用する企業にもおすすめです。セキュリティに関して不安を感じている企業の担当者は、ぜひご相談ください。