シャドーITのリスク

1. シャドーITとは

1.1. 企業内で使用が許可されていない外部サービスやクラウドサービス、あるいはスマートフォンやタブレットなどのIT機器を無断で使用すること

1.2. 事例

1.2.1. チャットアプリで業務連絡やデータ転送を行う

1.2.2. 重要な業務データをクラウドストレージサービスにアップロードする

1.2.3. 個人デバイスを使って業務を行う

1.3. BYODとの違い

1.3.1. BYODは企業に承認されているため、問題視されない

1.3.2. シャドーITは企業に承認されていないため、個人に対して責任が問われる

2. シャドーIT生まれる理由・原因

2.1. 無料で使える利便性の高いアプリやソフトが次々とリリースされている

2.2. 管理者権限不要でインストールできたりブラウザがあれば気軽に利用できる

2.3. 必要とするツールが企業内にない、またはあるが使いづらい

2.4. 利便性や生産性の向上

3. シャドーITで企業が負うリスク

3.1. 情報漏えい

3.1.1. ユーザー自身がサービス管理を行うため、設定ミスや知識不足により意図せず情報が公開される可能性がある

3.1.2. 退職後も情報にアクセスできるため、情報漏えいの可能性がある

3.1.3. 問題のあるサービスを利用していても把握ができない

3.1.4. セキュリティの脆弱な環境からの利用により情報漏えいの可能性

3.1.5. アカウントの乗っ取り

3.2. 金銭的損害

3.3. 社会的評価の失墜

4. シャドーITで利用されやすいサービス

4.1. コミュニケーション・コラボレーションツール

4.1.1. チャットツール

4.1.2. メール

4.1.3. クラウドストレージ

4.2. 特に、ファイル共有サービスは情報漏えい時のリスクが高い

5. シャドーIT対策

5.1. ただ禁止しても反感・反発を買う

5.1.1. ガイドラインの策定

5.1.1.1. 承認プロセスを明確にし、各部署で何のサービスを何の用途で利用しているか適切に把握

5.1.1.2. サービス利用の承認基準を儲ける

5.1.1.3. 利用責任者を設ける

5.1.2. 従業員教育

5.1.2.1. シャドーITの危険性やリスクを正しく認識してもらう

5.1.3. 企業環境の整備

5.1.3.1. シャドーITを使わなくてもよい環境を作る

5.1.3.2. 利用者ニーズが高いサービスを企業が用意する

5.1.4. 監視ツールの導入

5.1.4.1. シャドーITの使用やリスクのある行動を追跡し、違反を繰り返す人に適切な対応をとる