昨今のテレワークの普及に伴い、従業員が個人所有の情報端末や個人契約の情報サービスを、所属組織の許可を得ないで使用するシャドーITのリスクが広がっています。
シャドーITはテレワークにおける情報漏洩の原因になり得るとの指摘があり、早急に手を打つ必要があります。
そこで今回は、テレワークにおけるシャドーITのリスクと、情報漏洩対策についてご紹介します。
- 目次
- 1. シャドーITの定義
- 2. シャドーITのパターン
- 3. シャドーITの対策
- 4. シャドーIT対策の事例
- 5. まとめ
シャドーITの定義
シャドーITとBYODの違い
シャドーITとは、従業員が組織で承認を受けていない個人所有のPC・スマートフォン・タブレットなどの端末の業務への使用や、利用を許可されていない個人使用のメール・チャットツール・SNSなどのコミュニケーションツールの業務への活用を意味します。
そのため組織は、それらの個人端末およびサービスの内容や使用状況を把握できません。
一方、BYOD (Bring Your Own Device)も業務への個人端末の持ち込みを指しますが、その端末は組織での使用を承認されており、内容や使用状況も組織に管理されています。
これがシャドーITとBYODの違いです。テレワークなどにおいて、シャドーITとなる個人端末が無断で使用されることもあるため、組織としてセキュリティ面での管理ができず、問題となっています。
シャドーITの原因
シャドーITが生まれる原因には、組織内のシステムインフラにおいてテレワークのための環境が未整備であることに対する従業員の不満と、個人用のメールサービスやコミュニケーションツールを利用した個人視点での利便性と生産性の追求があります。
これは「不正を働いても仕方がない」という考えに至った心情が原因になり得ると、1940年代の米国の組織犯罪研究者であるドナルド・R・クレッシーによる博士論文で指摘されています。
一方、シャドーITの排除が難しい理由は、従業員が個人的に利用する各種クラウドサービスの操作ログの管理と運用統制が困難であること、さらに各従業員が暗号化通信を行えているか把握ができないことが主な理由としてあります。
シャドーITにおいて、従業員が利用しているクラウドサービスが組織外のものである場合は、利用用途、ログから得られる情報、サービスの特性やリスクを組織が把握することができず、運用面や技術面での統制が困難となります。
さらに、チャットツールなどの利用が組織内でフィルタリングされていないと、従業員は組織内端末を通じても無断で許可されていないサービスを利用できてしまいます。
その場合、昨今は多くの通信が暗号化されているため、監視システムで接続先までは把握できたとしても、通信の内容まで詳細に知ることはできません。
シャドーITのパターン
業務の持ち帰り
「働き方改革」に対して、多くの組織で取り組みが進んでいますが、業務を行う現場では問題も発生しています。
業務の内容や量は以前と変わらないのに残業を制限されるため、従業員はどこかで仕事の帳尻合わせをしなければなりません。その結果、業務を自宅に持ち帰る従業員が増えています。
作業中のファイルのUSBメモリへの保存、個人メールへの添付、個人使用のファイル共有サービスを経由した持ち出しのリスクが増大します。
また、ファミリーレストラン、インターネットカフェなどでの業務はショルダーハッキングによる情報漏えいの危険性があります。
この種の行動は、組織が課す残業抑制に対する従業員の善意に基づいていますが、シャドーITを防止するために組織が業務の持ち帰りを禁止しても直接的な解決には繋がりません。
個人的なメールやコミュニケーションツールの使用
テレワークにおけるシャドーITという意味では、個人用メールやチャットツールを活用するケースも挙げられます。
同じ組織の従業員同士や、個人的にも親しい取引先担当者とは、公私の区別が曖昧な状態でチャットツールやSNSによるコミュニケーションが行われます。スマートフォンひとつあれば簡単かつ即時性の高い情報交換ができますが、反面、手軽さゆえに機密情報も簡単にやり取りできることから、情報漏えいのリスクに繋がります。
業務におけるメールの使用においては、従来は会社から与えられたメールアドレスを使用することが主流でしたが、昨今は法人向けのメールサービスも普及しており、組織のドメイン名を設定してセキュリティが確保された状態で利用されています。
業務上の情報交換には多くの機密情報が含まれますので、安全性が担保されているメールサービスの利用が必要不可欠です。
しかし、シャドーITによって、数多くの業務で個人用メールサービス・チャットツール・SNSが利用されることが想定されます。社内や顧客宛に送信するはずだったメールをプライベートの知人に誤送信する危険性もあります。
■関連記事
個人所有ネットワーク機器の使用
テレワークなど社外での業務において会社支給のPCをインターネットに接続する場合、通常は会社支給のモバイルWi-Fiルーターを使用しますが、支給されていない場合は端末を使ってインターネットに接続することが想定されますが、これもシャドーITに含まれます。
さらに、会社支給のPCを使い、インターネットに接続することもありますが、いずれもネットワーク機器のセキュリティ設定が適切に行われていなければ、情報漏えいのリスクになります。
また、セキュリティ管理の緩い組織においては、従業員が無許可で独自のプライベートLANを構築する危険性があります。
その場合、管理側から従業員の動きを把握できないことから、これもシャドーITと言えます。
個人契約によるIaaSの利用
個人契約によるIaaSの利用もシャドーITとして挙げられます。
例えば、エンジニアなどが個人契約でサーバ環境を構築することは十分にあり得ます。当然、この状態は管理者が把握できていないため、シャドーITであると言えます。
シャドーITの対策
シャドーITの禁止と代替案の提示
シャドーITの最も簡単な防止策は、個人所有の端末やネットワーク機器、また個人契約のクラウドサービスなどの使用を可能な範囲で禁止することです。
会社支給のPC以外からは社内ネットワークに接続できないようにする設定も有効です。
ただし、テレワーク環境が不十分なことに不満を持ってシャドーITを行っている従業員に対して、やみくもに禁止事項を増やすだけでは、反発を買うこともあります。
そこで、まずは従業員がテレワーク環境に対して持っている不満をヒアリングし、その解決策として、快適な作業ができる環境を従業員に提示します。
公益財団法人日本生産性本部が行った「新型コロナウイルスの感染拡大が働く人の意識に及ぼす調査」では、テレワークの課題として、調査対象者の48.8%が「職場に行かないと閲覧できない資料・データのネット上での共有化」を、45.1%が「Wi-Fiなど、通信環境の整備」を、43.9%が「部屋、机、椅子、照明など物理的環境の整備」を挙げるなど、様々な課題が明らかになっています。
そういった課題が解決された快適なテレワークインフラが整っている組織では、シャドーITは行われなくなると考えられますので、これは重要な対策です。
例えば、オンプレミスのファイルサーバーを安全性やセキュリティの高い法人向けクラウドストレージに切り替えることで、各種アクセス制御やログ監視を行うことが可能となり、組織にとっての「セキュリティ対策」と従業員にとっての「利便性」を両立させることができます。
従業員教育
シャドーITの対策として、従業員教育は欠かせないものです。
多くの従業員がシャドーITのセキュリティリスクを知らない、あるいは知っていても軽く考えていることがシャドーIT蔓延の元凶となっています。
まずはシャドーITの危険性を従業員にしっかりと理解してもらい、問題が発生した際には自分自身も責任を問われる可能性があることを納得してもらうことで、シャドーITの抑止に繋がります。
シャドーIT対策の事例
製薬企業におけるシャドーIT対策
医薬品の製造を主事業として創立100周年を迎える老舗企業のA社では、医師や製品開発の一部を外注しているCRO(医薬品開発業務受託機関)とのファイル授受において、大容量のファイルをやり取りする方法が社内システムにありませんでした。
そのため、無料のファイル転送サービスなどを使うとともに、USBでの運用も禁止にできず、社内統制がうまくいっていませんでした。
そこで、外部とのファイル共有についてはクラウドストレージに移行することを決定し、複数のクラウドストレージサービスを比較検討した結果、DirectCloudがコスト・機能・利便性において高い基準でまとまっていると判断され、導入されました。
DirectCloudは、ユーザーだけではなく管理者画面のUIもシンプルで、外部とのやり取りに必要となるグローバルIPアドレスの設定も簡単に行えます。
また、ユーザー数無制限の定額なので、追加コストなどの確認は必要とせず、アカウントを柔軟に追加することもできます。
DirectCloudを全社的に導入した結果、USBメモリや無料のファイル転送サービスでの運用、すなわちシャドーITを無くすことができ、セキュアな大容量ファイルのやり取りが可能になりました。
また、他社との共有フォルダについては、アップロードされると自動的に通知がくるので、逐一確認せずとも業務がしっかりと回っていることが確認できるとの評価も頂いています。
DirectCloudの柔軟なアクセスレベル
また、DirectCloudには、「編集者-(マイナス)」のアクセスレベルを設定できます。
このアクセスレベルでは、ファイルを外部に持ち出す際に必要となる「ダウンロード」、「コピー」、「ファイルリンク」、「添付ファイル送信」ができないようになっています。
これにより、ストレージ上のファイルを従業員のローカルディスクへダウンロードさせることなく編集することができるようになります。
また、Microsoft Office系のファイルであれば、複数人でクラウド上のファイルを同時に編集することができるようになります。
場所を選ばない働き方を実現するために、ファイルのローカル環境へのダウンロード(=内部不正の温床)を抑止することは極めて重要な要素です。
つまり、DirectCloudを導入することで、全社的なシャドーIT抑止だけではなく、端末へのファイルの持ち出しも制限することも可能となります。
まとめ
様々な業界でテレワークが広がっている中で、セキュリティと利便性の両立は喫緊の課題であると言えます。
従業員がシャドーITに走る原因としては、利便性に不満を抱えている、もしくは会社内の統制が適切ではない場合が考えられます。
快適に業務遂行できる高い利便性だけではなく、社内のセキュリティポリシーを全社員に適用し、すべてのログを管理できるDirectCloudの導入はシャドーIT対策として有効な選択となり得ます。
ぜひ導入を検討してみてください。