クラウド時代の新たな脅威「シャドーIT」
その情報漏えいリスクとその対処法

クラウドで浮き彫りになった、情報漏えいのリスク

シャドーITとは「企業の従業員が、会社に無断で利用しているIT機器やアプリケーションといったデジタルツールのこと」を指します。

具体的には「会社で作った資料を自宅に持ち帰るため、一時的にデータを移した私物のUSBメモリ」や「仕事のメールを休日でもチェックできるよう、転送先として設定した私用のメールアドレス」などが、シャドーITの代表例。
「自宅で目を通すために資料を保存した、私用のクラウドストレージサービス」など、ITサービスやスマホアプリも、シャドーITに含まれる場合があります。

職場にシャドーITが持ち込まれることによって、私物のスマホやUSBメモリ、ITツールといった「会社が管理していない端末に、会社の情報が保存された状態」になってしまい、情報に対して会社の管理が行き届いていない状態が、さらに大きなトラブルの引き金になってしまうのです。

「会社のメールを転送」が大きなトラブルを生む事例

そんなシャドーITには、具体的にどういったリスクがあるのでしょうか。
ここでは「社用のアドレスに届いた業務関係のメールを、すべて個人の Gmail アドレスに自動転送している従業員」を参考に考えます。

「私用のスマホで仕事のメールをチェックしたいから」「手元に届いた仕事用のメールを、休日にも確認したいから」と、メールの転送設定をした従業員のAさん。
その結果、社用アドレスに届いたメールと、添付ファイルなど、メールにひもづく情報はすべてAさん個人の Gmail アカウントに保存されている状態になりました。

そんな状態で、Aさんの Gmail アカウントが乗っ取り被害にあったら一体どうなるでしょう。
Aさんが連絡を取っていた関係者の個人情報はもちろん、添付ファイルまで、公にしてはいけない情報がすべて外部へ漏れてしまうことになります。
加えて、Google アカウントと連携しているクラウドサービスにAさんが会社の情報を保存していた場合、その被害はより大きいものになるでしょう。

また上記ケースの場合、トラブルが発生することなくAさんが会社を退職しても、個人の Gmail アカウントに会社の機密情報が残っているのは、決して好ましい状態ではありません。
「本来は会社で管理すべき情報資産が、元社員の手元にある」状況に加え、情報がAさんの手元にある限り、「アカウント乗っ取りにより、情報すべてが流出してしまう」リスクはゼロになりません。

他にもクラウドサービス以外でシャドーITとして問題になりがちなのが、USBメモリや外付けHDDといった「外部記憶装置」。

「会社の資料をコンビニでプリントアウトするため」、「ノートパソコンに保存されているデータを、別のパソコンに移すため」といった理由で、一時的に私用のUSBメモリにデータを保存するのも、シャドーITにあたるNG行為。
仮に保存した記録媒体を紛失した場合は、会社の情報漏えいトラブルとなってしまいます。

デジタル化やクラウド普及がシャドーITのきっかけに

そもそも、シャドーITはなぜここまで大きな「情報管理のリスク」になったのでしょうか。
その発端には、ITツールやアプリ、スマートフォンをはじめとした小型情報端末の普及といった「社会の急速なデジタル化」があります。

デジタル化の結果、用途や目的がさまざまなIT機器やツールが使用されるようになり、会社用・個人用問わず、さまざまなデジタルツールが職場に持ち込まれるようになりました。

さらにコロナ禍を経て、テレワークが急速に普及。
「会社の情報をいつでもチェックできるように」「休みの日でも、仕事の連絡ができるように」と、私用のクラウドサービスやアプリを仕事でも利用するオフィスワーカーが増えていったのです。

しかし私用のIT機器は、社用のものと比べてセキュリティー対策が十分でない場合も少なくありません。
そういった環境下に会社の情報が置かれることで、アカウント乗っ取りやパソコン紛失といった「個人のトラブル」が、取引先をはじめとした大勢の関係者を巻き込んだ「会社のトラブル」になってしまいます。

シャドーITは、従業員の悪気によるものではなく、業務の効率化を目指した社員の善意によって行われてしまう場合がほとんどです。
「便利な業務管理アプリケーションを会社でも使いたい」、「アウトプットの効率をよくするため、新しく登場した人工知能 (AI) アシスタントを使いたい」といった社員による工夫が、意図せぬシャドーITにつながるのです。

社内へリスク周知し、ルールを作ってシステムで防ぐ

では、シャドーITとそれによる被害を防ぐため、管理者はどのような対処をすべきなのでしょうか。
対策方法は、大きく以下のような方法が考えられます。

• 対策1. 社内でシャドーITのリスクを周知する
• 対策2. シャドーITを防ぐような社内ルールを設ける
• 対策3. シャドーITを利用させないシステムを構築する

以降は、それぞれを具体的に見ていきます。

対策1. 社内でシャドーITのリスクを周知する

個人の情報漏えいが大きなトラブルに発展することを伝えたうえで、個人契約したアプリや私用のパソコン・USBメモリを業務で使うのは「やってはいけないこと」であると、まずは従業員に伝えていく必要があります。

対策2. シャドーITを防ぐような社内ルールを設ける

その次に行うべきが、社内でIT機器を利用するにあたってのルールを設けること。

「私用のパソコンやUSBメモリを職場に持ち込まない」や「私用の情報端末で、会社の情報を開かない」といったものはもちろん、場合によってはペナルティーなどを設け、ルールに強制力を持たせることも必要です。

対策3. シャドーITを利用させないシステムを構築する

最後に大切なのが、シャドーITを利用できないようなシステムを設けることです。

例えば、「認証されていないUSBメモリは、社用のパソコンに接続できないようにする」というのもそのひとつ。
社内で利用している無線LANに認証システムを導入し、管理部門が許可した端末以外はネットワークに接続できないような環境を整えるのも有効です。

従業員によるクラウドサービスの利用を防ぐためには、ネットワークのセキュリティー管理に用いられるURLフィルタリングの導入も有効。
一般的には悪意あるサイトへのアクセスをブロックすることに用いられる機能ですが、特定のサービスへのアクセスをあらかじめ制限することで、私用のメールアカウントやクラウドストレージサービスの利用を制限することができます。

特定のアプリケーション利用をあらかじめ制限するのであればUTM (※1)、テレワーク環境下においても近いセキュリティー管理を行うのであればCASB (※2) の導入も効果的です。

大事なのは、ルールとシステムを組み合わせて情報の持ち出しを防ぐこと。
「情報を持ち出せない」仕組みを整えることは、副次的に従業員による意図的な情報持ち出し、つまり「不正の対策」にもつながります。

※1 UTM…Unified Threat Management (統合脅威管理)。社内のネットワークと社外のネットワークとの間に設置し、包括的なセキュリティー対策を行う管理手法のこと
※2 CASB…Cloud Access Security Broker。社外からのネットワークへのアクセスも含む、包括的なセキュリティー管理ができるシステムのこと

セキュリティーへの漠然とした不安から「正しい理解」へ

セキュリティー対策で最も重要なのは、「正しく怖がる」ことです。

漠然とした不安を抱くのではなく、具体的にリスクを理解し、適切に対策していくことが大切。
そのためまずは、会社の情報やその管理状況の把握といった基本的な対策から取り組んでいきましょう。

また、社内でセキュリティーに関する事故やヒヤリハットが発生したときには、それを隠すのではなく「学びの機会」と捉えることも有効です。
セキュリティー対策は、知識の量に比例します。
失敗から学び、再発防止に向けて全社で知見を共有することで、セキュリティー体制をより強固なものにできるでしょう。

企業にとって、セキュリティー対策はたしかに負担になるかもしれません。
しかし、それは企業の持続的な成長のために欠かせない投資でもあります。
対策しないままでいることは、さらに大きなリスクを抱えることにもつながります。
セキュリティーリスクを正しく理解し、必要な対策をとることで、会社の資産を守り、持続的な成長を支える基盤になるでしょう。

関連サービス

こんな記事も読まれています