スマートフォンやタブレット、クラウドサービス、そして安価になったIT機器は、業務の効率を向上させてくれます。しかし、企業などの組織がその存在を把握していない「シャドーIT」は、大きなリスクとなります。企業などの担当者は、こうしたシャドーITを把握し、適切に管理することが求められます。ここでは、シャドーITが企業にどのようなリスクをもたらすのか、具体例を挙げて説明するとともに、対応策を紹介します。
1 シャドーITとは
企業などが利用実態・存在を把握していないクラウドサービス・スマートフォン・タブレット・IT機器などは「シャドーIT」と呼ばれます。端末については盗難や紛失のリスクがありますし、クラウドサービスの利用は情報漏えいのリスクを考慮しなければなりません。
企業などによって適正に管理・把握されていないシャドーITは企業のセキュリティ対策に新たな「穴」を開けてしまうリスクがあります。
2 シャドーITの具体例とリスク
シャドーITは、従業員が効率を重視して使用してしまうことが多く、本人にシャドーITを使用しているという意識が薄いことが特徴です。また、同じクラウドサービスを利用していても、それを把握している企業と把握していない企業ではギャップが生まれてしまいます。具体的な例でみていきましょう。
2-1 クラウドメールサービスの利用
Gmailに代表されるクラウドメールサービスは、Webブラウザからサービスにログインすることで、端末を選ばずにメールを利用できるサービスです。サービスには複数のメールアカウントを登録でき、一括管理することが可能です。特に、AndroidをOSに搭載するスマートフォンやタブレットでは、Googleアカウントの登録が必須です。
GoogleアカウントはGmailにも使えるので、ここに個人用や会社用のメールアカウントを登録すれば、業務メールにもスマートフォンから素早く対応できます。しかし、うっかり別の人にメールの返信や転送をしてしまう可能性もあり、情報漏えいやマルウェア感染につながってしまうリスクがあります。
2-2 クラウド翻訳サービスの利用
クラウドで提供される翻訳サービスは、手軽に使える上に多くの言語に対応しており、重宝するサービスです。最近では翻訳の精度も上がっており、英語が苦手でも簡単に英文メールを作成することができます。しかし、クラウド翻訳サービスでは、翻訳の精度を向上するために利用者が入力した文章を保存しているケースが少なくありません。
例えば、英文の契約書をクラウド翻訳サービスで日本語化した場合などでは、コピーしてサービスに貼り付けた内容が保存され、何らかの理由で外部に漏えいしてしまう可能性があります。企業にとっては大きなダメージを受けるリスクといえます。
2-3 クラウドストレージサービスの利用
クラウドストレージサービスは、様々なファイルを保存したり、メールには添付できないような容量の大きいファイルを受け渡しする際に便利なサービスです。クラウドストレージサービスの多くは、個人用のサービスと法人用のサービスが提供されています。例えば、取引先からクラウドストレージサービスを使用して資料などのファイルが届くことも多くなりました。
通常、法人用のサービスは有料ですが、セキュリティ対策がしっかりとなされています。しかし、個人用のサービスは無料で提供されていることが多く、その分、法人用のサービスよりもセキュリティ機能が弱くなっています。法人用のサービスから受け取った業務用のファイルを個人用のサービスに保存してしまったり、その際にうっかり共有フォルダに保存してしまうことも考えられ、情報漏えいのリスクがあります。
2-4 メッセンジャーアプリの利用
オンラインメッセンジャーやチャット機能も、クラウドサービスで提供されています。例えば、マイクロソフトのWindowsでは、メッセンジャーアプリのSkypeが純正ツールとして用意されており、OutlookなどからSkype経由でメッセージを送ることができます。日本ではLINEの利用率が高く、スマートフォンやタブレットのアプリでは、連絡先のデータを読み込むこともできます。
こうしたアプリは、起動していれば第三者が会話履歴を見ることができますし、転送したファイルも確認できます。喫茶店でノートPCを起動したままトイレに行ったり、スマートフォンを紛失してしまったりすると、情報漏えいにつながるリスクがあります。
2-5 PaaSやIaaSにおけるシステム環境などの構築
クラウドサービスは、ソフトウェアをクラウド経由で利用できる「SaaS(Software as a Service)」(主に上記2-1から2-4のようなサービスが該当します)のほかに、OSなどのソフトウェアを稼働させる環境を提供する「PaaS(Platform as a Service)」、システム基盤やネットワークなどのインフラを提供する「IaaS(Infrastructure as a Service)」などのサービスがあります。
PaaSやIaaSは、本番環境として利用できることはもちろん、短期間での利用や小規模での利用が可能なため、試験環境や検証環境としても利用されています。例えば、企業の事業部側がプロジェクトでプロトタイプのシステム作るために、IT部門を通さずにIaasを利用して、検証用のデータとして自社の生データを使った場合などは、情報漏えいのリスクがあります。
IaaSは手軽にシステムを構築できるため、部署単位で許可なく利用してしまうケースもあります。たとえ検証環境として構築しても、公開設定やアクセス制限設定などにミスがあると、外部から容易にアクセスされてしまいます。さらにPaaSでは、アプリケーションを開発する際に使用した基本コンポーネントに脆弱性が存在していることもあり、不正アクセスの原因になってしまいます。
2-6 スマートフォンの業務PCへの接続
スマートフォンは、PCに接続することでストレージデバイスとして利用することもできます。特にAndroidをOSに搭載するスマートフォンでは、ストレージ機能を有効にしてPCに接続すると、外部ドライブとして認識されます。スマートフォンを充電しようとしてPCに接続したら、フォルダが表示されたという経験があるかと思います。
実際に、この方法で企業などの重要なファイルを外部に持ち出されたケースもあり、情報漏えいのリスクがあります。セキュリティ対策ソフトや資産管理ソフトなどでは、ストレージ機能を無効にできるものもありますが、最近ではデバッグモード(アプリケーションの開発者向けの機能で、端末をパソコンにつないで、パソコンから端末を操作できるようにするモード)での接続でもデータを持ち出せることが確認されています。
2-7 外付けハードディスクや無線LANルータの利用
企業などの共有ストレージの容量が少ない場合に、安価な外付けハードディスクを部署単位で購入することがあります。外付けハードディスクやNAS(Network Attached Storage、コンピュータネットワークに直接接続して使用するファイルサーバ)には、リモートアクセス機能が搭載されているものもあります。出先からでもデータにアクセスできるため便利ですが、外部から不正にアクセスされる可能性もあります。
また、同様に部署単位で無線LANルータやアクセスポイントを増設するケースもあります。こうした機器も非常に安価になっており、手軽に無線LANを増設することができます。しかし、暗号化の強度が弱かったり、脆弱性が存在することも多く、外部の人間が無線LANの通信を盗聴して内容を盗み出したり、無線LANに入り込んでPCに不正アクセスしたりする可能性もあります。
3 組織のシャドーIT対策
シャドーITはリスクが大きいので、早期の対策が必要です。ただし、やみくもに禁止することは、業務効率の低下や従業員のモチベーションの低下を招くことがあります。しっかり対策をした上で、許容することも考えましょう。
3-1 ニーズや利用状況を把握する
まずは、企業など自組織にどのくらいのシャドーITが存在するかを把握することから始めましょう。現状を把握した上で、なぜシャドーITを利用しているのか、その目的を聞き出してニーズを把握します。
システムで対応するのであれば、「CASB(Cloud Access Security Broker)」が有効です。CASBは企業や従業員が使用するデバイスとクラウドサービスとの間で通信を監視するため、把握されていないクラウドサービス利用を洗い出すことができます。また、インラインに設置するタイプのCASBであれば、把握されていないBYODを洗い出すこともできます。
ただし、いきなりシステム面での対応をすると、従業員の反発を買ってしまう可能性もあります。別の対策を実施するにしても、導入を前提としたアンケートやヒアリングを事前に行うと良いでしょう。アンケートでは、個人所有や管理部門の許可を得ていないデバイスの利用状況について質問を設定します。この場合、アンケートの内容は管理部門が作成しますが、回収や集計は各部門のリーダーに任せた方が効率的です。
ヒアリングの場合も、管理部門が各部門のリーダーにヒアリングの目的や内容を伝え、各部門のリーダーから各メンバーに実施した方が良いでしょう。突然管理部門の人間が来てヒアリングをすると、従業員側が緊張してしまいますし、管理部門の作業負荷が大きくなってしまいます。現場を知る各部門リーダーがちょっとした時間に従業員を集めて、気軽な感じで行います。
アンケートもヒアリングも、あくまで目的はシャドーITの把握であり、コンプライアンス違反を責めることではありません。従業員には、それをしっかりと伝えましょう。シャドーITを使う便利さや効率の良さは、使用している本人が最も理解しています。逆に、効率の良いサービスを聞き出すくらいの姿勢が良いでしょう。
3-2 対応策を施していく
現状とニーズを把握したら、それぞれのシャドーITについて対応策を検討していきます。例えば、企業などで支給している携帯電話やスマートフォンではクラウドサービスの利用が制限され、個人所有のスマートフォンを使用してしまうというのであれば、代替えサービスの提案や支給端末のスマートフォンへの変更を検討します。あるいは、各個人のスマートフォンやタブレットをBYODとして業務で使えるようにします。
リスクの高いクラウドサービスについては、代替案を提案するか可能であれば法人向けサービスの利用を検討しましょう。例えば個人向けのクラウドサービスに対し、管理機能のある企業向けクラウドサービスに登録し、そのアカウントを利用してもらうことなどです。企業向けのクラウドサービスであれば、多要素認証や暗号化機能、ログの保存機能などが用意されていて、安全に利用できます。
BYODを認める場合、スマートフォンでは端末代や通信料金をどのように算出するかが問題になります。これは単純に割合で算出するか、BYOD用のアプリを導入し、その利用時間から算出するなどの方法があります。BYOD用のアプリは、起動することでスマートフォンにBYOD用のエリアを作り、個人用のアプリを起動できないようにするものなどがあります。
外付けハードディスクや無線LANルータといったIT機器の場合は、必要なときにすぐに導入できるような仕組みを検討するなどの方法が考えられます。いずれにしても、従業員の業務効率を下げないようにすることがポイントです。
3-3 教育によりリテラシー向上を図る
システム的な対策も重要ですが、実際に利用する人間への対策、つまり教育も重要なポイントになります。セキュリティ教育は、入社時のほか年に一回程度の頻度で実施しているケースが多いようですが、特にリテラシーに関する教育を重視するようにします。リスクを正しく理解することで、危険な操作を防ぐことができます。
シャドーITに関する教育では、個人用デバイスや無許可のデバイスの利用、およびクラウドサービスの利用におけるリスクを理解してもらうことが重要です。例えば個人向けのクラウドサービスでは、認証が甘かったり、保存したデータの暗号化機能がなかったり、操作ログを取得できないなどのセキュリティ上の問題があります。それによるリスクを理解してもらいましょう。
教育については、外部から専門の講師を呼んで講習を行う高価なものから、インターネットで動画として提供される安価なものまで、多くのサービスが提供されています。従業員のレベルや必要な時間、コストなどを考慮して、最適なサービスを利用しましょう。
3-4 組織によって異なる対策
シャドーIT対策には、社内で使用される端末やIT機器を定期的にチェックし、使用状況を把握することが大切です。そして、シャドーITを使用するリスクを従業員にも理解してもらい、適切な使用を提案します。さらにセキュリティ対策として、資産管理ソフトなどを活用して社内ネットワークに接続される機器に十分なセキュリティ対策を施せるようにすべきでしょう。
把握・対策の実施・社員教育を実施していくにあたって、社内のIT環境・社員の意識・タイミングなどによって対策が異なっていきますので、何を優先するかを明確にしてバランスを取った対策が必要です。
4 今後も拡大するシャドーITの課題
以前は企業などのシステムはオンプレミス(物理)環境がほとんどで、社内では有線LAN、社外ではノートPCからISP(インターネットサービスプロバイダー)などの回線を通じて社内ネットワークにアクセスしていました。そのため、個人所有のIT機器が企業内に持ち込まれることも少なく、管理しやすかったといえます。それが、スマートフォンやタブレット、クラウドサービスの普及、そして安価になったIT機器により、状況が大きく変わりました。
スマートフォンやタブレットは、複数の通信機能を搭載する上に、マイクロソフトの「Word」や「Excel」といった、業務に利用できる様々なアプリが提供されています。また、メールやオンラインストレージなどのクラウドサービスを利用することで、出先でもちょっとした時間に業務用のメールを送受信したり、業務用のファイルを確認するといったことが可能になりました。
社内においても、IT機器の低価格化によって、USBメモリや外付けハードディスク、無線LANルータなどを部署単位で導入するケースも増えています。社内で稟議を上げても、実際に導入されるまでに数カ月かかってしまうケースもあるので、安価であるし買ってきた方が早いというわけです。
今後も企業のクラウドサービス利用は大幅に増えていくことが見込まれており、シャドーITの存在は企業のセキュリティ対策において大きな課題となります。
5 まとめ
インターネットサービスやIT機器などは新陳代謝が激しく、次々と新しいサービス・ソリューションが提供されていきます。また、スマートフォンやクラウドサービスの効率の良さを体験してしまうと、使い勝手の良いほうで業務を進めてしまうケースもあり、結果としてシャドーITの利用を招いてしまいます。新たなクラウドサービスの導入や新製品の導入、会社支給端末のリプレイスなどは、企業によってサイクルが異なるため、なるべく早く対応を実現できる仕組み作りを進めるとともに、セキュリティを担保するための代替策も検討する必要があります。
業務の利便性と共にセキュリティを担保した環境を従業員に提供し、気持ちよく業務を遂行してもらうためにもシャドーIT対策をしっかり行いましょう。
著者:マカフィー株式会社 マーケティング本部
