情報漏えいの原因の大半が「不正アクセス」や「マルウェア感染」だと思っていませんか?実際にはそうではありません。ネットワークセキュリティに関する啓発、教育、調査研究及び情報提供に関する事業を行っている日本ネットワークセキュリティ協会(JNSA)によれば、2018年に発生した情報漏えいの原因の内訳は「紛失・置き忘れ」が26.2%、「誤操作」が24.6%、「不正アクセス」が20.3%、次いで「管理ミス」が12.2%となっています。意外なことに、内部要因による情報漏えいが全体の63%以上を占めているのです。
出典:JNSA『2018年 情報セキュリティインシデントに関する調査報告書【速報版】』(https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf)
その内部要因による情報漏えいを誘発しているのが「シャドーIT」と呼ばれるセキュリティリスクです。シャドーITとは何なのか?なぜ危険なのか?本稿ではそのリスクと種類、そして対策方法をご紹介します。
シャドーITとは?
最近では、従業員が個人的に使用している端末(パソコン、スマートフォン、タブレット)をビジネス上で利用することを許可する企業が増えています。これを俗に「BYOD(Bring Your Own Device)」といいます。
仕事を遂行するうえで企業が貸与する端末を使用させるよりも、従業員個人が普段から使用している扱いやすい端末を使用する方が仕事効率も上がり、かつIT予算を削減できるというメリットがあることから最近では多くの企業がBYODを認めつつあります。
一方で、企業が認可していないにもかかわらず、個人用の端末や端末だけではなくソフトウェア、クラウドサービスなどを使用している従業員も見受けられます。これが「シャドーIT」です。IT管理者にとって影(シャドー)のように存在するIT機器やソフトウェア等、というのが語源です。たとえば、以下のような行為がシャドーITに該当します。いずれもIT部門等企業が認可していない個人の判断で利用しているものを指します。
- 個人利用向けのクラウドストレージを仕事で“勝手に”使っている
- LINEなどの無料コミュニケーションツールを業務連絡に使っている
- 個人用の端末を会社に許可なく使っている
思い当たるところはないでしょうか?もちろん、これ以外にも端末やソフトウェア、クラウドサービスを会社の認可無く使用している場合は、すべてシャドーITと言えます。
シャドーITのリスク
無断で個人用端末やソフトウェアなどを使用することの何が問題なのでしょうか?中には、「その方が作業効率も上がるし、会社としても良いことなのでは?許可は得てないけれどBYODと同じでしょ?」と考える方がいらっしゃるかもしれません。しかし、その認識は危険であり、会社のセキュリティを悪化させ、情報漏えいリスクを増大させています。
では、シャドーITが横行することで企業はどのようなリスクを背負うことになるのでしょうか?
リスク1. メールの誤送信
ビジネスに欠かせないツールであるメール。通常は企業向けのメールサービスを利用し、ドメインを取得してセキュリティが整われた状態で使用するものです。社内や顧客とのやり取りの多くは機密情報であり、個人用メールサービスを利用するなどあってはならないことです。しかし、シャドーITの割合として個人用メールサービスは多くを占めており、さまざまな危険に溢れています。特に、社内や顧客に向けて送信するはずのメッセージをプライベートの知人に送信してしまったという事例が多発しています。「自分の知人だから大丈夫」と考えてはいけません。誤送信した時点で情報漏えいです。企業は顧客からの信頼を失い、仕事も失うかもしれません。
リスク2. ファイルを第三者と共有
シャドーITの割合として多いサービスのひとつとして、クラウドストレージが挙げられるでしょう。仕事で使用する資料や画像などのファイルをネット上に保管しておけば、いつでも好きな時にファイルを参照したり、編集したりできるため仕事の効率が上がると考えていることと思います。誤送信の心配も無いし、セキュリティもクラウドベンダーが実施しているから安心だろうと考えがちです。しかし、クラウドストレージはアクセス権の設定次第ではファイルを第三者に誤って共有してしまうリスクがあります。また、インターネット上に公開された状態で放置してしまうなどの危険もあります。また、クラウドストレージベンダーのポリシーに依存する部分があり、例えばGoogle系無料サービスはユーザーが保管している情報はGoogle側でサービス品質向上に利用されているため、企業のセキュリティポリシーに大きく反する可能性もあるのです。
リスク3. 端末の紛失・置き忘れ
JNSAがまとめた資料にもある通り、情報漏えいの原因として最も多いのが端末の「紛失・置き忘れ」です。特に個人利用しているパソコンやスマートフォンなどは、プライベートでも使用していることから紛失や置き忘れのリスクが倍増しています。どんなに注意しても紛失や置き忘れは起きてしまうものなので、シャドーITにおいて最も高いリスクかもしれません。ちなみに端末だけでなく、USBフラッシュメモリやSDカードといった保存メディアを会社の認可無く使用している場合も、紛失・置き忘れによる情報漏えいが発生しやすくなっています。
この他にも、LINEなどの無料コミュニケーションツールにおけるなりすまし、個人向けクラウドサービス等からのパスワード流出、不十分なセキュリティ対策によるマルウェア感染、カフェ等で使用する無料Wi-Fiからの不正アクセスなどなど、シャドーITのリスクは至るところに潜んでいます。
シャドーITの対策方法
社内で認可されていない端末やソフトウェア、クラウドサービスなどの使用が発覚した際に、端末の利用状況などを監視するセキュリティシステムを導入する企業は少なくありません。しかし、それだけでは防止できないからこそシャドーITが蔓延し、機密情報などを危険にさらしています。
対策を考えるにあたってまず考慮すべき点は、「従業員はリスクがあると理解しつつも、利便性が高いから個人用の端末やソフトウェアなどを使用している」ことです。当然、中にはリスクをまったく考慮せず、考えなしにシャドーITを実行している従業員もいるでしょう。ところが大半の従業員は、リスクを承知の上なのです。
そこで対策として、「社内で使用している端末やシステム、ソフトウェア等の利便性を向上し、シャドーITを抑止する」という方法があります。
端末の利用状況などを監視するセキュリティシステムを導入するような単に上から圧力をかけるような対策方法では、強制力を持たせるという点では有効ですが、シャドーITを根絶できません。便利だから使っているということからわかるように、正規のITで従業員の利便性を追求するという反対の観点からのシャドーIT根絶のアプローチを考える必要があります。
さらに、シャドーITが横行することで何が危険なのか?なぜやってはいけないのか?発生するリスクと、リスクが現実になった際にうける会社の損失、個人の損失についてしっかりと説明し、従業員全体の理解を得ることも寛容でしょう。
もしも、社内でシャドーITが発覚した際は本稿でご紹介した対策方法を思い出し、闇雲にシャドーITを禁止するのではなく、まずは冷静になって「どうすればシャドーITを抑止できるか?」を、さまざまな視点から考えてみてください。そして、企業の業務で必ず発生する文書のやり取り、データのやりとりなどをセキュアに保護しながら、従業員や顧客の利便性を確保する方法を探している方はBoxをご検討ください。
