シャドーITとは、企業や担当者が認識できていない機器やシステムの使用や、禁止されている端末利用などを社員が個人で行うことを意味します。

IT技術の発展によって、業務に役立つシステムやデバイスはいくつも誕生しましたが、その量は既に企業が適切に管理することが難しいレベルにまで達しています。

そのため気づかないうちに社員間でシャドーITが蔓延してしまい、リスクの顕在化やトラブルの発展につながる可能性があるのです。

こちらではそんなシャドーITの具体的なリスクと、発生する原因や対処法について解説します。

シャドーITとは？

シャドーITとは、企業や部署が承認していないデバイスやシステム・アプリを、社員の判断で勝手に業務に使用されてしまうことです。

具体的なシャドーITには、以下のようなケースがあります。

• 企業が配布した専用のデバイスにプライベートで使用するアプリをインストールする
• LINEのようなメッセージアプリで顧客に連絡する
• 個人が所有するスマホで業務システムを活用する
• 許可されていないデバイスでクラウドのオンラインストレージにアクセスする　など

無断で企業の端末にアプリをインストールされてしまったり、外部サービスにアクセスされてしまったりするシャドーITは、セキュリティの面で非常にリスクの高い行為だと言えるでしょう。

BYOD（Bring Your Own Device）との違い

BYOD（Bring Your Own Device）とは、社員が個人で所有するデバイスを使って業務を行うことです。

BYODの場合、企業側が個人の所有デバイスの利用を承認してするプロセスが含まれます。

企業側が社員の利用状況を管理できるため、禁止事項を正確に伝えたり、定期的に内容をチェックして問題がないことを確認したりといったことが可能です。

会社が認知しているかどうかという点で、シャドーITとは大きく異なる概念です。

シャドーITのリスク

シャドーITのリスクは、社員の行動ごとに異なります。

以下を参考に、シャドーITがもたらすリスクについて確認してみましょう。

私物の端末利用におけるシャドーITのリスク

社員の私物である端末を業務に使うシャドーITには、情報漏洩などのリスクがあります。

セキュリティ意識の低い社員のスマホ、タブレット、自宅のパソコンなどを使って会社のシステムにアクセスした場合、ウィルスなどによってログインIDやパスワードなどが流出し、そこから外部侵入を許してしまうケースがあるのです。

顧客情報などを管理しているシステムに侵入されれば、個人情報の流出を招き、結果的に莫大な賠償金の支払いなどのリスクを被る可能性があるでしょう。

また、私物の端末は紛失のリスクも高く、会社の情報を保存しておくことは危険だと判断できます。

万が一紛失したスマホに重要情報が保管されている場合、企業にとって想定しきれない範囲での情報流出が起きるかもしれません。

クラウドサービスにおけるシャドーITのリスク

どこからでも簡単にアクセスできるクラウドサービスも、シャドーITによるリスクがあります。

例えば個人で契約しているクラウドストレージ（DropboxやGoogleドライブなど）に事業で使うファイルをアップして共有すると、セキュリティの脆弱性をつかれて情報流出につながる可能性が考えられます。

無料で利用できるクラウドサービスは、企業用のものと比較して高度なセキュリティが設定されていないため、情報を守りきれるという保証はないでしょう。

また、社員がクラウドサービスの共有設定を誤って、誰でも情報が見れる状態にしてしまったり、顧客や相手企業に機密情報の入ったファイルを送信してしまったりといったリスクもあります。

チャットやメッセージアプリにおけるシャドーITのリスク

チャットやメッセージアプリ（ChatWorkやLINEなど）などは、顧客や社員間との連絡にも便利なツールゆえに、シャドーITのリスクを生みやすいです。

例えばメッセージ画面が表示されたまま席を立ってしまい、他人に内容を盗み見られてしまうソーシャルエンジニアリングのリスクが考えられます。

SNSで情報が流出すれば、社員の管理や情報管理ができていない会社として捉えられ、信用が失墜することも考えられるでしょう。

フリーメールによシャドーITのリスク

GmailやYahoo!メールなどのフリーメールも、シャドーITのリスクを持ちます。

フリーメールはその簡易性と利用料金が不要なことから、簡単なセキュリティしか用意していない、もしくは脆弱性を発見されやすいというデメリットがあります。

さらにフリーWi-Fiなどを使って通信をする機会も多く、例えばセキュリティの低いWi-Fi環境でログインを行ったことで、IDやパスワードが盗まれるといったリスクも考えられるでしょう。

盗まれたフリーメールのアカウントには、送信先となる取引先企業や顧客情報が含まれていることもあるため、そういった情報も同時に盗まれてしまいます。

シャドーITが発生する原因

これだけ多くのリスクがありながら、シャドーITの発生は後を絶ちません。

それには、以下のような原因が関係していると考えられます。

社員がリスクを正しく理解していない

シャドーITのリスクを社員が正確に理解していないことは、発生の原因になるでしょう。

「これくらいなら大丈夫」「どの企業もやっている」という認識があると、社員にとってシャドーITは当たり前のことになってしまいます。

そういったITリテラシーの低さが会社全体に広まっていると、シャドーITを止めることは難しくなるでしょう。

生産性向上や効率化につながってしまう

使い方次第ではシャドーITが生産性向上や業務効率化につながってしまうことも、発生を抑え切れない原因です。

シャドーITはリスクがある一方で、社員から見ると効率化につながっているケースもあります。

そのため「成果が出ているから問題ない」と、リスクを度外視してしまう社員も多いのです。

また、テレワークなど個人で仕事をする環境が定着したことで、社員個人がより自分の業務効率化を望む傾向にあります。

その結果私物のスマホを業務に使ったり、便利なサービスやアプリを会社のデバイスにインストールしたりといった行為につながってしまうのです。

シャドーITを全て把握することは難しい

シャドーITの実態は、企業側で全て把握することが難しくなっています。

社員が管理している私物のデバイスの中身や、業務中に使用している全てのシステムを管理することはほとんど不可能であり、その結果シャドーITを取りこぼすことになってしまうのです。

また、1つ2つのシャドーITを発見して対処できても、また別の社員が同じ行為をする可能性があります。

いたちごっこになってしまうため、ただ目の前の問題に対処しているだけでは完全にシャドーITをなくすことはできないでしょう。

シャドーITへの対策

シャドーITを防止するには、いくつか具体的な対策を打ち立てることが重要です。

以下を参考に、シャドーITに有効な対策をチェックしていきましょう。

端末の利用におけるガイドラインの制定

シャドーITを防ぐには、会社内の端末や社員の私物の利用に関するガイドラインを制定することが重要です。

そもそもシャドーITという言葉を知らない社員がいることを想定して、端末の使い方次第でいかに会社にリスクを与えるのか、どんな使い方が問題になるのかを、ガイドラインとともに解説しましょう。

また、同時に端末利用における実態調査を行い、普段からどんな使い方をしているのかを確認するのもポイントです。

シャドーITにまでいたらなくても、それに近い行為（私物端末の持ち込みなど）をしている場合には、注意および禁止事項として伝えておきましょう。

同時に「CASB」のような情報の可視化やセキュリティの向上、脅威への防御などの機能をまとめたサービスを導入して、端末利用を監視することも考えられます。

シャドーITに対する代案を用意する

シャドーITが発生している場合には、社員に対して代替案を提示することも対策の一環になります。

例えば私物スマホの持ち込みが常習化しているのなら、企業から専用のモバイル端末を配布し、それを使って仕事をするように促すことが可能です。

特に社員のシャドーITが業務にメリットを与えている場合、ただ禁止するのではなく、別の方法でその業務のやり方を維持できないか考えましょう。

社員に向けての相談部署の設置

シャドーITを防ぐには、社員が勝手な行動を起こさないようにあらかじめIT関連の相談部署を立ち上げておくことも対策につながります。

社員がシャドーITを行ってしまう理由には、「わざわざ許可を取るのが面倒」「相談できる上司や部署がない」といった環境が原因になることも含まれます。

そのため気軽に社員がIT環境の改善策を提案できる相談部署を設置して、シャドーITではなく正式な企業の施策の一環として取り入れられないか検討する環境の構築がおすすめです。

有益な情報提供や対策を提案した社員に対しては評価を上げるなど、何かしらの「ご褒美」を用意しておくことで、シャドーITが起きるリスクを抑えつつ社員との連携を進められます。

シャドーITのリスクを理解して防止策を徹底する

シャドーITは簡単に発生してしまう性質があるのに、高いリスクをはらんでいる厄介な問題です。

この機会にシャドーITのリスクの種類やその発生原因を把握し、防止するための対策を提案していきましょう。