年末の大掃除でシャドーITを一掃。シャドーITのリスクと対策

年末の大掃除でシャドーITを一掃。シャドーITのリスクと対策
2023.12.13

年末といえば大掃除。オフィスの汚れを落とし、きれいにして気分良く新年を迎えたいものです。
しかし、目に見えるデスク周りとは異なり、周りのひとの目につかないPC内部のデータやソフトウェアの整理はなかなか手につかず、管理されていないということはありませんか。
システム管理者が管理できないITは、「シャドーIT」と呼ばれ、企業にとって大きなリスクとなります。
シャドーITの対策となるIT資産管理の重要性と具体的な対策方法をご説明します。

セキュリティ無料相談

目次

シャドーITの概要とリスク

「シャドーIT」とは、システム管理者や管理部門が許可・確認していないうちに導入されたハードウェアやソフトウェア、クラウドサービス等のことです。システム管理者が認識していないことから、適切な管理がされずリスクにつながりやすいとされています。
一般的に企業で管理しているPCには、顧客情報や従業員などの個人情報、営業情報や設計図など様々な秘密の情報が保管されています。これらの情報が盗まれたり、あるいは流出した場合、被害者への金銭による賠償や競争力低下、さらには会社の信用低下など多くの問題を引き起こしてしまいます。

シャドーITの種類

無断で導入したソフトウェア

社内で利用してよいソフトウェアに一定の基準を設けている会社もあるかと思います。そういったルールを無視し、社員が好き勝手にソフトウェアを導入した場合様々なリスクが考えられます。

情報漏えいのリスク

チャットソフトのような外部と簡単に通信できるソフトが導入されてしまった場合情報漏えいのリスクが考えられます。
他にも、ファイル共有ソフトをインストールした場合はどうでしょうか。もちろん、ファイル共有ソフトそのものは正しく使えば安全で便利なツールですが、設定ミスによりPCの様々な情報を共有してしまう恐れがあります。
加えて、ファイル共有ソフトのネットワークに悪意を持つ人がいた場合、違法なソフトウェアを入手してしまったり、偽ってマルウェアを送り付けられたりといった危険があります。もしマルウェアを送り付けられれば、これも情報流出の原因になる可能性があります。

ソフトウェアの脆弱性やマルウェアの混入

ソフトウェアに脆弱性がある場合、攻撃されるリスクが発生します。
社員が勝手に導入したソフトウェアはシステム管理者側で把握できないため、 ソフトウェアの脆弱性管理を行えません。そうした管理外のソフトウェアの脆弱性を利用した攻撃を受けた場合、システム管理者は攻撃に気がつくことができず、対応が遅れる可能性があります。
なお、一般的に配布されているフリーソフトを無断で改変し、マルウェアを仕込んで再配布しているサイトもあるため、注意が必要です。

サポートや保守がないことによる業務停止の可能性

ソフトウェアを業務の重要なプロセスに組み込んでいる場合、ソフトウェアの不具合により業務が滞ることがあります。
組織として管理されず、サポートや保守がないソフトであれば、重要な業務が停止したとしても自己責任となり、会社に重大な損害を与える可能性があります。

ライセンスの問題

私的に購入したソフトを会社のPCにインストールして使用している場合、ライセンス違反となる可能性があります。組織がライセンス違反を行ったとなれば、法的な問題に発展する可能性があります。

私的な通信回線やフリーWi-Fi

制限があり会社のネットワークからではアクセスできないWebサイトがある場合、私物のスマートフォンの回線を使ってアクセスしたり、外出先でフリーWi-Fiを利用したりすることで情報漏えいのリスクが発生します。
会社のネットワークからアクセスできないWebサイトは、Webフィルタリングのシステム等で危険と判断されてアクセスできないようになっている可能性があります。また、フリーWi-Fiは盗聴の危険性があります。
このように、システム管理者によって守られているネットワークを避けることは大きなリスクとなります。

クラウドサービス

簡単な登録だけで利用できる便利なクラウドサービスが多数あります。
インターネットさえあれば簡単に利用できる反面、社内のセキュリティの抜け穴になる可能性があります。
自宅で仕事をするために会社として認めていないメールにデータを送信しようとして、管理されている社内メールではなく、フリーメールを使用したり、会社のメールでは添付ファイルの容量制限があるため、ファイル共有サービスでファイルを送信するなど、情報漏えいに直結しやすいサービスが多数あります。

私物の情報機器

USBフラッシュメモリにデータを書き出してデータを持ち出すと、紛失や盗難のリスクが高まります。
さらに、そのフラッシュメモリが会社に許可を得ていない場合、紛失や盗難の発生自体を把握できず、原因特定が困難になったり、情報漏えい事実の公表が送れる原因となります。

シャドーITが発生する原因

シャドーITが発生する主な原因は以下の通りです。

現状のシステム、制限への不満

セキュリティは利便性と相反することが多くあります。 システム管理部門はセキュリティを確保することを仕事とし、様々な制限を設けますが、システムの利用部門はその制限が業務遂行の妨げとなり、抜け道を求めてシャドーITにたどり着くことになります。

新しい技術への興味・関心

新しいテクノロジーは多くの人が興味・関心や期待感を持ちます。
ChatGPTをはじめとする生成AIが話題になった際に、多くの方が興味・関心を持ったり、実際に使用したりしました。
単なる興味・関心のほか、業務の効率化や創造性に期待して使用すると、たとえ悪意を持っていなくとも個人情報や機密情報を生成AIに入力してしまうことがあります。

シャドーIT対策

これらのシャドーITが発生する原因に対してどのような対策を行えばよいのでしょうか。

組織的な対策

セキュリティポリシーの明確化

セキュリティポリシーが曖昧だと利用者も抜け道を作りやすくなります。システム管理部門は明確でわかりやすいポリシーを制定し、社員に周知する必要があります。導入を許可されたソフトやサービスを具体的に提示したり、明確な基準を示すとわかりやすくなります。

システム導入のプロセスの改善

新しいテクノロジーやシステム、サービスの導入に関して、明確なプロセスを定めるとともに、導入の申請に対して迅速に対応できるようにしましょう。

システム管理部門と利用者の協力関係の構築

様々なセキュリティの制限がなぜ必要なのか、利用部門にしっかり理解してもらうのはもちろんのこと、システム管理部門は利用部門の要望を汲み取り、迅速で柔軟な対応を行うことで利用者と良好な関係を構築し、シャドーITが不要な環境を整備すると良いでしょう。

システム的な対策

IT資産管理ツールの導入

シャドーITの対策となるセキュリティツールがIT資産管理ソフトです。
PCにインストールされているソフトウェア情報を収集し、可視化する機能や、Webサイトの閲覧状況などのモニタリングはもちろんのこと、特定のソフトを起動できないよう制御し、情報管理者が意図しないソフトウェアの利用を防止したり、クラウドサービスへのアクセスを禁止したりすることができます。
そのほか、外部メディアの利用を制御したり、重要なファイルをコピー記録やスクリーンショットをとった瞬間を記録を保存することが可能です。

当社が提供する「ALSOK IT資産管理」は、上記のような機能をクラウドサービスで提供するとともに、運用や設定の代行・支援をALSOKが行います。
システム管理者への負担が大きい運用管理の多くをALSOKに任せることができるため、簡単にIT資産管理を実現できます。

まとめ

シャドーIT対策を怠ると、シャドーITを悪用され、情報漏えいやサイバー攻撃の被害に遭いやすくなってしまいます。
システム管理部門はシャドーITが発生しないように利用部門と良好な関係を構築するほか、IT資産管理ツールを活用することにより、システム的な制限、管理コストの削減を行うことができます。
年末の大掃除の機会に、シャドーITについても対応を検討し、清々しい新年を迎えましょう。

セキュリティ無料相談