新型コロナウイルス感染症の流行を背景にリモートワークが一般化し、利便性の高いクラウドサービスが増加する一方で「シャドーIT」という問題が顕著になりつつあります。
今回は、シャドーITについての定義やセキュリティリスク、シャドーITが原因で発生した事件などについてご紹介します。また、シャドーITを解消、防止するための具体策やツールについて解説しています。
「シャドーIT」とは、組織内でITに関する活動やサービスが、組織の公式なIT部門や方針によらずに行われる現象を指します。具体的には、従業員が自身で導入したり利用したりするITリソースやサービスのことを指し、組織内での規制や管理が不十分な状態を示します。
シャドーITの例としては、以下のようなものが挙げられます:
個人のクラウドストレージの利用: 従業員が業務用ではなく個人用のクラウドストレージ(例: Google ドライブ、Dropbox)を利用してデータを保存・共有すること。
個人のSaaSアプリケーションの利用: 従業員が自分自身でSaaSアプリケーション(例: Trello、Slack、Asana)を導入してプロジェクト管理やコミュニケーションを行うこと。
個人所有のデバイスの使用: 従業員が会社のポリシーやセキュリティ要件を無視して、個人所有のデバイス(スマートフォン、タブレット)を業務に使用すること。
外部ネットワークの利用: フリーWi-Fiなど外部のネットワークに接続して業務用パソコンを利用すること。
キヤノンマーケティングジャパン株式会社が2021年に行った「情報セキュリティ意識に関する実態調査」では、国内企業におけるシャドーITの現状が報告されています。
画像出典:キヤノンマーケティングジャパン株式会社「情報セキュリティ意識に関する実態調査」より
4割弱の方が許可なし(許可不要)の状態で、個人所有の端末を業務に利用していることがわかります。この調査結果からもわかるように、シャドーITは、多くの企業にとって避けては通れない課題となりつつあります。
また、地方の中小企業ではコミュニケーションツールとして個人のLINEを使用しているケースが良く見られます。
従業員個人としては使い勝手はいいかもしれませんが、これらの「個人所有端末利用=シャドーIT」を放置しておくと、さまざまなセキュリティリスクが起こる可能性も高いため、早急な対応が求められます。
個人に権限があるシャドーIT。情報セキュリティ面に置いて、様々なリスクを孕んでいます。
最も大きなリスクは、情報漏えいだと言えるでしょう。
例えば、LINEなどのチャットツールは、サービス提供事業者のサーバーへ内容が保存されていることが多いです。事業者のサーバーがハッキング被害などのサイバー攻撃を受けた場合、情報漏えいにつながるリスクがあります。また、個人のチャットツールにはプライベートの知人など、企業からみれば部外者の連絡先が多数登録されていることと思います。個人が社外秘の内容を部外者に誤送信してしまっても、重大な情報漏えいになります。
そして、シャドーITとしてクラウドストレージなどのファイルサーバーが利用されていた場合、かなり大きなリスクになります。クラウドストレージに一度入られてしまうと、重要な情報を記載した多数のファイルが保存できてしまいます。
また、シャドーITを起因として、情報漏えいやマルウェア感染が発生した場合、実態把握も困難となってしまいます。事前の対策はもちろんのこと、なにかあったときの動きも難しくなってしまうのです。
シャドーITに利用しているチャットやクラウドストレージなど、サービスアカウントそのものを乗っ取られることも想定されます。
乗っ取られたことで情報を盗まれたり、連絡先に登録されている取引先などの各所にスパムが送られてしまい、迷惑をかけることにも繋がります。一気に信用を失ってしまうリスクがあるでしょう。また個人管理になるので、アカウントが乗っ取られたときの迅速な対処は難しく、被害の広がりも大きくなることが想定されます。
企業の管理していない個人所有のデバイスがマルウェアなどに感染している状態で企業内の無線LANなどに接続した場合、社内ネットワーク全体が脅威にさらされます。そして、そのネットワークに接続した機器に広がってしまい、データが盗まれ破壊されるといった被害が考えうるのです。
2021年8月4日、岡山大学病院は患者約270人分の個人情報が漏えいしたと発表しました。
まず、医師が個人で使用していたクラウドサービス用ID・パスワードが、フィッシング詐欺により窃取されました。そして、そのID・パスワードで紐づけられたクラウド上の保存データなどにアクセスできなくなったとのことです。保存されたファイルは攻撃者により閲覧可能な状態になっており、アカウントを乗っ取られた上でパスワードを変更されたことがわかります。
病院側は、本人確認ができない状態になったためアカウントを取り戻すことができず、クラウドサーバの利用停止ができないと説明しています。大学側によると、医師は患者の個人情報を「特定できる状態」で病院外でもデータ閲覧できるよう保存していたようです。
(参考:フィッシング詐欺による患者情報漏洩インシデントの発生について: 岡山大学病院)
シャドーITが要因となり、個人情報の漏えいへとつながってしまった今回の事例。対策としては、医師が使用するツールの最適化やシステム部門による管理、そしてファイル暗号化を行うが有効だったと考えられます。もしこのデータが権限のある人間にのみ閲覧できるよう「暗号化された状態」で保存されていれば、今回の事故は最小限に防ぐことができていた可能性もあります。
主に2つのステップで対策を打つ必要があります。
そもそも、従業員の中でシャドーITが広がってしまうのは、業務上で許可されているデバイスやサービスに不便を感じているからです。
会社として適切なツールが用意されていない、もしくはセキュリティが強すぎて何もできないという状態になると、ユーザーは個人のツールを使って業務をしてしまう、いわゆるシャドーITが横行する事態に発展します。
社員が働きやすい環境を整えるのは会社の責務であるので、利便性とセキュリティのバランスを考えて利用ツールを整える必要があります。
また、適切なツールの利用方法を社員に教育し、適切な利用法の確立を図ることが重要です。社員がツールの使い方や情報の取り扱い方を正しく理解していれば、シャドーITの発生リスクを減らすことができます。
例えば、業務には社内外と円滑なやりとりができるコミュニケーションツールの利用が必須です。そこで、効率化や高い利便性、そしてセキュリティも担保され、利用できるのがマイクロソフトが提供する「Teams」です。
コミュニケーションツールとして「チャット機能」が利用できるのに加え、資料を共有する機能、通話やビデオ会議を開催する機能、各種 Office 365 ツールと連携できる機能などが集約され、搭載されています。また、過去のやり取りを検索することもでき、モバイルアプリも提供されているので、いつでもどこでも Teams を起動するだけで必要な情報にアクセスすることができるようになります。
またTeamsの企業利用率も年々伸びてきており、大企業であればあるほどその割合は高いようです。
日本中、世界中で使われている Microsoft Teams
まずは Teams が、日本でどのくらい使われているかを見てみましょう。日経 225 企業での Teams の利用率は、2020 年 4 月に 84%、その 1 年後の 2021 年 4 月には 94% になっています。さまざまな業種で構成される日本の大企業 225 社の 94% が利用しているという非常に高い数字です。また、1 年で 10% もシェアが伸びています。
最適なコミュニケーションツールを選定するためには、利便性とセキュリティの両方を考慮する必要があります。ユーザーが使いやすく、かつ企業の情報漏洩のリスクが低いツールを選ぶことが求められます。また、社内の要件やニーズに合わせてツールを選定することも重要です。
細かな仕様や自社に最適なツールに迷ったときは、ぜひ専門家に一度ご相談ください。大きな事件に繋がる前に、迅速に対応しておきましょう!