セキュリティの
学び場

シャドーITとは？

「組織が把握せずに組織内で利用されているIT（情報サービス や 情報機器）」をシャドーITと呼びます。 例えば、以下のようなものがシャドーITとして挙げられます。

「普段使いなれた情報サービスを使いたい」や「会社貸与と個人のスマートフォンの両方を携帯するのは面倒」といった考えからシャドーITが発生することが多々あります。 実際、個人のスマートフォンを 会社が認めた範囲で 業務利用できるようにするBYOD（Bring Your Own Device）も広く活用されています。このように、「シャドーITを防ぎつつ、ITを管理・活用する」事が近年求められています。

シャドーITのもたらすリスク

シャドーITは「組織で管理されていない」ため、以下のような問題があります

1 データ損失や漏洩のリスクが高い

一般的に、組織のITシステムは機密性、完全性、可用性が保たれるよう構築されます。 このようなプロセスを得ずに構築されたITシステムではデータ喪失や漏洩等のリスクが高くなります。

例)
・組織の許可を得ずに部署内にファイルサーバを構築したが、機材の故障で重要なデータを喪失した
・在宅勤務で個人のPCで業務を行ったが、組織で導入したマルウェア対策で保護されておらず、業務データが漏洩した
・組織の許可を得ずデータの持ち出しやクラウドサービスの利用が可能であったため、従業員による機密データの持ち出しが発生した

近年も「開発者がWeb上のスキル評価サービスを利用するために業務で作成したソフトウェアのソースコードを公開リポジトリにアップロードした」等の事例が見られます。

2 組織が従うコンプライアンスから逸脱する

組織によっては PCI-DSS (クレジットカードを扱う際の規定) や GDPR（欧州のデータ保護に関する規定） のようなコンプライアンスに従うことを定めているかと思います。 シャドーITの存在はコンプライアンスへの準拠を困難にします。

3 コスト上のデメリット

シャドーITはセキュリティ上の問題だけでなく、コスト的なデメリットにもなりえます。 組織でITシステムを構築する際にはデータ連携等を効率的にできるよう、システムに一貫性を持たせます。 一方で、シャドーITにより複数のグループウェアやファイル形式が混在する場合、このようなデータ連携が困難になり、コスト的にもデメリットになる場合があります。

シャドーITを防ぐには

シャドーITを防ぐ第一歩としては情報資産の把握が挙げられます。ISMS等のコンプライアンスでは情報資産を台帳等で管理することを定めています。 情報サービスや情報機器などのIT資産を組織として把握し、管理することが「組織が把握していないIT = シャドーIT」を防ぐ第一歩になります。

また、シャドーITを防止するための仕組としてCASB（キャスビー）が挙げられます。 CASBは端末やネットワークを監視することで組織内で利用されるクラウドサービス等のITを監視し、シャドーITを可視化します。

在宅勤務の普及に伴い、シャドーITの問題はこれまで以上に大きな問題となっています。 IT自体は組織の発展に欠かせない要素であり、在宅勤務の実現においても重要な役割を果たします。 今後はシャドーITを防ぎつつ、ITを活用することが求められていくと考えられます。