現代では様々なクラウドサービスが展開されており、日常に溶け込んでいることから企業や組織の従業員がプライベートで使用しているソフトウェアやデバイスを業務でも気軽に利用してしまうケースが多発しています。
しかし、従業員が許可なく利用したソフトウェアやデバイスにはセキュリティリスクがあるため、業務停止や企業情報の流失を未然に防ぐためにはシャドーIT対策が不可欠となります。
今回はシャドーITとは何か、シャドーIT対策として有効なCASBについてご紹介します。
BYODとの違いやシャドーITの事件事例についても併せてご確認ください。
シャドーITとは?BYODとの違い
シャドーITとは、企業や組織において管理部門が許可しているソフトウェアやデバイス・クラウドサービスを従業員が無許可で導入・利用してしまうことを指します。
シャドーITと併せてよく耳にする言葉にBYODがありますが、Bring Your Own Deviceの略で企業から承認を得た個人所有のデバイスを業務で使用することを言います。
シャドーITとBYODの違いは下記です。
| シャドーIT | 企業で承認していないデバイスやサービスを利用している |
| BYOD | 企業が承認している個人のデバイスやサービス |
企業が承認しているか・承認していないのかが大きな違いとなります。
シャドーITが起こる原因
シャドーITが起こる原因は2点あると考えられます。
- 業務効率が上がると思ったため
- 管理ルールが浸透されていない
1つ目は、従業員が業務効率が上がると思い悪気なくサービスをダウンロードしたり、慣れているデバイスで業務を行ってしまったりする原因が考えられます。
2つ目は、企業や組織内で従業員へ貸与しているデバイスの管理ルールが策定しきれていなかったり、浸透できておらず理解されていなかったりということが考えられます。
シャドーITを防ぐためには従業員が使いやすいツールを予め準備をし、シャドーITをしてしまった場合のリスクについて教育を行い浸透を図る必要があります。
シャドーITのセキュリティリスク3つ
シャドーITにおけるセキュリティリスクは下記の3点です。
- ウイルス感染
- 情報漏洩
- 不正アクセス
企業や組織で貸与したデバイスは、予め一定のセキュリティソフトをインストールしておくことができますが、個人のデバイスはインストールされていない可能性が高いと考えられます。
脆弱性のあるデバイスの場合はウイルス感染をしてしまうリスクも高まり、サーバーなどを通じて企業や組織全体へウイルス被害を拡大させてしまう可能性もあります。
また、許可していないSNSや無料ファイル共有サービスなどを従業員が利用した場合は、情報漏洩してしまうリスクもあります。
第三者が不正アクセスをし、業務に関する情報だけでなく個人情報の漏洩をしてしまう可能性もあるため注意が必要です。
セキュリティ脅威となるサイバー攻撃の種類について詳しく知りたい方は「サイバー攻撃の代表的な種類を解説|被害と対策についても紹介」も併せてご確認ください。
シャドーIT対策として有効なCASBとは?
CASB(キャスビー)とは、Cloud Access Security Brokerの略で企業や組織の従業員がクラウドサービスを利用する際のセキュリティを一括管理できるソリューションのことを指します。
主な機能は4つあります。
1. 可視化機能
通信の監視をすることで企業や組織の中で、どのようなクラウドサービスが利用されているのかを可視化する
2.データ保護機能
機密情報の持ち出しをチェックするために、データをアップロードする際やダウンロードの許可・公開設定の許可に加えて、ファイルやデータの暗号化を検知します
3.コンプライアンス機能
企業や組織のポリシーや、設定したルールに沿ってクラウドサービスが適切に利用されているのかを監査します
4.脅威防御機能
企業や組織が利用するデバイスにマルウェアなどの不正ファイルが存在しないか、不正アクセスが行われていないかを検証して見つけた場合ブロックします
DX推進が加速し多様性のある働き方が浸透する現代では、CASBの導入は在宅勤務やリモートワークをする従業員のデバイスを守るためにも1つの有効なソリューションであると言えるでしょう。
シャドーITによる事件の事例
ScanNetSecurityによると、とある県の市役所では一部の業務を委託されたIT企業の社員がUSBにデータを移動させてかばんに入れて持ち歩いたという事象が起こりました。
その後、上記の社員が帰りに飲食店へ立ち寄り、帰宅時までの間にUSBメモリを入れたかばんを紛失してしまったという事件が起こりました。
許可されていないUSBメモリへのデータ移管はシャドーITであり、社外へ持ち出すことも企業や組織によってはルール違反である可能性が高いです。
上記のような事例を起こさないためには、充分なシャドーIT対策の策定が不可欠です。
従業員がシャドーITを使わなくても良い環境作りやガイドラインの作成・教育の徹底が重要であると言えるでしょう。
まとめ
シャドーITとは、企業や組織において管理部門が許可していないソフトウェアやデバイスを従業員が勝手にインストールや使用してしまうことをいいます。
シャドーITが発生してしまう要因は、従業員が業務効率が上がると考えたり企業や組織のセキュリティルールを理解していない場合があります。
CASBなどのシャドーIT対策は、クラウドサービスの利用状況を可視化したり不正アクセスが発生したりした際に自動でブロックするシステムを活用できるため、有効な手段の1つです。
その他にも「Netsuite」などのクラウドERPを導入して業務プロセスやデータを一元化し、従業員が業務しやすい環境を予め作ることもシャドーIT対策になるので、ぜひご活用ください。
関連記事
