シャドーITとは？情シス担当者なら覚えておきたい技術用語

企業の情シス担当者は社内システムの整備に加えて、ライセンスや資産管理、システムに関するオンボーディング、セキュリティ対策など業務内容が多岐に渡ります。ちょっとした不具合によって企業の業務全体に影響を及ぼす可能性があり、その責任も重大です。

そんな情シス担当者ならぜひ押さえておきたい技術キーワードを解説するのが本記事になります。今回は「シャドーIT」を取り上げます。

シャドーITとは

シャドーITとは、情シス担当者があずかり知らないところで使われている情報システムやデバイス、クラウドサービスおよびソフトウェアなどになります。外部から持ち込まれた機器によって情報流出を招いてしまったり、企業内ネットワークを不通にさせてしまうケースもあります。

こうしたシャドーITは2000年代から問題視されていましたが、最近ではスマートフォンやクラウドサービスの隆盛によって、さらに管理を困難なものにしています。

従来のシャドーIT

00年代におけるシャドーITとしては、USBメモリーがよく話題に挙がっていました。セキュリティチェックのされていないUSBメモリーを差し込むことでマルウェアに感染したり、社内ネットワーク上にある情報を盗まれるケースもありました。そのためUSBポートを無効にしたり、差し込めないようにすると言った対応が取られました。

また、金融機関などにおいては個人所有のスマートフォンは持ち込めないようにするなど、物理的な対応を取るのがシャドーIT対策として行われていたものになります。

現在のシャドーIT

最近ではUSBメモリーやCD-ROMといったハードを用いた情報授受は少なくなっており、クラウドサービスやメールを利用することが増えています。その結果、ハード面で対策を取っていてもすり抜けてしまうことが増えています。

ソフトウェアについてはインストールを禁止していても、ユーザー権限で実行できる仕組みがあるためにソフトウェアレベルでの対策は難しくなっています。企業においてはクラウドサービスではホワイトリスト方式による対策（インターネット利用は全般的に駄目で、許可されたサービスのみ利用可能とする）を取っているケースもあります。

シャドーITにおける課題

シャドーITを管理する上での幾つかの課題について解説します。

通信の暗号化

現在、ほとんどのWebサービスがSSL/TLS（HTTPS）で提供されています。社内にプロキシーサーバーを立てている場合においても、どのURLへアクセスしているかは把握できても、その通信内容までは読み取れません。そのため、許可されているクラウドサービスであったとしても、機密情報を送信したかどうかは分からない状態です。

アクセス権限

現在、多くのセキュリティインシデントは不用意なアクセス権限設定によって発生します。社外秘のファイルが全公開設定になっていたり、不特定多数へメール送信してしまうと言った具合です。こうしたアクセス権限が本当に正しい状態になっているかどうかを情シス担当者が把握しきるのは困難でしょう。

BYODとは

シャドーITと共によく言われるキーワードがBYOD（Bring Your Own Device）です。スマートフォンやノートパソコンなど、個人の持ち込み機器を社内で利用すると言ったケースを指します。これは予算の大きくないスタートアップ、中小企業でよく見られる形です。BYODは企業が許可しているという点において、シャドーITとは一線を画します。ただし個人資産であるため、企業の求めるセキュリティ水準の適用が難しいのも事実です。

昨今、リモートワークが増えてたために個人宅にあるデバイスを業務に活かすケースが増えています。少なくとも各個人の家にあるルーターやアクセスポイントをすべて管理するのは困難であり、そこにセキュリティホールがある可能性は捨てきれないのが実情です。

なぜシャドーITが増えるのか

シャドーITが存在する最も大きな理由は、会社支給のデバイスやソフトウェア、サービスでは業務のスムーズな運行が難しいためです。デバイスのスペック不足、不便なソフトウェアの利用を強いられる、クライアント企業の要件と不一致などが課題になります。こうした不便さの中で、シャドーITを利用することで業務を進めようとする考えが生まれます。

特にこうした考えはITリテラシーが高く、様々なサービスを知っている従業員において発生しやすくなります。ITリテラシーが高いために自分は大丈夫だと過信してしまい、不用意な情報漏洩やシステムへの不正アクセスを生んでしまいます。ITリテラシーが低い場合には企業から与えられた設備を利用し、許可された範囲内でのみシステムを利用しますので、大きな問題は発生しないでしょう。

シャドーITへの対策

こうした状況を踏まえて行われている対策は次のようなものがあります。

教育

シャドーITの存在は不可避とし、従業員への教育面で対策をします。ITリテラシーが非常に高い人の場合、無闇にシャドーITを増やそうとはしません。それはセキュリティリスクにつながると分かっているからです。そうしたレベルまで引き上げることができれば、安全なシステム運用が可能になるでしょう。

監視体制の強化

システムログやアクセスログなどを通じて、利用状況を細かく監視するという方法です。ただし、自宅で作業していて画面をカメラで撮影するといった方法を把握するのは難しく、より巧妙な抜け道を作ることになりかねません。従業員をマイクロマネジメントすることにもつながり、相互の信頼感を損なうことにもなるでしょう。

シンクライアント化

OSやデータをすべてクラウドに移行し、作業する時には常にVPNなどを通して接続する形にします。データへのアクセスをサーバーで一極管理することで、アクセス管理がより強固になります。

ただしWebカメラやセキュリティキーなど、ハードウェアとの連携が難しいと言った課題があったり、出張中はデータを十分に扱えないなどの課題もあります。

十分なデバイス・環境を提供する

シャドーITは個人の私物が会社支給のデバイスよりも使い勝手が良かったり、性能が高いために発生することがほとんどです。そういった状況にならないよう、あらかじめ高い性能のデバイスを支給するのも対策になります。特に開発者が利用するデバイスは性能が低いと生産性に大きく直結するので、業務もスムーズに遂行できるスペックのものを用意すべきでしょう。スマートフォンなどの検証端末も、個人の私物ではなく企業側で用意すべきです。