〈 トピックス 〉
近年、リモートワークの定着やクラウドサービスの普及に伴い、シャドーIT(情シス部門未承認のツール・サービス利用)の増加が顕著になっています。実際に、中小企業を対象とした調査(出典:中小企業の約半数に「シャドーIT」の兆候。現場の「利便性」がセキュリティルールを上回る、中小企業の危うい実態が判明|PR TIMES)では「会社指定ツールでは不便」「業務スピード優先」といった理由で、約47%の現場担当者が非公認ツールを利用した経験があると報告されています。
情シス部門はセキュリティ確保の観点からシャドーITの利用を制限しようとしますが、現場の担当者は業務効率を求めて新しいツールを自主的に導入するケースが少なくありません。こうした情シス部門と現場のニーズの対立を解消するためには、従来のような一律禁止の方針から柔軟な考え方へ転換することが重要です。
本記事では、シャドーITの定義や増加の背景、シャドーITがもたらす4つの主要リスクを整理した上で、「管理された自律」という新しいアプローチを解説します。また、情シス部門が主導して「管理された自律」を実現するための具体的な4つのステップについてもご紹介します。
01
多くの企業でシャドーITが絶えない理由は、「もっと効率的に業務を進めたいと」という現場の切実なニーズに、既存のIT環境や申請プロセスが追いついていない点にあります。管理部門が全てのIT利用を強制的に抑え込もうとすると、現場はツールの利用を隠すようになり、結果としてリスクの把握が難しくなるという悪循環を招きます。
情シス部門が適切なプラットフォームやルールを整備し、その枠組みの中で現場がツールを柔軟に活用・開発できる体制を構築することが、セキュリティと業務生産性を両立させる有効なアプローチといえるでしょう。
02
例えば、社内ネットワークの管理外で、オンラインストレージに顧客データを保存したり、LINEやFacebookメッセンジャーなどの個人用SNSで社内連絡を取ったりするケースが挙げられます。また最近では、生成AIの業務利用(シャドーAI)が新たなリスクとして注視されています。
シャドーITと混同されやすい言葉に、「BYOD」と「サンクションドIT」があります。
BYOD(Bring Your Own Device)は、「個人所有の端末やサービスを業務に持ち込む」という側面で似ている部分もありますが、企業が事前に利用を承認し、利用ルールを定めている点が特徴です。一方、サンクションドIT(承認済みIT)は、 企業が正式に契約・導入し、情シス部門がセキュリティ設定やアカウント管理を行っているツールや環境を指します。
これに対しシャドーITは、企業の承認や管理を受けないまま業務に利用されるITツールを指します。つまり、BYODやサンクションドITが「企業の承認・管理のもとで利用する許可済みIT」であり、シャドーITは「企業の管理外で利用されるIT」である点が大きな違いです。
現場では、オフィスや自宅を問わず、次のようなシーンでシャドーITが発生しやすくなっています。
自宅や社外で大容量のファイル送受信が必要な際に、個人のクラウドストレージ(iCloudやGoogleドライブなど)を利用するケースや、支給端末の操作性に不満を感じた社員が私物スマートフォンやタブレットから社内システムへアクセスするケースが挙げられます。また、現場での迅速なコミュニケーションを目的として、LINEやFacebookメッセンジャーなどを連絡手段として利用する事例も少なくありません。
これらのツールは手軽で便利なため、社員に悪意がなくても、業務効率を優先して利用される傾向があります。しかし、企業が承認していないサービスではセキュリティ設定やアクセス権が不十分な場合も多く、結果としてシャドーITの常態化が情報漏えいやセキュリティ事故の要因となりうるのです。
03
従業員がシャドーITを利用する大きな理由として、「業務をより良く、早く進めたい」という前向きな意欲が挙げられます。多くの現場では、会社が指定したシステムが古く操作性が悪い場合もあり、業務を滞らせないよう手軽なツールを使わざるを得ない状況が生まれます。
また、正式なツールの導入手続きには数ヶ月を要する場合が多く、日々のビジネススピードに対応できないという課題も存在します。その結果、情シス部門が厳しく使用禁止を唱えても、現場は利便性・効率性を求め、禁止したツールの代わりに別の非公認のサービスを密かに利用してしまうイタチごっこが続くのです。
会社側がシャドーITを頭ごなしに禁止すると、従業員の間では「無断利用がバレなければ問題ない」「正直に報告すると叱責される」という心理が働き、利用実態が隠される傾向が強まります。
失敗や不明点を相談しにくい組織文化では心理的安全性が損なわれ、万が一問題が発生しても報告が著しく遅れるリスクが高まるでしょう。無断利用が地下に潜ることで、情シス部門はツールの種類や利用範囲を把握できなくなり、有事の際の迅速な対応が不可能となります。
さらに、管理外のツールは適切なアップデートや他要素認証の設定がなされないまま放置されることが多いため、企業全体の脆弱性を高める結果を招きます。
04
個人用クラウドサービスや未承認AIに機密情報を入力することは、意図せぬ情報流出につながる恐れがあります。特に生成AIの場合、入力した社外秘データがAIの学習に再利用され、他者への回答として出力されることは重大なリスクです。
また、個人向けサービスは、企業向けサービスほど厳格なアクセス管理や共有制限が設定されていない場合も多く、設定ミスによって、データがインターネット上に公開される事例も発生しています。
セキュリティ対策が不十分な個人端末やフリーソフトを経由し、社内ネットワーク全体が攻撃を受ける危険性があります。会社支給品と異なり、OSやアプリの更新が従業員の裁量に委ねられている場合が多いことから、未修正の脆弱性を突いた攻撃を受けやすくなるでしょう。
セキュリティレベルの低い外部サービスとの接続は、サイバー攻撃者にとっての格好の侵入ルートとなる可能性があります。
個人アカウントで利用されるサービスは、会社側でアクセス権を制御できない点が大きなリスクです。従業員が退職した後も個人アカウントは残り続けるため、過去の業務データや顧客情報にアクセスされ続ける恐れがあります。
実際に、企業が把握していない外部ストレージに顧客情報を保存し、退職後に持ち出した事案も報告されています。
各部署がバラバラのツールを使うことで、データが組織内で分断される、「データのサイロ化」が発生します。部門間で同じデータを二重入力したり、古い情報に基づいて判断を下したりする非効率が生じるだけでなく、全社横断的なデータ分析ができなくなり、迅速な経営判断が阻害される恐れもあるでしょう。
また、複数の部署で似たような機能を個別に契約することで、ライセンス費用が重複して発生する無駄も生じます。
05
現場の従業員が業務改善のためのアプリを作成するローコード/ノーコード開発を促進することは、シャドーIT対策として有効です。プログラミング知識がなくても開発できるローコードツールを公式に提供することで、現場の創意工夫を組織の資産として取り込むことができます。
隠れてツールを探すエネルギーを、公式なプラットフォーム上での改善活動へと振り向けさせることが重要です。
自由な利用を認めるといっても、何でも許可するわけではありません。システム面で「越えてはいけない一線」を明確に設定することが重要です。
例えば、シングルサインオン(SSO)を導入し、会社が認めたアカウントでのみサービスを利用できる仕組みを整えることで、認証の安全性を高めることができます。
また、「個人情報は原則として扱わない」「基幹システムとの連携には安全なAPIのみを利用させる」といったルールをシステム的に実装することも効果的です。
さらに、開発したアプリを全社に公開する前に、情シス部門がチェックを行う承認プロセスを設けることで、ガバナンスを維持しながら安全な運用を実現できます。
06
まずは現状を把握することが不可欠ですが、従業員を責めたり罰したりするような対応は避けなければなりません。アンケートやヒアリングを通じて、なぜそのツールが必要だったのかという経緯や現在のツールへの不満を収集すると良いでしょう。
これに加えて、CASB(Cloud Access Security Broker)などのツールを用いて客観的なアクセスログを分析し、利用実態を事実に基づいて把握します。こうした「非難なき可視化」によって、現場の協力を得ながら実態を明らかにすることが可能です。
調査結果に基づき、シャドーITを利用する動機を解消するための「サンクションドIT(公式ツール)」を用意します。現場が求めている機能を満たし、かつ操作性が高いツールを選定することが定着の鍵となります。
また、ログインのしやすさと管理の容易さを両立するため、ID管理システムと連携できるツールを優先的に導入することが望ましいでしょう。
一律の禁止ではなく、データの機密度や利用目的に応じた柔軟なガイドラインを策定します。例えば、公開情報の処理には承認済みツールの利用を推奨し、個人情報を扱う場合は個別の申請を求めるなど、リスクに応じた基準を設けます。
また、現場が自分の判断で導入して良い範囲を明確にし、実際の事故事例を共有することで、リスクを自分ごととして捉えてもらう啓発活動を継続することも重要です。
最後に、技術的な対策を導入し、ルールが守られていることをシステム的に担保しましょう。従業員のクラウドサービスの利用を監視し、適切なセキュリティ対策を行うCASBを活用することで、クラウド利用の可視化や機密データの持ち出し制御、脅威の検知が可能になります。
さらに、MDM(モバイルデバイス管理)を導入することで、端末(デバイス)の紛失時に遠隔ロックやデータ削除を行えるようになり、物理的な情報流出リスクを抑えることができます。
07
そのため、情シス部門は現場の実態とニーズを把握し、安全な環境の中でIT活用を認める「管理された自律」へと発想を転換することが重要です。現場が求めるツールを公式に提供すると同時に、セキュリティやデータ連携に関するガイドラインを整備することで、利便性と統制を両立できます。
本記事でご紹介したステップや考え方を参考に、経営リスクの低減と業務生産性の向上を両立するシャドーIT対策を進めていきましょう。
08
バックオフィス業務の
支出管理を支援する、
ノーコード・クラウドデータベース
※バックオフィス業務とは経理や総務、人事、法務、財務などといった直接顧客と対峙することの無い社内向け業務全般を行う職種や業務のこと
この記事を書いた人
デジタルマーケティングやIT領域を中心に、年間200本超のライティング、100本以上の編集を担当。特に基幹業務系ソリューションやITインフラ、情報セキュリティに関する技術解説や導入メリット、導入事例に精通し、企業のDX推進や業務効率化に関する専門記事を多数執筆。行動経済学の知見をベースに、専門的なテーマでも初心者から専門職層まで伝わる記事作成・編集を実施。
