シャドーITを撲滅せよ! ~30人の会社のテレワーク Vol.78~

「知らない間にEXCELの管理帳票が増えていて、しかも担当者ごとに微妙にレイアウトが違ったりすんですよ」「ACCESSが増殖していて、どれが最新か分からないんです」という話を良く聞きます。

近年では、「管理者がいないRPA=野良ロボット」も増えているようです。

これと同じことがITツールやデバイスでも起きていることをご存じでしょうか?今回は「シャドーIT」について考えてみたいと思います。

シャドーITとは・・?

シャドーITとは、会社が許可していない、もしくは存在を認識していないITツールやデバイスのことです。シャドーITの例としては、下記のようなものが挙げられます。

●デバイス(PCやスマホ)

・会社から貸与されたPCはあるけれど、調子が悪いため個人PCを使っている
・個人スマホを仕事用に利用している
など

●コミュニケーション

・gmailなどのフリーメールに業務メールを転送している
・会社が指定した以外のツールを使って、業務上のやり取りを行っている
・会社が指定していないアカウントを業務利用している
など

●データ共有

・個人で利用しているDropboxやOneDriveに業務用ファイルを保管している
・会社が指定したツール以外のツールを使って、業務上のやり取りをしている
など

テレワーク実施に伴い、仕事をしている環境が見えづらくなったことにより、シャドーITが増加していると言われています。

シャドーITのリスク

シャドーITの一番の問題は、「会社がその存在を把握できていないこと」です。シャドーITの利用を続けることにより、情報漏洩等の情報セキュリティリスクが高まります。

セキュリティリスクへの対応を考える際には、①情報資産の洗い出し→②リスクの評価→③対策の決定という手順をとります。

詳細リスク分析の実施方法

手順1:情報資産の洗い出し
どのような情報資産があるか洗い出して重要度を判断する

手順2:リスク値の算定
優先的・重点的に対策が必要な情報資産を把握する

手順3:情報セキュリティ対策の決定
リスクの大きな情報資産に対して必要とされる対策を決める

https://www.ipa.go.jp/files/000055520.pdf
中小企業の情報セキュリティ対策ガイドライン(IPA)

手順1では、どこにどのような情報が保管されているのかを特定します。手順1で特定した情報に対して手順2以降の作業を行いますので、まずは手順1ですべての情報資産を洗い出すことが必要です。シャドーITとは、会社が把握していないツールやデバイスですので、シャドーITを利用している場合、手順1で情報資産を特定することができず、セキュリティリスクを増大させることになってしまいます。

シャドーIT撲滅のために

シャドーITを撲滅するために、下記の対策が有効です。

①各部署で利用しているツールやデバイスの棚卸を行う

各部署への調査を行い、利用しているツールやデバイスの棚卸を行いましょう。棚卸結果と会社の管理資料とを比較することにより、シャドーITの有無が確認できます。シャドーITが発見されたら、そのツールやデバイスが利用されている背景を確認し、利用を継続するか否かを判断しましょう。

②社内ルールの整備

ITツールやデバイスの利用について、社内のルールを定めましょう。ツールやデバイスの利用申請のルールを定めることにより、情報セキュリティ管理者が利用情報を一元管理できる仕組みを作ることをお奨めいたします。

案件ごと、お客様ごとに異なるチャットツールや共有ツールの利用を打診されることもあるでしょう。円滑なコミュニケーションを行うために必要であれば、会社で使っているツールと異なるツールを使うことも問題ないと思います。重要なのは、そのツールやデバイスを使っていることを会社が知りえる状態を作ることです。

——

弊社では、テレワークに関する無料相談を行っております。お気軽にお問い合わせください。