第7回テーマ　「シャドーIT」

新たなセキュリティの盲点「シャドーIT」はどう管理すればいいの？

働き方改革はITの活用なしでは、なかなか実現しない。従業員がノートPCやスマホを活用して、いつでもどこでも仕事ができるようになれば、顧客への連絡の遅延も省くことができるし、日報を書くためだけに会社に戻って残業するような無駄も避けることができる。

ただ、業務にも使うPCやタブレットは、誰かがきちんと管理しなければならない。アミダ社ではその仕事はひとえに1人で情シスをみている中村和人に任されている。「働き方改革」で、かえってシステムやIT資産管理の業務が増えて頭を抱える中村。「みんな無駄な残業が減って嬉しいみたいだけれど、さて、僕の働き方改革はいつのことになるやら……」と、内心ではボヤく日々だ。

そんなある日、会社支給のスマホを持たない社員の一人が、自分の私用スマホで業務に関するメールのやり取りするのを見てしまった。問いただしたところ、「えっ、僕だけじゃないですよ。他の人もやってますよ」と言い訳をしてきた。

「せっかく中村さんがみんなにスマホやノートPCを配ったのに、自分のスマホでメールを返されたりすると管理のしようがないですよね。こういうのって“シャドーIT”っていうらしくて結構問題になっているみたいですね」

というのは総務部の加藤彩だ。

「シャドーITか。私用のPCやスマホを、企業側の許可なしに、あるいは利用に関するルールが設けられていない状況で利用していることだね。まさに陰に隠れて管理者の目には見えないわけだ。うーん、こいつはやっかいだな」

「加藤が親身になって心配してくれていたことは嬉しかったが、シャドーITという名の新たな難題が中村の前に立ちはだかることになってしまった。

シャドーITでは、まず私用スマホの不適切使用が問題になる。万一、その端末が紛失や盗難にあえば、情報漏えいの危険性が増す。会社が許可して私用スマホなどを利用するBYOD（bring your own device）でも同様の問題は起こりうるが、BYODの場合は、システム管理者がアプリ利用を制限したり、紛失端末のデータを遠隔操作で強制的に消去するなど、何らかのセキュリティ・ソリューションが用意されることが多いから、シャドーITに比べればセキュリティリスクは低いといえる。

シャドーITは、こうした私用スマホの利用だけでなく、ユーザーが利用ルールを守らないまま、勝手にクラウドサービスを利用するケースも含んでいる。例えば、オンラインストレージサービス（Dropbox、SugarSyncなど）は、個人が無料で使えるために、一時データの保管先として気軽に利用されている。

今回調べてみると、アミダ社のなかでも、帰宅後に会社の仕事をするために、それらのサービスを利用するという人が何人もいた。“LINE”のようなチャットアプリを業務連絡に利用する例も、もしかするとあるかもしれない。

「利用者からすれば、アプリを使うことで簡単に業務が処理できるから、システムを使っているという感覚がないんですよね」と加藤。

たしかにその手軽さは、こうしたサービスが普及する最大の理由だろうが、それがかえって、セキュリティリスクの穴になることもあるのだ。

「何より、クラウドサービスが知らない間に現場で利用されているということは、情シス担当者として管理上とても困るんだ。万一問題が発生したら、社長に管理不行き届きを責められるのは僕だからね」と、中村の表情はだんだん渋くなる。

シャドーITの利用を社内ルールで一律的・全面的に禁止してしまえばよいことは、中村もわかっている。しかし、仕事の効率化という観点に立てば、その対策にも限界がある。

また、会社で許可されていないデバイス（PC、タブレット、スマホ）についても同様だ。これらを全て禁止にすれば、それまで便利に使っていた社員からクレームが来るのは目に見えている。また、情報収集や利便性という面でも他社に後れを取ってしまうことは明らかだ。

「シャドーITの問題点を社員に周知し、一人ひとりのセキュリティに対する意識を喚起しながら、情報を扱う上での責任感を持たせるしか方法はないのかもなぁ」と、中村は思うのだった。

こうした対策を考える上で、いつも貴重なヒントをくれるのが、友人のシステムエンジニア、海田大輔だ。海田は、シャドーITが背景にある最近のセキュリティ事故をいくつか紹介してくれた。

例えば、

• 会社で残業をしたくないため、無料のオンラインストレージサービスを使ってファイルを自宅に送って仕事をしていたが、その私用PCがマルウェアに感染して、ファイルが漏出するという事例はよくある。もちろん、ストレージサービス側のサーバが、サイバー攻撃にさらされることも皆無とはいえない。サイバー攻撃ではなくても、サービス側のデータ障害が原因で、パスワードなしで全ユーザーにログインが可能になってしまったという事故も、2011年には実際に発生している。オンラインストレージサービスは便利だが、セキュリティが100％保証されているわけではないのだ。
• 私用PCに会社の資料を入れていたが、それを紛失してしまった。
• LINEのようなチャットアプリを業務連絡に利用していたところ、なりすまし被害にあい、社員以外の人間に情報を盗まれた。グループ内に返信すべきところを、第三者に間違って発信してしまうといううっかりミスもある。

「セキュリティリスクをしっかり社員に理解してもらうことが大切で、その上でどこまでサービスやデバイスを使うべきかを、情シスであるおまえが線引きすることが必要だよ」という、海田のアドバイスはいつもながら中村の腹にすっと落ちた。

海田と会った翌日、その会話の内容を加藤に伝えると、
「私用スマホやオンラインストレージサービスの利用についても、セキュリティポリシーを明確にして、社員の意識を高めていかないといけませんね」

と、加藤は対策の要諦を一口で言いきった。その後押しもあって、中村はさっそく指針をつくり、社内に徹底することにした。

しかしながら、「そもそも、どうしてみんなシャドーITを使いたがるんでしょうかね」という加藤の問いは、中村の胸に突き刺さったままだ。

その問いへの答えは明確だ。

社員がシャドーITを利用したがるのは、社内の情報共有インフラが整っていないからという側面を、無視することはできないのだ。

となれば、次に何をすべきかははっきりしている。利用を全面禁止にするのではなく、安心して使えるものを選択すればいいのだ。

• 業務用途のためにセキュリティが信頼できるオンラインストレージの選定を進める
• LINEなど個人向けチャットツールは私的利用に限定するが、ビジネスに使えるチャットツールはその機能と安全性を検証し、もし使えるようなものであれば、それらを社員に推奨する

という2点を新たな施策として追加することにした。

もちろん、今後もシャドーITの利用を監視する必要はあるだろう。国内外のWebサービスの機能を制御し、SNSやオンラインストレージなど利用しているWebサービスの潜在リスクを可視化するツールもあると、海田が教えてくれた。こうしたシステムの導入も検討に値すると、中村は考えている。

「将来的には、スマホやタブレットの会社支給を止めて、私用スマホを使ってもいいが、きちんとシステムで管理する、つまりBYOD的な運用に変える必要があるかもしれないな」と、中村は加藤に話した。

「また、難しいチャレンジになりそうですね」

と、加藤は中村の身を心配してくれる。

「よりよいITの選択を通して、仕事の効率化や働き方改革が進み、社員も会社も共にハッピーになれば、それが僕の本望だからね」

と、見得を切る中村。加藤が顔を伏せてクスッと笑うのがわかった。

• システム管理者が把握しきれない、シャドーIT。社内利用の実態把握がまず重要
• シャドーITは、問題が起こってからでは遅いので、情報漏えいリスクを喚起しながら、セキュリティポリシーの再構築を検討するなど、早急な対策が必要
• 最終的には、社内外の情報共有インフラの機能と安全性をシステム管理者が適切にレビューし、推奨できるものは推奨するなど、代案の提示が課題になる