はじめに
皆さまは「シャドーIT」と呼ばれる事象をご存じですか?
企業の事業運営を脅かすものとして、日々ニュースやブログなどで見かけることが多くなってきたセキュリティ事故。中でも、管理部門が承認していないデバイスやツールを業務で利用することを「シャドーIT」といい、身近にあるものだけにセキュリティ事故に発展しやすいリスクをはらんでいます。
具体的には、業務連絡などで私用携帯を使うことや、非承認のオンラインストレージを使用することなどが代表例となり、心当たりがある方もいるのではないでしょうか。
今回は私たちの日常業務の中でも起こりやすいとされる「シャドーIT」について、詳しくお話します。
【シャドーITはなぜ起きる?】シャドーITが発生する理由(原因)
シャドーITの発生について、周りに以下のようなことをしている人を見たことがないでしょうか。
- 業務用端末として、個人所有のPCやスマートフォンを利用する
- 個人のUSBメモリに業務データをコピーして社外に持ち出している
- 無料で利用できるコミュニケーションアプリを利用して業務連絡を行う
これらは、全て「シャドーIT」に該当します。
「シャドーITを避けるために、企業内で未承認のデバイスやツールを使用しなければよい」と考える方も多い一方で、承認されているデバイスやツールは使いにくく、業務効率がよくないと考える従業員もいるようです。
そこで、個人的な利便性や業務の効率性向上のために、従業員間で非承認のツールやサービスを使用してしまうことも少なくありません。
悪意をもってシャドーITを利用している社員はごく少数ですが、多くの場合はこれらがシャドーITを利用してしまう理由となり、セキュリティポリシーや規則に準拠していないこともあるので、セキュリティリスクの発生になりかねません。
どういったタイミングで、これらの理由にいきついてしまうのかを、もう少し詳しくお話しましょう。
【私的利用に要注意!】シャドーITが起きるタイミングは主に7シーン
シャドーITが起きるタイミングは主に次のタイミングです。
- 新しいプロジェクトの開始の際
- 新たに社員が入社したとき
- 社内で利用しているサービスの欠陥が発覚した際の課題解決策として
- 社内のセキュリティ的な意識不足
- クラウドサービスの普及によるもの
- リモートワーク(テレワーク)の普及によるもの
- 社員同士の相談のしにくさ、コミュニケーション不足によるもの
など、いわゆる「従業員のニーズ」と「セキュリティリスクに対する意識の低下」、そして「勤務スタイルの多様化」などがあげられます。
シャドーITによって組織に与える影響とセキュリティリスク
とはいえ、これらのタイミングだとしてもシャドーITによってセキュリティが侵されてしまうため、セキュリティポリシー違反となる利用は避けたいものですよね。
シャドーITが組織に与える主な影響は次の通りです。
- 情報漏洩によるレピュテーションリスク
- マルウェア、ランサムウェアなどによるセキュリティ侵害
- 法令や規制違反等のコンプライアンス違反
シャドーITを利用してしまう従業員は、定められたセキュリティポリシーに準じた利用ができていません。
そのため、セキュリティーポリシーの違反はもちろんのこと、デバイスやソフトのセキュリティ更新の遅延やシャドーITから発生してしまうデータの漏えいなど、セキュリティ事故のリスクが高くなります。
これらのセキュリティリスクを最小限に抑えるためには、監視、教育のみならずポリシーの整備など、シャドーITを起こさないための業務用端末の管理に注力する必要があるでしょう。
【シャドーITが発生したらどうなる?】シャドーITの具体例を紹介
シャドーITが発生したらどうなるのか、なかなか想像できないものですよね。
ここからは実際に起こったシャドーITの事例に基づいて、どうなるのかを紹介します。
社内での無料チャットツール利用
社内で承認されていないチャットツールを利用している方も少なくないでしょう。
あらゆる効率性から利用してしまうことがあるのですが、社内チャットツールとして社内で承認されていない場合は、シャドーITに該当します。
社内の連絡には、社外に持ち出すことも禁止されている機密情報が多くありますよね。
もし、外出先でどなたかに見せてしまった場合にも、それらの行動ひとつで機密情報の漏えいにつながってしまうのです。
このような事象の解決手段は主に下記の通りです。
- 業務連絡を行う指定のチャットツール以外の利用をブロックする
- 指定された端末以外からの接続をブロックする
事前にブロックすることにより、シャドーITを阻止することができます。
ファイル転送サービスで情報漏えい事件発生後、サービスの終了
2019年1月に起きたファイル転送サービスで起きた情報漏えい事件を、皆さまはご存じですか?
ファイル転送サービスは本来使い勝手の良いものですが、不正アクセスされてしまうリスクがあります。
流出してしまった情報は次の通りです。
- 氏名
- ログイン用情報
- 生年月日
- 性別
- 居住地の都道府県(郵便番号)
- 職業、業種、職種
- 配偶者
- 勤務先の都道府県、郵便番号
これらの情報は、海外からの不正アクセスにより流出してしまい、流出が発覚した2日後にはサービスを停止。大規模な漏えい事件になったのです。
某Webサービスはプライバシーマークも認証していたため、より信頼度が高いとされていました。
プライバシーマークを認証していたサービスで、なぜこのようなケースが起きてしまったのか考えてしまいますが、
今回の事件は、無料の個人向けプランを利用したことで情報が流出してしまったというケース。つまり、セキュリティ機能が充実している法人(エンタープライズ)プランを利用していれば被害に遭わなかったでしょう。
参考記事:日経クロステック
流出したことによって明るみに出ましたが、今でも至るところで個人が業務連絡に個人携帯を使用していたり、プライベートで使用しているサービスを業務中に使っていたりすることは少なくありません。
そのような行為から、情報漏えいなどのトラブルを起こすシャドーITですが、企業を守るためにも絶対に使用を許さない状況を作る必要がありますね。
この場合は、指定外のWebサイトを利用しないように、業務に関係のないWebサイトやセキュリティに問題があるWebサイトをブロックするという手段をとることで、アクセスができなくなるでしょう。
指定外の業務端末、アプリケーションやWebサイトなどを阻止できるツールがMDM
利用Webサイトやアプリケーションのブロック、指定端末外の利用をブロックするという方法は、本来であればIPやMACアドレスなどの設定、もしくは既に設定しているセキュリティシステムから可能です。
「もっと手軽に、一括で業務用端末を管理したい。」
「事象のようなシャドーITに効果的な対策を立てたい」
などといった時に、効果的なシステムがMDMなのです。
【国産MDMのBCDM】シャドーITを防ぐならBCDMで社用端末を一元管理
シャドーITを防ぐために、管理やデバイスの監視、ポリシー整備を行いたいところですが、どうしたら良いかわからないという方におすすめしたいサービスがソフトバンクが自社開発した、クラウド型MDMのBCDMです。
BCDMは、1ID300円(スマートフォン)からご利用頂けます。
※PCでの申し込みは400円、4G携帯でのお申込みは100円からです。
対応デバイスは、PC(Windows、Mac)や、スマートフォン(Android、iOS)、4G携帯となっているので、業務用端末として皆さまが普段使用しているデバイスを管理者がWeb画面上で一元管理できます。
主な機能は以下の通りです。
- デバイス証明書
- 資産管理機能
- 遠隔ロックワイプ
- アンチウイルス
- PC操作ログ
- フォルダ遠隔消去
- 禁止ソフト起動制御
- セキュリティパッチ適用
- セキュアフォルダ(別途オプションとしての契約が必要)
多くの企業では複数のセキュリティサービスを兼用されていることもありますが、BCDMならサービスひとつでデバイスの一元管理が可能なのです。
特にBCDMはシャドーITに効果的!基本的な機能の他、デバイス証明書を無料で発行可能!
そしてBCDMには基本的なMDM機能の他に無料で、「サイバートラスト証明書」を発行できる機能を搭載。サイバートラスト証明書を入れた端末からでしか、アクセスができなくなります。
例えば、IDとパスワードを使用した認証だけでは、承認していない端末(シャドーIT)からのアクセスは阻止できません。デジタル証明書を使ったデバイス認証の活用が必要となるのです。
そこで、サイバートラスト証明書を搭載したBCDMを利用すると、あらかじめBCDMが利用者のデバイスに電子証明書を発行するため、シャドーITという事象を防ぐことができるのです。
サイバートラスト証明書を発行できる機能は、シャドーITを防ぐ際に、とても効果的な機能だということです。
ソフトバンク発のMDMのBCDMの購入はSaaSポータルで!
今回ご紹介したBCDMはSaaSポータルからご購入頂けます。
BCDMの料金はこちらです。
BCDMの詳しい紹介は、以下リンクをご参考下さい。
ソフトバンクにはBCDM以外にもセキュリティサービスが充実!
今回はすぐそばにあるシャドーITから守れる対策としてBCDMをご紹介しましたが、ソフトバンクにはBCDM以外にもシャドーITに有効的なセキュリティサービスが充実しています。
CASB、SWG(Netskope、Zsclaer)による多層防御や、EDR(Cybereason、Microsoft Defender for Endpoint)によるUSBなどの物理メディアに対する対策もシャドーITには有効です。
ソフトバンクはBCDMの他にもシャドーIT対策に有効なサービスが揃っているので是非ご確認ください。
