シャドーITとは?セキュリティリスクや対策案をわかりやすく解説
シャドーITとは、企業の承認を得ずに従業員が個人的に使用するITツールやサービスのことです。
7割近くの企業で発生しており、クラウドストレージや私物デバイス、フリーメールサービスなどで頻発し、個人情報漏洩や不正アクセスなどの深刻なリスクを引き起こします。
シャドーITを防止するには、社内教育を徹底したり、CASBやMDMを導入したりなど、多角的なセキュリティ対策が必要です。
この記事では、シャドーITの定義や発生原因、発生しやすいツール、セキュリティリスク、実際の事件事例、具体的な対策について解説します。
目次
[ 開く ]
[ 閉じる ]
- シャドーITとは
- BYODとの違い
- 7割近くの企業でシャドーITが発生している
- シャドーITが生まれる原因
- ITコンシューマライゼーションの進展
- クラウドサービスの発達
- 働き方の多様化
- セキュリティ意識の欠如
- シャドーITが発生しやすいツールやサービス
- クラウドストレージ
- クラウドサービス
- 私物のデバイス
- フリーメールサービス
- チャットツール
- シャドーIT発生によるセキュリティリスク
- 個人情報や機密情報の漏洩
- 不正アクセス
- アカウントの乗っ取り
- デバイスの紛失・盗難
- マルウェア感染
- シャドーITが原因で起こった実際の事件
- 岡山大学病院で患者約270人分の個人情報が漏洩
- 尼崎市で約46万人の個人情報を含んだUSBメモリを紛失
- 個人契約の外部ストレージで約590万件の顧客情報が流出
- 大手製薬会社で約73万人の個人情報が漏洩
- シャドーIT発生をなくす具体的な対策
- アクセス監視を行う
- ガイドラインを策定し共有する
- 社内教育を徹底する
- CASBやMDMを導入する
- シングルサインオン(SSO)を導入する
- GMOトラスト・ログインのSSO / IDaaS
- まとめ
シャドーITとは
シャドーITとは、組織が使用を許可していない、もしくは従業員が利用していることを組織が把握・管理していないITツールやサービスのことです。
つまり、システム管理者の管理下にないIT資産が社内で使用されている状態を示しています。
例えば、個人のスマートフォンやタブレットを業務に利用したり、クラウドストレージサービスを無断で使用したりするケースが該当します。
シャドーITは、セキュリティ面でのリスクを高める要因となるため、できる限り排除し、システム管理者の管理下に置くことが重要です。
放置すると、情報漏洩やマルウェア感染などのセキュリティインシデントに繋がる可能性があります。
BYODとの違い
シャドーITは、BYOD(Bring Your Own Device)と混同されやすい概念ですが、両者には明確な違いがあります。
BYODは、会社が許可した私物デバイスやサービスを業務に利用することを意味します。
つまり、BYODは企業が承認しているのに対し、シャドーITは企業から認知・承認されていません。
BYODは一定の管理下にありますが、シャドーITは管理外でツールやサービスが使用されるため、セキュリティリスクがより高くなります。
シャドーITをBYODのように活用するためには、適切な管理体制の構築が不可欠といえるでしょう。
7割近くの企業でシャドーITが発生している
企業におけるシャドーITの実態は想像以上に深刻な状況となっています。
複数の調査機関が実施した大規模な実態調査により、多くの組織で未承認のIT利用が常態化していることが判明しました。
トレンドマイクロ社が2020年に実施した国際調査では、世界27か国・1万3,200人のテレワーカーを対象にした結果、企業データの無許可アップロードが66%、未承認アプリの利用が56%、個人デバイスからの企業データアクセスが39%に達しています。
国内に目を向けると、キヤノンマーケティングジャパン株式会社(キヤノンMJ)が2021年に行った調査では、個人所有端末の業務利用が37.6%、そのうち無許可利用が36.8%という結果が報告されています。
さらに2024年の調査レポート(Assured調べ)によると、従業員1,000名以上の大企業の65.6%がシャドーIT対策を未実施という驚くべき実態も明らかになりました。
これらのデータが示すように、シャドーITは個別企業の問題ではなく、業界全体で取り組むべき喫緊の課題といえるでしょう。
シャドーITが生まれる原因
企業内でシャドーITが蔓延する背景には、技術進歩と働き方の変革が複雑に絡み合った現代特有の要因が存在します。以下、シャドーIT発生の主要な原因を詳しく分析していきます。
ITコンシューマライゼーションの進展
ITコンシューマライゼーションとは、個人向けのITツールやサービスが業務でも利用されるようになる現象のことです。
コンシューマー向けに開発された使いやすいIT製品の業務利用が加速しています。
日常生活で慣れ親しんだスマートフォンアプリやWebサービスの利便性を、職場でも享受したいという従業員の自然な欲求が背景にあるのです。
特に若い世代の職員ほどデジタルネイティブとしての感覚が強く、企業が実現する標準システムよりも個人向けサービスのほうが直感的で効率的だと感じる傾向があります。
この結果、正式な承認プロセスを経ずに、馴染みのあるツールを業務に持ち込む行動が頻発するようになりました。
クラウドサービスの発達
インターネット上で利用できる高機能なクラウドサービスが爆発的に増加し、多くが無料または低価格で提供されています。
従来であれば高額な導入コストと複雑な設定が必要だったソフトウェアが、いまでは数クリックでインストールから利用までできてしまうのです。
▼個人向けクラウドサービスの一例
- Google Drive
- iCloud Drive
- MEGA
アカウント作成から実際の利用開始まで数分で完了するサービスも珍しくありません。
この手軽さが災いし、部門レベルや個人レベルで安易にサービス導入が行われる事例が後を絶ちません。
特に無料プランが充実しているサービスではコスト承認すら不要なため、管理部門の関与なしに業務利用が始まってしまうリスクが高まっています。
働き方の多様化
働き方の多様化もシャドーITが生まれる要因の1つです。リモートワークやハイブリッドワークの普及により、従来のオフィス中心の管理体制では対応しきれない状況が生まれているのです。
最近では、自宅やコワーキングスペースなど多様な場所での勤務が常態化しています。その影響でIT管理者の目が届かない環境での業務が大幅に増加しました。
また、フレックスタイム制や時差出勤の導入により、従業員が各々の判断でツールを選択する機会も拡大しています。
多様な働き方を支える柔軟性と統制の取れたIT管理のバランスを取ることが、多くの企業にとって困難な課題となっています。
セキュリティ意識の欠如
多くの従業員がシャドーITによって生じるセキュリティリスクを正確に把握しきれていない現実があります。
個人利用では問題のないサービスでも、企業データを扱う際には全く異なるリスクレベルになることへの理解が不足しています。
利便性や効率性を重視するあまり、データ漏洩や不正アクセスといった潜在的な脅威が軽視されがちです。
「少しの間だけ」「簡単な作業だから」という軽い気持ちで始めた未承認ツールの利用が重大なセキュリティインシデントの入り口となってしまうケースも少なくありません。
シャドーITが発生しやすいツールやサービス
シャドーITが発生しやすいのは、個人で簡単に導入できるクラウドサービスや無料ツールにあります。
ここでは、シャドーITが発生しやすい具体的なツールやサービスについて解説します。
クラウドストレージ
クラウドストレージは、データを手軽に保存・共有できるため、シャドーITの対象になりやすいツールの1つです。
代表的なサービスとしては、「Dropbox」や「Google Drive」などが挙げられます。
スマホやタブレットでも利用できるアプリとして普及しており、ちょっとしたファイルのやり取りや保存に便利です。
しかし、これらのサービスを無断で利用すると、社内のファイルが意図せず外部に流出するリスクが生じます。
クラウドストレージの概要やメリット・デメリットについては、以下の記事で詳しく解説しています。
クラウドサービス
「Googleドキュメント」や「Office Online」など、Webブラウザ上で動作するクラウドサービスでシャドーITが頻発しています。
これらのサービスは個人アカウントでも高機能な編集環境を実現し、リアルタイムでの共同作業も簡単に行えるため、現場の生産性向上に直結します。
無料プランでも十分な機能が使用できることから、コスト面での導入ハードルが極めて低いのも特徴です。
しかし、企業データが個人管理のクラウド環境に保存されることで、データガバナンスの観点から重大なリスクを抱える可能性があります。
特に機密情報や個人情報を含む文書の扱いでは、企業のセキュリティポリシーに抵触する可能性が高く、慎重な検討が求められます。
私物のデバイス
私物のスマートフォンやタブレットを無許可で業務利用することも、シャドーITに該当します。
私物デバイスは会社の管理が及びづらいため、紛失や盗難時のデータ漏洩リスクが高まるという問題があります。
業務でのデバイス利用は、会社の許可を得た上で適切な管理下で行うことが大切です。
フリーメールサービス
「Gmail」や「Yahoo!メール」などのフリーメールサービスも、シャドーITの一種として利用されることがあります。
個人で使用しているフリーメールサービスのアカウントを、そのまま組織内で流用するケースが多く、管理が難しいという特徴があります。
これらのサービスは、社内メールシステムを介さずに利用されるため、機密情報が外部に流出するリスクが高まるのです。
チャットツール
個人で使用しているチャットツールを、シャドーITとして業務利用するケースもあります。
「LINE」や「Slack」などのチャットツールは個人利用が可能で、手軽に使いやすいという利点があります。
しかし、個人アカウントを組織内で使用してしまうと、アカウントの乗っ取りや情報漏洩などのリスクが高まるため、セキュリティ面での対策を徹底しなければなりません。
シャドーIT発生によるセキュリティリスク
シャドーITの発生は、組織のセキュリティ体制を脆弱化させる大きな要因となります。
管理外のツールやサービスを通じて、主に以下のようなセキュリティリスクが発生します。
個人情報や機密情報の漏洩
管理されていないクラウドサービスに、個人情報や機密情報が無断でアップロードされるリスクがあります。
意図しない情報共有やアクセス権限の設定ミスにより、重要データが流出する可能性が高まるのです。
特に外部との共有設定を誤ると、企業の機密情報が広範囲に拡散してしまう危険性があります。情報漏洩の原因については以下の記事で解説しています。
不正アクセス
悪意のある第三者からシステムの脆弱性を突かれ、外部からの不正アクセスを許してしまう危険性をはらんでいます。
私物のデバイスをフリーWi-Fiに接続した際、外部から不正に侵入されるリスクもあるため注意が必要です。
適切なアクセス制御が行われていないと、権限のない第三者によるデータの閲覧や改ざんが発生する恐れがあります。
不正アクセスの脅威や対策については、以下の記事で詳しく解説しています。
アカウントの乗っ取り
フィッシング攻撃などによって、アカウントが乗っ取られるリスクもあります。
乗っ取られたアカウントを通じて、機密情報の窃取や不正送金などの被害が発生する恐れがあるのです。
特に、多要素認証などの対策が取られていないアカウントやデバイスは、乗っ取りの危険性が高くなります。
また、無料のチャットアプリではアカウントの乗っ取り被害が多く報告されているため、社用デバイスでは有料のアプリを利用することをおすすめします。
デバイスの紛失・盗難
私物デバイスを普段から業務利用している場合、デバイスの紛失や盗難の被害に遭う可能性があります。
悪意のある第三者にスマートフォンやPCを盗まれてしまうと、機密情報が外部に漏洩する危険性が高まります。
私物デバイスの業務利用を認める場合は、セキュリティ対策の徹底と、紛失・盗難時の対応手順の整備が不可欠です。
マルウェア感染
シャドーIT発生時には、マルウェア感染に注意が必要です。
私物デバイスにセキュリティ対策ソフトが導入されていない場合、感染経路として利用される可能性が高まります。
マルウェアに感染すると、情報の窃取や改ざん、システムの破壊など、大規模な被害に繋がる恐れがあるため、セキュリティソフトの導入と定期的なスキャンが欠かせません。
マルウェアの対策方法については以下の記事をご確認ください。
シャドーITが原因で起こった実際の事件
過去には、シャドーITが原因で大規模な事件に発展したケースが複数存在します。ここでは、シャドーITが原因の実際の事件を4つ紹介します。
岡山大学病院で患者約270人分の個人情報が漏洩
2021年8月4日、岡山大学病院は患者約270人分の個人情報が漏洩したと発表しました。
公表された内容によると、岡山大学病院の医師が個人的に使用していたクラウドサービスのIDやパスワードが窃取され、クラウド上の保存データにアクセスできなくなったとされます。
その後、攻撃者により閲覧可能な状態になっていることが確認され、アカウントの乗っ取りが判明しました。
漏洩事故が発生した主な原因に、岡山大学病院でシャドーITが行われていたことがあります。
今回の事件では、岡山大学病院の規定に反して、個人で使用していたクラウドサービス上に個人情報を含むファイルを保存していたとのことです。
尼崎市で約46万人の個人情報を含んだUSBメモリを紛失
2022年6月、兵庫県尼崎市で全市民約46万人の住民基本台帳の情報などを含んだUSBメモリを紛失した事件が発生しました。
紛失したUSBメモリ内には、住民基本台帳の情報、住民税の情報、非課税世帯等臨時特別給付金の対象世帯の情報、生活保護受給世帯や児童手当受給世帯の口座情報などが含まれていたとのことです。
その後、USBメモリは見つかり、「情報が流出した事実は確認できていない」と尼崎市は発表しました。
この事件は、業務再々委託先の社員がデータを無断で持ち出したことがきっかけで発生しました。
個人契約の外部ストレージで約590万件の顧客情報が流出
2023年7月に発生した大規模情報漏洩事件では、業務委託先の従業員による個人契約ストレージサービスの悪用が原因となりました。
派遣社員が業務用PCから顧客データベースにアクセスし、約590万件の個人情報を無許可の外部ストレージに転送していたのです。
流出した情報には契約者の氏名、住所、電話番号、メールアドレスなどが含まれていました。
企業側はネットワーク監視により異常な外部接続を検知したものの、発見時点で既に大量の情報が持ち出された後でした。
この事件の深刻な点は、個人契約のサービスという性質上、企業の管理システムから完全に見えない状態で情報漏洩が進行していたことです。
シャドーITの典型的なリスクパターンが現実化した事例として、多くの企業に衝撃を与えました。
大手製薬会社で約73万人の個人情報が漏洩
2024年7月10日、国際的な製薬企業で医療従事者73万人分の個人情報漏洩事件が発生しました。
この事件の根本原因は、海外の業務委託コンサルタントが個人ノートPCを無許可で業務に使用していたことです。
コンサルタントは個人ノートPCに企業データベースのアクセス認証情報を保存しており、ノートPCのマルウェア感染により外部からの不正侵入を許してしまったのです。
7月10日から14日にかけて、悪意ある第三者がデータベースにアクセスしました。
そのデータベースから医師や医療関係者の氏名、所属機関、連絡先などの機密情報が窃取されました。
企業のセキュリティ体制から逸脱した個人デバイスの業務利用が組織全体のセキュリティを脅かす結果となった典型例です。
シャドーIT発生をなくす具体的な対策
シャドーITの発生を防ぐには、技術的対策と運用面での対策の両方を講じる必要があります。
ここでは、シャドーITを防止するための具体的な対策方法を5つ紹介します。
アクセス監視を行う
シャドーITの発生を早期に発見するためには、社内ネットワークの通信を監視し、不審なアクセスを検知する仕組みを導入することが有効です。
これにより、許可されていないツールやサービスの利用を速やかに特定し、適切な対応を取ることができるようになります。
監視システムの導入と運用には一定のコストがかかりますが、シャドーITのリスクを軽減するための投資として検討すべきでしょう。
ガイドラインを策定し共有する
シャドーIT対策を推進する上で、ガイドラインの策定は欠かせません。
業務で利用が許可されたツールやサービス、およびその利用ルールを明確にし、従業員の理解を促進することが大切です。
ガイドラインには、主に以下のような内容を盛り込むのが望ましいとされます。
▼ガイドラインに盛り込むべき内容
- シャドーITの定義
- 利用が禁止されるツールのリスト
- 社内データを持ち出す際のルール
- セキュリティ事故が発生したときの対応
- 違反した場合の罰則
策定したガイドラインは、社内ポータルへの掲載や研修での説明など、さまざまな機会を通じて周知していくことが重要です。
社内教育を徹底する
シャドーITのリスクや対策について、定期的な社内教育を実施する方法も有効です。
従業員1人ひとりのセキュリティ意識を高め、自発的な対策を促すことに繋がります。
教育の内容としては、シャドーITの危険性や具体例、発生した場合の影響などを盛り込み、社内全体でシャドーITの理解を深めていきましょう。
また、eラーニングやオンライン研修など、受講しやすい形式で提供する方法もおすすめです。
CASBやMDMを導入する
シャドーITの発生を技術的に防止するためには、CASB(Cloud Access Security Broker)やMDM(Mobile Device Management)の導入が効果的です。
CASBは、クラウドサービスの利用状況を可視化し、適切なセキュリティポリシーを適用するためのソリューションです。
一方、MDMは社内のデバイスを一元管理し、私物デバイスの業務利用を制御するための仕組みを指します。
技術的にアプローチを図ることで、より効果的にシャドーITの発生を防止できます。CASBの詳細については以下の記事をご確認ください。
シングルサインオン(SSO)を導入する
シャドーITの発生を技術的に防ぐもう1つの方法は、シングルサインオン(SSO)の導入です。
SSOを利用することで、複数のクラウドサービスへのアクセスを一元管理できるようになります。
これにより、認可していないサービスへのログインを制限し、シャドーITの発生を未然に防止することが可能です。
また、SSOの導入は利便性の向上にも繋がるため、従業員の理解を得やすいというメリットもあります。SSOの詳細を知りたい方は以下の記事をご確認ください。
GMOトラスト・ログインのSSO / IDaaS
画像引用元:GMOトラスト・ログイン
GMOグローバルサインが提供する「GMOトラスト・ログイン」は、セキュリティ対策の強化に役立つクラウド型ID管理サービスです。
企業内で利用される多数のWebシステムやクラウドサービスのID・パスワードを一元管理し、SSOとID管理の最適化を図れます。
▼GMOトラスト・ログインの主な役割
- ID管理
- SSO
- 認証強化
- ID連携
基本プランは無料で即日導入でき、組織規模を問わず活用できる点が特徴です。
社内システムから外部クラウドサービスまで、あらゆるアプリケーションへのアクセスを統合的に制御することで、未承認サービスの利用を根本的に防止できます。
ID・パスワード管理を効率化し、シャドーITの対策を行いたい場合はお気軽にご相談ください。
まとめ
この記事では、シャドーITの発生状況や原因、発生しやすいツール、実際の事件事例、対策について解説しました。
シャドーITは7割近くの企業で発生している深刻な問題で、クラウドサービスの普及や働き方の多様化により拡大し続けています。
数十万件から数百万件規模の個人情報漏洩事件が実際に発生しており、企業の事業継続性や社会的信頼に重大な影響を与えています。
「GMOトラスト・ログイン」は、SSO環境によってシャドーIT対策を実現するクラウド型ID管理サービスです。シャドーIT対策をお考えの場合はぜひご検討ください。
文責:GMOインターネットグループ株式会社
