ビジネスお役立ち情報 > 企業のITセキュリティ講座 > 企業のセキュリティを脅かす「シャドーIT」とは?

企業のITセキュリティ講座企業のITセキュリティ講座

企業のITセキュリティ講座のトップへ

企業のセキュリティを脅かす「シャドーIT」とは?

IT技術の進化によって、多くの機器の小型化、高性能化、低価格化が進み、高性能なIT機器を個人でも所有できるようになり、企業の管理者が知らないうちに社内に持ち込まれるケースが増えた。このような企業が把握していないIT機器を「シャドーIT」と言う。個人所有のIT機器を業務利用する「BYOD」(Bring Your Own Device)との違いは、シャドーITが企業の管理下にないという点である。そこで今回はこの「シャドーIT」の脅威について解説する。

管理者から見えづらいシャドーIT

IT機器は小型化、高性能化、そして低価格化が進んでいる。例えば、10年前は容量128MBのものが珍しい状況であったが、現在は1TBの製品も登場している。この傾向はほとんどのIT機器で現在も継続している。

同様に、インターネット回線の通信速度は、10年前というとADSLの8Mbps、12Mbpsが普及しはじめたころであったが、現在では1000Mbpsの光通信回線も珍しくなくなってきている。CPUの処理速度では約4倍、ハードディスクの容量では約6倍になり、最近でははるかに小型で大容量、データ転送速度が高速なSSDも普及している。携帯電話も通信キャリアの回線のみを使用する、いわゆる「ガラパゴス携帯」からスマートフォンに置き換わり、通信速度もはるかに高速化している。

こうした製品の進化は歓迎すべきことだが、それらが企業のセキュリティを脅かすこともある。個人所有のより高性能なIT機器が、業務に活用される場面も出てきたためだ。こうした企業の管理下にないIT機器は「シャドーIT」と呼ばれる。「陰に隠れて見えないIT機器」というわけだ。仕事効率アップのために活用される個人所有のIT機器の全てを、企業のIT管理者が完全に把握することは難しい。そのシャドーITが企業を危険にさらすことがある。

シャドーITにより企業がさらされる脅威

シャドーITには、さまざまなIT機器が該当する。例えば、スマートフォンやタブレットといった「スマートデバイス」、複数台のPCで共有できるハードディスク「NAS」、手軽に無線LANを導入、追加できる「Wi-Fiルーター」、書類を撮影することでスキャナー代わりに使えて通信機能も搭載する「デジタルカメラ」、テレビ会議に活用できるWebカメラやヘッドセットマイク、FAXを送受信できるプリンター、そしてUSBメモリーなど、非常に多岐にわたっている。

USBメモリーは手軽にデータをコピーして持ち出せる半面、紛失や盗難に遭いやすいというデメリットがある。スマートデバイスは、PCと接続することでUSBメモリーのように外部記憶媒体として使用できてしまう。特にAndroidをOSに搭載するスマートデバイスは、PCに接続すると独自のプロトコル(通信規格)の複数のデバイスとして認識されるため、対策が難しい。

以前、通信教育会社で発生した大規模な情報漏えい事件は、Androidスマートフォンによってデータを持ち出されている。この事件のあとは、IT資産管理製品やデバイス管理製品がAndroid独自のプロトコルに対応したが、最近ではデバッグモードに設定することで対策をすり抜けてしまうことが問題になっている。

さらにスマートデバイスには、モバイルルーターとして使用できる「テザリング機能」が搭載されている。企業のネットワークに接続することなくインターネットに接続できるため、通信の暗号化強度が弱いと通信を傍受され、通信内容を盗み出されてしまう危険がある。テザリング機能は複数台で使用できるため、リスクも大きくなってしまう。

NASは、安価で大容量の共有ストレージとして便利な製品であるが、NAS本体を持ち出すことも可能であり、NAS製品の多くはインターネット経由で外部からアクセスできる機能を搭載している。こうした機能を持つ製品は、サイバー犯罪者に外部から不正にアクセスされる危険もある。これはルーターやWebカメラ、ネットワーク機能を持つデジタルカメラやプリンターも同様で、外部から機器にアクセスしてデータや画像、送受信したFAXデータを盗まれる可能性がある。

さらに、メッセージやデータのやり取りのために、個人で利用しているクラウドサービスを業務にも使うケースも多い。無料で利用できる個人向けのSNS(ソーシャルネットワーキングサービス)は、グループを設定して情報をやり取りする機能や、ファイルを送受信する機能も搭載している。しかし、無料サービスであるため、不具合が発生しても十分な補償が得られないケースが多い。

企業がしっかりとしたセキュリティ対策を行っていても、シャドーITを経由して不正アクセスされたり、データを盗まれたりするリスクが増えてしまう。インターネットに接続できるということは、「インターネット側からアクセスされる可能性がある」ことを覚えておきたい。しかも、これらを企業の管理者が気づくことは難しい。

企業の管理外にあるシャドーIT

企業の管理外にあるシャドーIT

シャドーITをなくすためには

シャドーITは、企業にさまざまなリスクを生み出す。しかし、手軽に持ち込むことができ、実際に業務の効率化につながっているケースも多く、持ち込む側に悪意や危機意識はなく、企業の管理者が実態を把握することは難しい。そこで、シャドーIT対策には、周知と実態の把握、検知の仕組み、そしてルール作りがポイントとなる。

まずはシャドーITのリスクについて、全社に周知させる。手軽に使える半面、企業に重大なセキュリティ被害を与えてしまう可能性があることへの理解を求めよう。そのうえで、全社レベルでIT機器の棚卸しを行い、把握できていないIT機器がないかを確認する。シャドーITが発覚したら、誰が持ち込んだものかを明らかにする。

現状の把握ができたら、IT資産管理製品などを活用して管理を行う。多くのIT資産管理製品では、リストにないIT機器が新たに社内ネットワークに接続されるとアラートで管理者に知らせる機能がある。これを活用して、新たなシャドーITを増やさないようにできる。なお、ファイアウォールや次世代ネットワークセキュリティ製品などでは、シャドーITを検知できるものもある。

シャドーITを検知する仕組みが整ったら、ルールの見直しを行う。ルールは、シャドーITを持ち込まないといった禁止事項だけでなく、業務を効率化できる最新のIT機器の導入を速やかに行える仕組みをルール化することも重要だ。シャドーITが企業に入り込むのは、従業員の不便から始まることを認識したい。最新のIT機器の良さは、エンドユーザーが一番知っているのだ。

資産管理製品を使ったIT機器管理のイメージ

資産管理製品を使ったIT機器管理のイメージ

テキスト/吉澤亨史

たのめーる コクヨ キャビネット備蓄シリーズ