モバイルデバイスやスマートフォンの普及により、いつでもどこでも仕事ができる環境を作れるようになっています。その一方で、会社の管理下にないシャドーITがコンプライアンスのリスクとして問題視されています。

シャドーITってなに?

シャドーITとは、雇用者が把握していない形での、従業員によるIT活用を意味します。

従業員が個人所有の情報機器や会社として用意したものではないWebサービス、ネットワーク回線を利用する状況をさします。たとえば、個人所有のスマートフォンなどを会社の許可を得ることなく、業務に使用している場合などはこれに該当します。

多くの場合は、利便性や業務の効率化を求めて従業員個人が善意で利用していますが、企業が保有・管理すべき情報を従業員個人が私的に利用できてしまうほか、情報流出など、情報セキュリティ事故へのリスクも高まります。

シャドーITのもっとも大きな問題は、会社として使用状況の実態を把握できず、管理もできないため、リスクを想定することができない点です。リスクを想定できなければ、対策をとることもできません。情報漏えいや不正使用があったとしても、管理者は発見することができない可能性すらあります。

シャドーITにつながるBYOD

シャドーITの最大の事例は、個人保有のモバイルデバイスを業務に使用するBYOD (Bring Your Own device)でしょう。BYODで想定されるリスクは、個人保有のモバイルデバイスから、アクセス制限されるべき電子メール、ファイルサーバーデータベースなどにアクセスすることです。会社が管理しない個人保有のモバイルデバイスから、不正アクセスウィルス感染、デバイスの紛失が発生し、情報流出につながることもありえます。

また、会社所有のデバイスに、アプリケーションを持ちこむBYOA(Bring Your Own Application)もあります。たとえば、社用のメールアドレスから個人名義のフリーメールに転送したり、会社支給のモバイルデバイスに会社の許可なくSNSのアプリをインストールし個人名義のアカウントを業務使用したりすることなどが該当します。

スマートデバイスには便利な無料アプリが多数ありますが、無料アプリの多くは保管するデータに対する補償がなく、運営会社による情報流出があった場合も、あくまで個人に対する補償になります。

着手すべきセキュリティ対策

特に中小規模の事業者では、本人はもちろん、周囲にもあまり問題視されずに行われがちで、個人所有のスマートフォンと知りながら、BYODを見過ごしている場合が多いです。

まずは、BYODの実態を把握することから着手しなければなりません。最善の策は個人所有デバイスの業務使用は全面禁止し、端末と端末内の情報を管理できる会社所有のモバイルデバイスに移行することです。

すぐに移行することが難しい場合は、個人所有デバイスを業務に使用する場合のルールづくりやセキュリティ対策を徹底し、同時に従業員に対する情報セキュリティ教育を定期的に行う必要があります。

原則として、業務上の情報と、情報を保管する機器の両方を管理する責任があり、それを遵守するためには、段階的にでも、BYODには制限を設けなければならないのです。

ネットワーク管理者を悩ませる「シャドーIT」と「BYOD」とは!?