シャドーITとは？実際に起きる事故やリスク、対処法について解説

シャドーITとは

シャドーITとは、企業内で管理者（情シス）が管理せずに利用されているIT機器やツールのことです。PCやスマホで私用端末を利用されたり、普段使っているという理由で会社指定のツールを利用することがシャドーITと呼ばれます。

BYODを認めていて、利用するツールを決めているからといって、シャドーITがないわけではありません。この場合、管理ができていない状態なので、ルールを敷いていても把握できなければシャドーITなのです。

よくあるシャドーIT事例

• 許可されていない、私用のPCやスマートフォンを業務に使う

• USBメモリに業務データをコピーして社外に持ち出す

• 個人利用のBoxやGoogle Driveなどのオンラインストレージサービスで業務ファイルを共有する

• 個人利用のLINEやMessangerやメールなどの無料コミュニケーションアプリで業務連絡を行う

• 個人利用のクラウドサービスで業務ファイルの作成や編集を行う

シャドーITによるリスクや事件

【シャドーITによる事件】病院での患者情報の流出

岡山大学病院で患者情報が流出した事故では、個人利用のクラウドサービスに患者情報を保存していたことで漏洩してしまっています。

利用方法や漏洩の経緯は細かくわかりませんが、個人利用のクラウドサービスから情報漏洩してしまうことはよくあることです。また今回のように外部で流出するのではなく、社内の悪意のもった人間が情報を退職時に盗むといったことも考えられます。

https://www.okayama-u.ac.jp/user/hospital/news/detail284.html

シャドーITのリスク

シャドーITのリスクは非常に大きいです。事件のように情報漏洩により社会的信用の失墜もそうですし、競合に機密情報が窃取されることによるビジネス優位性の損失といったことが起こり得ます。

シャドーITは、一発アウトにつながりやすく、かつ簡単に生まれやすいセキュリティの穴です。

シャドーITの対策方法

クラウドサービスからの漏洩が増えているため、クラウドサービスを前提に対策を記載します。自社でサーバを保持している場合などは対策が一部変わる部分もあります。

MDMやMAMで端末からのアクセス制御を実施する

必要な端末や会社が認めた端末からのみ、クラウドサービスにアクセスできるように制御します。その際、MDMやMAMといったツールの導入が必要になります。

MAMとMDMの違いは？MAMの製品比較

社内デバイス管理はどうしたら良いのか？〜モバイルデバイス管理とは〜

CASBでクラウドサービスへのアクセスを制限する

CASBを導入し、CASB経由でクラウドサービスにアクセスすることで、利用状況を常に監視することが可能です。

CASBとは？ゼロトラスト時代のキーワード！

お問い合わせは下記から✨

シャドーIT対策をはじめ、情シスに関するお悩みの相談も承っております。少しでも興味をお持ちいただいた方は下記からお気軽にご連絡ください！