シャドーITとは、会社が利用を許可していない、あるいは使っていることを把握できていないIT機器やクラウドサービスが、業務に利用されている状態を指します。
テレワークの普及や無料ツールの増加を背景に、シャドーITが発生しやすい状況が広がっています。放置すれば情報漏えいや不正アクセスといった深刻なセキュリティ事故を招くおそれがあるため、企業にとって早急な対策が求められる課題です。
本記事では、シャドーITについて以下の内容を解説します。
- シャドーITの概要
- シャドーITが増えている背景・発生する原因
- シャドーITになりやすいもの
- シャドーITが引き起こすセキュリティリスクとインシデント事例
- シャドーITへの対策(内部資産・Web資産)
本記事を読むことで、シャドーITのリスクと具体的な対策がわかります。社内の端末・サービスだけでなく、見落とされやすいWeb資産への対策も紹介するので、自社のIT資産管理を見直したい方はぜひご一読ください。
シャドーITとは?
シャドーITとは、会社が使用を許可していない、あるいは従業員が使っていること自体を会社側が把握できていないIT機器・ソフトウェア・クラウドサービスなどのことです。個人の判断で業務へ持ち込んでしまうケースが多く、企業の管理が行き届かないため大きな問題となっています。私物のスマートフォンやパソコンといったデバイスだけでなく、無料のクラウドサービスやチャットツールなども含まれます。
近年、テレワークの普及や、便利な無料ツールの増加により、シャドーITが増えています。どこからでも手軽に仕事ができる環境が整った反面、セキュリティ対策が不十分になりやすく、情報漏えいといった深刻なトラブルを引き起こすリスクが高いため注意が必要です。
シャドーITとサンクションITの違い
サンクションITとは、会社が契約し、業務での使用を正式に許可しているサービスや端末を指します。導入時にセキュリティ要件を確認したうえで運用されるため、ソフトウェアのアップデートや脆弱性への対応も適切に行いやすくなります。
シャドーITとの違いは、「会社が利用を許可しているかどうか」という点です。シャドーITは会社の管理が及ばないため、セキュリティ上の問題が発生しても迅速に対応できないリスクがあります。
安全に業務を進めるためには、社内で利用するすべてのITツールをサンクションITとして管理する仕組みづくりが欠かせません。
シャドーITとBYODの違い
BYOD(Bring Your Own Device)とは、従業員の私物の端末を、会社の許可と管理のもとで業務に使用する仕組みです。たとえば、個人のスマートフォンにセキュリティアプリのインストールを義務づけたうえで業務利用を認めるケースが該当します。
シャドーITとの最大の違いは、「許可と管理の有無」です。同じ私物端末の業務利用であっても、会社が関与しているかどうかでセキュリティリスクの大きさが変わります。
| BYOD | シャドーIT | |
|---|---|---|
| 会社の許可 | あり | なし |
| 会社による管理 | あり | なし |
| セキュリティリスク | 比較的低い | 高い |
ただし、BYODとして許可された端末であっても、会社が認めた範囲を超えて利用すればシャドーITに該当する点には注意しましょう。たとえば、業務利用を許可されたスマートフォンで、未承認のクラウドサービスに業務データを保存するといった行為が挙げられます。BYODの運用ルールを明確にし、従業員に周知することが不可欠です。
シャドーITが増えている背景・発生する原因
シャドーITが増加している背景には、働き方の変化とITツールの進化が深く関わっています。
近年、テレワークやリモートワークが広く普及したことで、社員が自宅や外出先でどのようなIT機器やサービスを使っているのか、会社側から直接見えにくくなりました。加えて、クラウドストレージやチャットアプリ、生成AIなど、無料で高機能な個人向けツールが次々と登場していることも、シャドーITを加速させる大きな要因と言えます。
また、会社が用意した公式のツールが使いにくい場合、業務をスムーズに進めるために、社員が普段から使い慣れている個人のサービスを勝手に流用するケースは少なくありません。さらに、従業員のセキュリティ意識が不足していると、情報漏えいのリスクに気づかないまま、悪気なく私物のツールを使ってしまうという問題も起きています。
課題は社員側だけにとどまらず、業務効率の低下を恐れた会社側がシャドーITの存在に気づきながらも、つい黙認してしまっているケースもあります。このような複数の原因が重なることで、企業の管理が及ばないITツールが社内へ広がっていくと考えられます。
シャドーITになりやすいもの
シャドーITの対象は、私物の端末だけにとどまりません。社内で使うサービスから、広義では社外に公開しているWebサイトまで幅広く存在します。
ここでは、シャドーITになりやすいものを以下の2つに分けて解説します。
- 内部資産(社内で使う端末・サービス)
- 外部に公開しているWeb資産
内部資産(社内で使う端末・サービス)
社内の業務で使う端末やサービスのうち、シャドーITになりやすいものは大きくデバイス・サービス・ネットワークの3つに分類できます。
| 分類 | 種類 | 具体例 |
|---|---|---|
| デバイス | 私物のPC・スマホ | 会社から端末が支給されていない場合などに、個人のPCやスマホで業務をしてしまう |
| サービス |
無料のクラウドストレージ | Googleドライブ、Dropboxなど。大容量ファイルの保存・共有に使われやすい |
| チャットツール・SNS | LINEなど。気軽に業務連絡やファイル共有に使われやすい | |
| フリーメール | Gmail、Yahoo!メールなど。個人アカウントで取引先に連絡してしまうケースがある | |
| 生成AIサービス | 業務情報を許可なく入力すると、その情報が外部に保存・利用されるおそれがある | |
| ネットワーク | 公共のWi-Fi | 駅やカフェなど、会社が管理していないWi-Fiに業務端末を接続してしまう |
公共のWi-Fiは端末やサービスそのものではありませんが、会社の管理外のネットワークを業務に使うという点で、広義のシャドーITに該当します。
いずれも、従業員が業務効率や利便性を求めた結果として利用されるケースがほとんどです。日常的に使われている身近なツールばかりだからこそ、従業員自身がシャドーITだと認識しないまま利用してしまうと考えられます。
外部に公開しているWeb資産
会社が把握できていないIT資産は、社内で使う端末やサービスだけではありません。社外に公開しているWebサイトやWebアプリケーションのうち、管理から漏れたまま放置されているものも、広義ではシャドーITだと言えるでしょう。
たとえば、以下のようなケースが該当します。
- 部署が独自に立ち上げたキャンペーンサイトや採用ページ
- 検証用に一時的に公開したまま放置されたテストページ
- 使われなくなった古いサブドメイン
- 合併・統合などで引き継いだものの、存在自体が把握されていないサイト
こうしたWeb資産は、誰も管理していない状態でインターネット上に公開され続けるため、ソフトウェアの更新やセキュリティ対策が行われません。その結果、脆弱性が放置され、外部の攻撃者に悪用される入口となるおそれがあります。
社内のシャドーITと比べて見落とされやすい分、リスクが顕在化するまで気づけないケースも少なくありません。Web資産の棚卸しと管理体制の整備が不可欠です。
シャドーITが引き起こすセキュリティリスク
シャドーITは、会社の管理が及ばない状態でITツールが使われるため、さまざまなセキュリティリスクの原因になります。
ここでは、とくに注意すべき代表的なリスクを3つ取り上げます。
- 情報漏えい
- マルウェア感染と社内への拡大
- 不正アクセス・アカウント乗っ取り
情報漏えい
シャドーITがもたらす深刻なリスクのひとつが、情報漏えいです。
たとえば、個人のクラウドストレージに業務データを保存した場合、共有リンクの設定ミスによって誰でも閲覧できる状態になってしまうことがあります。フリーメールで取引先に連絡した際の誤送信や、チャットツール上での意図しないファイル共有も、情報漏えいにつながるケースです。
また、私物のスマートフォンやPCに業務データを保存している場合、端末の紛失や盗難がそのまま情報流出につながるおそれがあります。会社が管理する端末であれば遠隔からのデータ消去などの対処が可能ですが、会社が管理していない私物端末ではそうした対応がとれません。万が一、顧客情報や機密情報が流出すれば、損害賠償や社会的信用の失墜など、企業経営に深刻な影響を及ぼすおそれがあります。
マルウェア感染と社内への拡大
シャドーITは、マルウェアの感染経路にもなり得ます。
会社が管理する端末には、通常ウイルス対策ソフトの導入やソフトウェアの更新といったセキュリティ対策が施されています。しかし、私物の端末ではこうした対策が十分でないケースが多く、マルウェアに感染するリスクが高まります。
とくに危険なのは、感染した私物端末を社内ネットワークに接続してしまうケースです。一台の端末から社内の他のPCやサーバーへとマルウェアが拡散し、被害が組織全体に及ぶ可能性があります。外部から持ち込まれたUSBメモリを介した感染も同様のリスクを抱えており、一度社内に広がると業務の停止や復旧にかかるコストは甚大なものとなりかねません。
不正アクセス・アカウント乗っ取り
個人で作成したサービスのアカウントは、パスワードが単純なものに設定されていたり、本人確認を強化する仕組みが導入されていなかったりするなど、セキュリティが甘くなりがちです。そのため、悪意のある第三者から標的にされやすく、パスワードを盗まれてアカウントを乗っ取られてしまう危険性が高まります。
アカウントが乗っ取られると、保存していた業務データが外部に流出するだけでなく、本人になりすまして社内の関係者や取引先に不正な連絡が行われるおそれもあります。
公共のフリーWi-Fiを経由して業務システムにアクセスした場合も注意が必要です。セキュリティ対策が不十分な経路を経由することで、通信の傍受や中間者攻撃により、ログイン情報を盗まれてしまう危険性があります。
シャドーITが原因で起きたインシデント事例
シャドーITによるセキュリティリスクは、実際に多くの組織で深刻な被害をもたらしています。
ここでは、内部資産とWeb資産それぞれのカテゴリから、実際に起きたインシデント事例を紹介します。
- 【内部資産】私物USB紛失による情報漏えいのおそれ
- 【Web資産】旧ページ放置による情報漏えい
【内部資産】私物USB紛失による情報漏えいのおそれ
2023年6月、広島市の市立中学校に勤務する教諭が、生徒のべ1万620人分の個人情報が保存された私物のUSBメモリを紛失する事案が発生しました。USBメモリには、以前の勤務先を含む中学校3校分の解答用紙や成績などのデータが保存されていたとされています。私物のUSBメモリに業務データを保存して持ち出していた点から、組織が管理していない記録媒体の利用がリスクにつながった事例といえます。
USBメモリのような持ち運びが容易な記録媒体は、紛失や盗難のリスクが高く、とくに組織が管理していない私物の場合はセキュリティ対策も不十分になりがちです。たとえ組織が支給した機器であっても、暗号化やアクセス制限といった管理が徹底されていなければ、情報漏えいのリスクは残ります。USBメモリの取り扱いルールを整備し、運用を徹底することの重要性を示す事例といえます。
【Web資産】旧ページ放置による情報漏えい
2024年5月、ある大手企業の会員制Webサイトが不正アクセスを受け、大規模な情報漏えいが発生しました。サーバー業務の委託先から異常なアクセス増加の報告を受けて調査した結果、過去に使用していたページのセキュリティ設定に不備があり、そこを攻撃者に突かれたことが原因と判明しています。
漏えいが確認されたのは、約10万8千人分の顧客情報と約18万3千人分の従業員等の情報です。漏えいした項目にはメールアドレスやログインID、パスワードも含まれており、被害の深刻さがうかがえます。
問題のページは10年以上前に使用を終えていたにもかかわらず、閉鎖されずにインターネット上に公開されたままでした。現在使われていないページは管理の意識が薄れやすく、ソフトウェアの更新やセキュリティ対策も放置されがちです。社内の端末やサービスだけでなく、外部に公開されたまま忘れ去られたWebページが、攻撃者にとって格好の侵入口となり得るということを強く認識しておくべきでしょう。
シャドーITへの対策
シャドーITを防ぐには、対象となる資産の種類に応じたアプローチが必要です。ここでは、社内で使う端末・サービスなどの「内部資産」と、社外に公開している「Web資産」の2つに分けて、それぞれの対策を解説します。
内部資産に対する対策
私物の端末や未承認のクラウドサービスといった内部資産のシャドーITには、環境整備・ルール・技術の3つの観点から対策を講じることが重要です。
- 使いやすいツール・環境を整備する
- 利用ルールの策定と社員教育を行う
- MDM・CASBで管理体制を強化する
使いやすいツール・環境を整備する
シャドーITを防ぐための第一歩は、社員が会社の用意したシステムに不満を持たないよう、使いやすいツールや環境を整えることです。会社が指定した公式のツールが使いにくかったり、機能が不足していたりすると、業務を早く進めるために便利な個人のサービスに頼ってしまいやすくなります。そのため、現場の社員がどのような作業に困っていて、どのような機能を求めているのかをしっかりと把握し、要望に応えていく姿勢が求められます。
実際の業務に合ったツールを会社として正式に導入できれば、社員は隠れて別のサービスを利用せずに済むはずです。情報漏えいなどのリスクを根本から減らすために、管理されたツールの中で効率よく仕事ができる環境を作り上げましょう。
利用ルールの策定と社員教育を行う
便利なツールを整備しても、何がOKで何がNGなのかが曖昧なままでは、シャドーITを防ぎきることはできません。業務で利用を許可するツールの範囲や、新しいサービスを使いたい場合の申請手順を明文化し、全社に周知することが不可欠です。
あわせて、定期的な研修を通じてシャドーITのリスクを従業員に伝えることも重要になります。「なぜ個人のツールを無断で使ってはいけないのか」を具体的な事例とともに説明すれば、従業員のセキュリティ意識は高まります。
ルールは作って終わりではなく、現場の実態に合わせて定期的に見直すことも意識していきましょう。
MDM・CASBで管理体制を強化する
ルールの整備や教育に加え、ツールによる技術的な管理体制の強化も有効な対策です。代表的なものとして、MDMとCASB(キャスビー)が挙げられます。
MDMは、業務で使用するスマートフォンやタブレットなどのモバイルデバイスを一括で管理するシステムです。端末の設定やアプリのインストール制限、紛失時の遠隔ロック・データ消去といったセキュリティ対策を、管理者側から一元的に行えます。
一方でCASBは、従業員のクラウドサービスの利用状況を可視化し、組織のセキュリティポリシーを適用するためのサービスです。許可されていないクラウドサービスの利用を検知できるため、シャドーITの早期発見に役立ちます。
いずれのツールも、導入するだけでなく、自社の業務内容やリスクに合わせた運用設計が求められます。ルールの策定・教育と組み合わせることで、より実効性のある管理体制を築けるはずです。
Web資産に対する対策
企業が社外に向けて公開しているWebサイトやアプリなどの「Web資産」における管理漏れを防ぐためには、セキュリティの隙を作らないために以下のような具体的な対策を進めることが欠かせません。
- 不要なWeb資産を作らない・残さない
- ASMでWeb資産を可視化する
不要なWeb資産を作らない・残さない
Web資産に対するシャドーIT対策の第一歩は、管理しきれないWeb資産をそもそも増やさないこと、そして不要になったものを放置しないことです。すでに使われなくなった古いWebサイトやサブドメイン、開発時に使ったテスト用の環境などは、そのまま残しておくとサイバー攻撃の標的にされかねません。そのため、不要になったものは速やかに停止や削除を行い、攻撃を受ける隙そのものを減らしましょう。
さらに、開発途中のテストなどで使う検証環境(ステージング環境)については、誰でもインターネットからアクセスできる状態にしておくのは大変危険です。外部から見られないように認証設定をしたり、社内の特定のパソコンからしか接続できないように制限を設けたりして、一般に公開している本番サイトとは切り離して運用する仕組みづくりが求められます。Web資産の作成から廃止までのルールを定め、管理体制を整えることが重要です。
ASMでWeb資産を可視化する
不要なWeb資産を削除・停止するにしても、そもそもどこに何が公開されているかを把握できていなければ対策のしようがありません。そこで有効なのが、ASM(Attack Surface Management)の導入です。ASMとは、インターネットからアクセス可能な自社のIT資産を自動的に洗い出し、管理外の公開資産を含めて一覧化・可視化する仕組みを指します。独自に立ち上げたサーバーや、公開されたまま放置されているテストサイトなども効率よく発見できます。過去のページが放置されたまま攻撃を受けるケースは後を絶たないため、こうした資産の見える化は極めて重要です。
ただし、ASMの中心的な役割は「発見と可視化」であり、それだけでセキュリティが確保されるわけではありません。ASMで見つかった資産に対しては、脆弱性診断を実施して具体的なリスクを特定し、必要な対処を行うことが求められます。「見つける→診断する→対処する」というサイクルを継続的に回すことが、Web資産のシャドーITを防ぐうえで不可欠な取り組みです。
Web資産の可視化と脆弱性診断をするならAeyeScan
インターネット上に公開されたWebサイトやWebアプリケーションなど、どこに何があるか把握しにくい外部のWeb資産を管理したい場合は、クラウド型のWebアプリケーション脆弱性診断ツール「AeyeScan」をご検討ください。
AeyeScanは、AIやRPAを活用したクラウド型のWebアプリケーション脆弱性診断ツールです。診断対象のURLを登録するだけで、Webサイトの巡回から脆弱性の検出、レポート作成までを自動で行えるため、セキュリティの専門知識がなくても高精度な診断を実施できます。
また、外部から見つけにくい未把握のWebサイトやWebアプリを、オプションの「Web-ASM」機能によって自動で発見して可視化することが可能です。外部に公開されたWeb資産は見落としやすいため、ツールによる網羅的な探索が便利です。まさに、Web資産におけるシャドーIT対策として有効です。
さらに、診断に関しても、外部の会社に都度委託する方法と異なり、社内で繰り返し実施できるため、コスト・スピード・工数の面でも負担を抑えた運用が可能です。「まず自社のWeb資産を把握したい」「定期的に脆弱性診断を回したい」という企業は、AeyeScanの導入を検討してみてはいかがでしょうか。
まとめ|IT資産を適切に管理してシャドーITを防ごう
シャドーITとは、会社が許可していない、または把握できていないIT機器・ソフトウェア・クラウドサービスなどを業務に利用している状態のことです。テレワークの普及や無料ツールの増加を背景に、近年そのリスクは高まり続けています。
シャドーITの対象は、私物の端末やクラウドストレージといった社内の内部資産だけではありません。管理から漏れたまま放置された旧サイトやサブドメインなど、社外に公開されたWeb資産にも広がっています。内部資産・Web資産のどちらについても、まず「どこに何があるのか」を見える化して把握することが、対策の第一歩です。
とくにWeb資産は、存在自体が見落とされやすく、気づかないうちに攻撃者の侵入口となるおそれがあります。AeyeScanなら、オプションのWeb-ASM機能で管理外のWeb資産を自動的に発見・可視化でき、そのまま脆弱性診断まで一貫して実施できます。Web資産のシャドーIT対策を強化したいとお考えの方は、ぜひAeyeScanの導入をご検討ください。
著者:榊原敦子(シニアカスタマーマーケティングマネージャー)
