シャドーITの危険性とは？CASB/BYODとの関係性や対策方法まとめ

新型コロナウイルスによるテレワーク推進やそうでなくても業務が終わらず仕事を持ち帰ったことがある人もいると思います。

しかしそうした「ちょっとしたこと」が「シャドーIT」に該当し、情報漏えい事件として問題化することも・・・。

「シャドーIT」とは、私物のパソコンやスマホなどの機器やクラウドサービスを許可なく業務に使用すること。

個人向けの機器やサービスではセキュリティーも万全ではなく、情報漏えいやデータの紛失・盗難の可能性が高まります。

業務用のデータだけでなく、LINEで業務連絡をすることもシャドーITに該当するので注意が必要です。

情報化社会の発展に伴い、いつでも、どこでも仕事ができるようになったからこそ、社会問題になりつつあります。

シャドーITの対策として「CASB」と「BYOD」があります。

それぞれはどうやってシャドーITに対抗するのでしょうか？

シャドーITのセキュリティ対策として利用されることが増えているのが「CASB」です。

インターネットを利用する際、CASBを経由することでセキュリティを確保します。

具体的には次の4つ方法が取られています。

可視化・分析では、社内で使用されるサービスを監視・可視化することでリスクを分析します。

コントロールでは、ブロックやアラートなどを一元的に実行することでコントロールします。

データセキュリティでは、機密情報を設定することで保存されているデータを暗号化します。

防御では、不正なプログラムが実行されたりダウンロードされることを防ぎます。

CASBでは個人の機器に対するシャドーITを防ぐすることは難しいですが、個人契約のクラウド利用を制限するのに効果的です。

BYODとは、従業員が個人で利用している機器やサービスを一定の条件を取り付けた上で企業の許可を得て利用すること。

条件の例として、LINEなどのコミュニケーションアプリやストレージサービスの利用を制限したり、業務中の個人利用の機器のログを企業に提出させるなどです。

シャドーITによって数多くの事件が問題化されているので、いくつか紹介させてもらいます。

休日に自宅で仕事をしようとして、社内パソコンから個人で利用しているUSBメモリーにデータをコピーした事例です。

企業で許可していないWEBサイトにデータをアップロードしたところ、顧客情報などの社外秘データが流出しました。

LINEをはじめとした一般向けのコミュニケーションツールを業務連絡で使う方も多いと思いますが、それが事件になることもあります。

LINEには従業員を監視したり制限するための機能がなく、LINEでのやり取りや情報を簡単に送れてしまいます。

しかも、従業員が退職後もLINEのグループに残り続けることもあり、情報が入手できます。

こうしてログが残らない情報漏えい事件に発展してしまうと、流出元の特定は困難になってしまいます。

充電のために、スマホとパソコンを接続したことのある方も多いでしょう。

しかし、パソコンとスマホを接続すると電力だけでなく、データもやり取りできるってご存知でしたか？

悪用を防ぐために、セキュリティソフトで無効化できる設定もありますが、開発者向け機能で持ち出しが可能になるので、注意が必要です。

こういった情報漏えいを減らすために「独立行政法人情報処理推進機構」（以下、IPA）が注意喚起を行っています。

IPAは日本におけるITの国家戦略を技術面人材面からサポートするために設立されました。

コンピューターウィルスや不正アクセス、脆弱性に関する発見や被害の届け出を受け付けており、その一環として情報を発信しています。

詳しくはIPAのホームページをご確認ください。

シャドーITは従業員が仕事の効率化を高めるため、業務を終わらせるために仕事を持ち帰ったり、使い慣れている自分の機器・サービスを利用しています。

なので頭ごなしに禁止するだけでは根本的解決に繋がりませんし、従業員が報われません。

次の方法でシャドーITを少しずつ減らしていきませんか？

シャドーITの利用状況をヒアリングやアンケートで把握します。

この時大切なのは、いつ、どんな機器・サービスを利用して、どんな業務をしているのか、把握すること。

これによって、効果的な対策ができます。

最近のインターネットは常時SSLが一般になり、情報が暗号化されているため、企業側で管理することは難しくなりました。

CASBによって、従業員のインターネット利用を制限・管理して安全性を高めます。

また、BYOD向けのアプリも登場しているので、個人用のアプリの起動を防ぐことができます。

シャドーITを減らすために、職場のパソコンはUSBメモリーを利用できなくしたり、社内ネットワークには個人のものを含め社外の機器が接続できないようにしたり制限します。

シャドーITはどれだけ対策をしても完全に防ぎ切ることは難しいです。

従業員に対して啓蒙活動を行い、理解を深めてもらわなければなりません。

シャドーITは大きな問題になることがありますが、自身が原因で情報漏えいが起こるかも、とは考えにくいからこそ、従業員への教育と理解が必要です。

上記でシャドーIT対策を紹介させてもらいましたが、とくにクラウドサービス利用に対するシャドーIT対策は以下の3つの課題から難しいことがあります。

クラウドサービスの利用状況を把握するには、ログを用いたモニタリングが有効です。

しかし、有効性が認知されていないこととクラウドサービスの情報収集、分析に手間がかかり、あまり浸透していません。

社内で利用できるクラウドサービスを許可したとしても、規定した使い方で利用しているかチェックしなければなりません。

外部に公開される設定になっていると情報漏えいとして問題になるからです。

このチェックが多く、かつ業務の利用は許可、個人利用は禁止したい場合、技術的な問題が発生し、制限できるとは限りません。

暗号化して通信の盗聴や不正アクセスをを防ぐHTTPS通信ですが、モニタリングをすることが難しくなり、利用状況の把握ができなくなります。

CASBを導入することでこれらの課題はある程度対策することができますが、従業員への教育を行い、理解してもらい、シャドーITをさせないことが理想です。

シャドーITは、情報流出の原因になりかねません。

業務にLINEを使うことも該当し、完全に防ぐことは難しいため、従業員教育を通じて理解と協力を得ることが理想です。