野良IT(シャドーIT)のリスクとは
企業において情シスなどのIT管理部門が認知していないデバイス、サービス、システムは「野良IT」あるいは「シャドーIT」と呼ばれ、企業にとってコスト増や情報漏洩のリスク源となります。野良ITができづらいよう対策を打っておくと安心です。この記事では野良ITとは何か、なぜできるのか、そして有効な対策について解説します。
情シスの現場を困らせる「野良IT(シャドーIT)」とは
野良ITやシャドーITといった名称は俗称であり、明確な定義はありません。この記事では情シスなどのIT管理部門が存在を認知していないIT関連のデバイス、Webサービス(クラウドやSaaS、PassS)、VBAなどのシステムのことを指すことにします。
野良ITには後述の通りさまざまなリスクがあるため、存在を放置すべきではありません。
野良ITがあるリスク
野良ITは悪意を持って設置されることは少なく、むしろ業務効率改善を狙いよかれと思って、あるいは必要に駆られて設置することがほとんどです。
ただ、野良ITにはさまざまなリスクがあるため、野放し状態で自由に設置させるべきではありません。
コストが知らぬ間に増大している
野良ITによって企業のコストが増大する可能性があるのが第1のリスクです。
業務上必要なサービスを各部門が独立して契約した場合、同じようなサービスを異なる部門が重複して契約する可能性があります。
その結果、企業全体として一括契約したほうが割安になるはずなのに、不要なITコストを支払うことになるのです。
気づいたときにはそれぞれの部門がそれぞれのサービスに過度に依存し、サービスの乗り換えが難しくなり、契約の切り替えと統一ができないという自体になっているかもしれません。
セキュリティリスクの増大
情報漏洩などのセキュリティリスクの増大も野良ITが抱えるリスクの1つです。
ITの専門家でない従業員がサービスを契約すると、正しくない運用方法によって情報漏洩が発生するかもしれません。
また、サービスのなかにはログの保存期間がプランによって異なる場合がありますが、セキュリティ事故発生時に原因を探りたくてもログが失われていて解決できないということもあり得るでしょう。
データの誤消去などのインシデント
野良ITは一般的に必要に駆られて仕方なく利用されているものであり、本来であれば必要な「万が一」の備えが取られていないことが多いです。
たとえば大事なデータのバックアップを取るという備えがなく、データの誤消去によって業務に支障が出たり、顧客に迷惑がかかったりするかもしれません。
「車輪の再発明」は時間の無駄
「車輪の再発明」とは、すでに存在している技術や解決法を使わずに、1から作ることを指します。
たとえば業務効率改善のためにVBAを使ったマクロを作成したところ、すでに似たようなマクロがほかの部門ですでに運用されているという事態が1例です。
マクロの作成に費やした時間が無駄になりますし、それらのマクロを保守・運用していくために将来的にもコストがかかり続けるでしょう。
野良ITができてしまう原因
野良ITができてしまう原因は大きく分けて3つです。
1つ目は社内ツールやシステムが不便だと思われているケース。企業のなかにはさまざまな部門があり、それぞれに異なる業務を担当しています。全社的に提供されているツールやシステムが必ずしも最適とは限らず、独自のデバイスやサービスを導入してしまうのです。
2つ目は情報セキュリティ部門への利用申請が煩雑であるケース。ちょっとしたデバイスやサービスなのに導入のための手続きが面倒すぎると、独自に導入してしまうかもしれません。
3つ目はテレワークが原因であるケース。テレワークが普及するとIT部門の目の届かない場所で業務がおこなわれ、管理が行き届きにくくなります。従業員としても仕事とプライベートの区別がつきづらくなり、軽い気持ちで野良ITを設置してしまうかもしれません。
野良ITを作らせない対策
企業にとって野良ITはできるだけ存在しないほうが望ましいといえます。野良ITを作らせないための対策をご紹介しましょう。
許可されたITを一覧にする
許可されたITデバイスやサービスなどを一覧にし、全従業員が簡単に確認できるようにしましょう。
人間は何が悪くて何がよいのかわからないと判断に困りますし、悪気なく問題のある野良ITを設置するかもしれません。
使ってもよいITデバイスやサービスが明確になっていれば、不用意に野良ITが設置されるリスクを下げられますし、従業員にとっても安心して必要なITデバイスやサービスを利用できます。
業務に必要なITは導入する
ただし、IT部門や経営層が必要と思っていない、あるいは存在自体を知らないITデバイスやサービスが、それぞれの部門の事情で必要になることがあります。
このため、先述の一覧に掲載されていないITデバイス・サービス以外はすべてNGとするのではなく、必要であれば導入するという柔軟性も必要です。
その際、面倒なので許可を取らずに使うという事態を避けるため、手続きを簡略化して気軽に申請できるようにしてください。
セキュリティ対策の教育をする
IT部門にとって当たり前のセキュリティ対策であっても、すべての従業員が共通認識として持っているとは限りません。
このため、従業員を対象にしたセキュリティ対策の教育が必要です。
どのような行為にリスクがあるのか理解できれば、不用意に野良ITを設置するリスクを低減できます。
ITの世界は日進月歩のため、一度のセキュリティ教育で終わらせるのではなく、定期的におこなうべきでしょう。
野良ITの利用を制御する
いくら対策をしても野良ITを使おうとする従業員はあらわれます。
このため、
- 従業員にパソコンの管理者権限を与えない
- USBポートなどの外部ポートの利用を制限する
- 社内ネットワークに接続できるデバイスを制限する
- ログをモニタリングする
- MDM(Mobile Device Management)ツールの導入
- 社員がどのクラウドサービスにアクセスしているかを管理するサービス(CASB:Cloud Access Security Broker)を利用する
といった対策を取るのがおすすめです。
このうちMDMツールとは業務で利用するデバイスを一括管理するためのツールであり、利用可能なアプリやWebサービスの制限、業務に必要なアプリのインストールやアップデート、デバイス紛失時のロックやデータ消去といった機能があります。
CASBはクラウドサービスの利用を監視するためのソリューションです。最近はクラウド上で提供されるサービスが増加し、パソコンへのアプリのインストールを禁止するだけでは野良IT対策をできなくなっています。CASBを使えばクラウドサービスへのアクセス監視ができるため、早期に野良ITの利用を防止できるでしょう。
BYODを採用する
企業として従業員に支給するデバイスが、それぞれの業務にとって最適とは限りません。
そこでBYOD(Bring Your Own Device)と呼ばれる、個人として所有しているデバイスを業務に使う仕組みを取り入れると従業員の不満が減り、野良ITの設置を減らせる可能性があります。
ただし、BYOD自体にもセキュリティリスクの増大などのリスクがあるため、慎重な運用が必要です。
逆に従業員のプライバシーを侵害するリスクも存在するため、やりすぎた監視は逆にリスクを招く点には注意してください。
野良ITができる原因を理解して対策しよう
この記事で紹介したように、野良ITにはコストの増大や情報漏洩などのリスクがあります。
しかしながら、野良ITが設置されないよう厳しすぎるルールを設けるのは逆効果です。野良ITの多くはよかれと思って、あるいは必要に駆られて設置されるものであり、その裏には企業が提供するITデバイス・サービスへの不満があります。
野良ITができる原因を理解し、企業と従業員の双方がWin-Winとなるような対策を打つようにしてください。
おすすめのアウトソーシング会社3選
情報セキュリティに関する第三者認定を取得している点に注目し、その上で他にも特徴的なサービスを提供しているアウトソーシング会社を選定し、おすすめしています。
「情シスアウトソーシング」とGoogle検索し、ヒットした上位50ページのサイトのうち、公式サイトが表示された会社28社を調査。そこから、オンサイト対応している、公式サイトに事例を掲載している、プライバシーマークもしくはISO27001を取得している会社からそれぞれ選定して紹介しています。(2024年4月15日調査時点)
情シス業務を引き継げる
本社所在地・対応範囲
所在地 | 東京都港区港南1丁目2番70号 品川シーズンテラス24F |
---|---|
対応 エリア |
日本全国 |
スク
を立ち上げられる
本社所在地・対応範囲
所在地 | 熊本県熊本市中央区辛島町3-20 NBF熊本ビル3階 |
---|---|
対応 エリア |
応相談 |
資産管理まで依頼できる
本社所在地・対応範囲
所在地 | 東京都千代田区大手町一丁目9番2号 大手町フィナンシャルシティ グランキューブ19F |
---|---|
対応 エリア |
記載がありませんでした |
関連ページ
【コラム】情シスの抱える課題や解決策