貴社のニーズに合った情シス部門のアウトソーシングガイド » 【コラム】情シスの抱える課題や解決策 » 野良IT(シャドーIT)のリスクとは

野良IT(シャドーIT)のリスクとは

企業において情シスなどのIT管理部門が認知していないデバイス、サービス、システムは「野良IT」あるいは「シャドーIT」と呼ばれ、企業にとってコスト増や情報漏洩のリスク源となります。野良ITができづらいよう対策を打っておくと安心です。この記事では野良ITとは何か、なぜできるのか、そして有効な対策について解説します。

情シスの現場を困らせる「野良IT(シャドーIT)」とは

野良ITやシャドーITといった名称は俗称であり、明確な定義はありません。この記事では情シスなどのIT管理部門が存在を認知していないIT関連のデバイス、Webサービス(クラウドやSaaS、PassS)、VBAなどのシステムのことを指すことにします。

野良ITには後述の通りさまざまなリスクがあるため、存在を放置すべきではありません。

野良ITがあるリスク

野良ITは悪意を持って設置されることは少なく、むしろ業務効率改善を狙いよかれと思って、あるいは必要に駆られて設置することがほとんどです。

ただ、野良ITにはさまざまなリスクがあるため、野放し状態で自由に設置させるべきではありません。

コストが知らぬ間に増大している

野良ITによって企業のコストが増大する可能性があるのが第1のリスクです。

業務上必要なサービスを各部門が独立して契約した場合、同じようなサービスを異なる部門が重複して契約する可能性があります。

その結果、企業全体として一括契約したほうが割安になるはずなのに、不要なITコストを支払うことになるのです。

気づいたときにはそれぞれの部門がそれぞれのサービスに過度に依存し、サービスの乗り換えが難しくなり、契約の切り替えと統一ができないという自体になっているかもしれません。

セキュリティリスクの増大

情報漏洩などのセキュリティリスクの増大も野良ITが抱えるリスクの1つです。

ITの専門家でない従業員がサービスを契約すると、正しくない運用方法によって情報漏洩が発生するかもしれません。

また、サービスのなかにはログの保存期間がプランによって異なる場合がありますが、セキュリティ事故発生時に原因を探りたくてもログが失われていて解決できないということもあり得るでしょう。

データの誤消去などのインシデント

野良ITは一般的に必要に駆られて仕方なく利用されているものであり、本来であれば必要な「万が一」の備えが取られていないことが多いです。

たとえば大事なデータのバックアップを取るという備えがなく、データの誤消去によって業務に支障が出たり、顧客に迷惑がかかったりするかもしれません。

「車輪の再発明」は時間の無駄

「車輪の再発明」とは、すでに存在している技術や解決法を使わずに、1から作ることを指します。

たとえば業務効率改善のためにVBAを使ったマクロを作成したところ、すでに似たようなマクロがほかの部門ですでに運用されているという事態が1例です。

マクロの作成に費やした時間が無駄になりますし、それらのマクロを保守・運用していくために将来的にもコストがかかり続けるでしょう。

野良ITができてしまう原因

野良ITができてしまう原因は大きく分けて3つです。

1つ目は社内ツールやシステムが不便だと思われているケース。企業のなかにはさまざまな部門があり、それぞれに異なる業務を担当しています。全社的に提供されているツールやシステムが必ずしも最適とは限らず、独自のデバイスやサービスを導入してしまうのです。

2つ目は情報セキュリティ部門への利用申請が煩雑であるケース。ちょっとしたデバイスやサービスなのに導入のための手続きが面倒すぎると、独自に導入してしまうかもしれません。

3つ目はテレワークが原因であるケース。テレワークが普及するとIT部門の目の届かない場所で業務がおこなわれ、管理が行き届きにくくなります。従業員としても仕事とプライベートの区別がつきづらくなり、軽い気持ちで野良ITを設置してしまうかもしれません。

野良ITを作らせない対策

企業にとって野良ITはできるだけ存在しないほうが望ましいといえます。野良ITを作らせないための対策をご紹介しましょう。

許可されたITを一覧にする

許可されたITデバイスやサービスなどを一覧にし、全従業員が簡単に確認できるようにしましょう。

人間は何が悪くて何がよいのかわからないと判断に困りますし、悪気なく問題のある野良ITを設置するかもしれません。

使ってもよいITデバイスやサービスが明確になっていれば、不用意に野良ITが設置されるリスクを下げられますし、従業員にとっても安心して必要なITデバイスやサービスを利用できます。

業務に必要なITは導入する

ただし、IT部門や経営層が必要と思っていない、あるいは存在自体を知らないITデバイスやサービスが、それぞれの部門の事情で必要になることがあります。

このため、先述の一覧に掲載されていないITデバイス・サービス以外はすべてNGとするのではなく、必要であれば導入するという柔軟性も必要です。

その際、面倒なので許可を取らずに使うという事態を避けるため、手続きを簡略化して気軽に申請できるようにしてください。

セキュリティ対策の教育をする

IT部門にとって当たり前のセキュリティ対策であっても、すべての従業員が共通認識として持っているとは限りません。

このため、従業員を対象にしたセキュリティ対策の教育が必要です。

どのような行為にリスクがあるのか理解できれば、不用意に野良ITを設置するリスクを低減できます。

ITの世界は日進月歩のため、一度のセキュリティ教育で終わらせるのではなく、定期的におこなうべきでしょう。

野良ITの利用を制御する

いくら対策をしても野良ITを使おうとする従業員はあらわれます。

このため、

といった対策を取るのがおすすめです。

このうちMDMツールとは業務で利用するデバイスを一括管理するためのツールであり、利用可能なアプリやWebサービスの制限、業務に必要なアプリのインストールやアップデート、デバイス紛失時のロックやデータ消去といった機能があります。

CASBはクラウドサービスの利用を監視するためのソリューションです。最近はクラウド上で提供されるサービスが増加し、パソコンへのアプリのインストールを禁止するだけでは野良IT対策をできなくなっています。CASBを使えばクラウドサービスへのアクセス監視ができるため、早期に野良ITの利用を防止できるでしょう。

BYODを採用する

企業として従業員に支給するデバイスが、それぞれの業務にとって最適とは限りません。

そこでBYOD(Bring Your Own Device)と呼ばれる、個人として所有しているデバイスを業務に使う仕組みを取り入れると従業員の不満が減り、野良ITの設置を減らせる可能性があります。

ただし、BYOD自体にもセキュリティリスクの増大などのリスクがあるため、慎重な運用が必要です。

逆に従業員のプライバシーを侵害するリスクも存在するため、やりすぎた監視は逆にリスクを招く点には注意してください。

野良ITができる原因を理解して対策しよう

この記事で紹介したように、野良ITにはコストの増大や情報漏洩などのリスクがあります。

しかしながら、野良ITが設置されないよう厳しすぎるルールを設けるのは逆効果です。野良ITの多くはよかれと思って、あるいは必要に駆られて設置されるものであり、その裏には企業が提供するITデバイス・サービスへの不満があります。

野良ITができる原因を理解し、企業と従業員の双方がWin-Winとなるような対策を打つようにしてください。

   

おすすめのアウトソーシング会社3選

情報セキュリティに関する第三者認定を取得している点に注目し、その上で他にも特徴的なサービスを提供しているアウトソーシング会社を選定し、おすすめしています。

「情シスアウトソーシング」とGoogle検索し、ヒットした上位50ページのサイトのうち、公式サイトが表示された会社28社を調査。そこから、オンサイト対応している、公式サイトに事例を掲載している、プライバシーマークもしくはISO27001を取得している会社からそれぞれ選定して紹介しています。(2024年4月15日調査時点)

最短2週間で
情シス業務を引き継げる
クロス・ヘッド
クロス・ヘッド株式会社
引用元:クロス・ヘッド株式会社公式サイト
https://www.crosshead.co.jp/service/onsite/plus_staff/
依頼できる主な業務
改善支援
アカウント管理
キッティング
ヘルプデスク
IT企画
システム運用
クロス・ヘッド株式会社の
本社所在地・対応範囲
所在地 東京都港区港南1丁目2番70号 品川シーズンテラス24F
対応
エリア
日本全国

クロス・ヘッドの
公式サイトへ

電話でお問い合わせ
(03-4405-7902)

選定条件:プライバシーマークとISO27001を取得し、オンサイト対応、公式サイトで事例掲載をしていて、サービス導入までの最短期間を明記
最短3週間でヘルプデ
スク
を立ち上げられる
Total IT Helper
Total IT Helper
引用元:RIPPLE CORPORATE SITE
https://ithelper.ripple-call.co.jp/online
依頼できる主な業務
ヘルプデスク
IT活用アドバイス
キッティング
PC設定
IT資産管理
システム保守
リップル株式会社の
本社所在地・対応範囲
所在地 熊本県熊本市中央区辛島町3-20 NBF熊本ビル3階
対応
エリア
応相談

Total IT Helperの
公式サイトへ

電話でお問い合わせ
(0120-890-880)

選定条件:ISO27001を取得し、オンサイト対応、公式サイトで事例掲載をしていて、ヘルプデスクプランがある
調達からキッティング
資産管理まで依頼できる
DRS
DRS
引用元:DRS公式サイト
https://www.drs.co.jp/
依頼できる主な業務
PC調達・処分
キッティング
IT資産管理
運用支援
レンタル・リース契約
ヘルプデスク
ディーアールエス株式会社の
本社所在地・対応範囲
所在地 東京都千代田区大手町一丁目9番2号 大手町フィナンシャルシティ グランキューブ19F
対応
エリア
記載がありませんでした

DRSの
公式サイトへ

電話でお問い合わせ
(03-6860-1200)

選定条件:プライバシーマークを取得して、オンサイト対応、公式サイトで事例掲載をしていて、PC調達~キッティングまで対応している

関連ページ

貴社のニーズに合った情シス部門のアウトソーシングガイド

【コラム】情シスの抱える課題や解決策
2025年の崖における経済損失を回避せよ!
情シスもリストラの対象に
SRE
どうして情シスは嫌われるのか?その理由を徹底解剖!
情シスを退職させないためにできることは?アウトソーシングとの組み合わせもおすすめ
情シスの「オンプレ」とは
情シス部門のベンダー丸投げは危険
情シスの派遣について
情報システムのBCP対策
万年人手不足の情シスで、後進育成は行いにくい!
RPA(Robotic Process Automation)を推進すべき理由
クラウドの選び方
情シスが苦悩するRPA導入について
情シスが定着しない
情シスは報われない
情シスの委託
コストセンターと呼ばれる情シス
情シスのベンダーコントロール術
情シスに必要な人材と育成のポイント
情シス部門はなぜ無能に見えるのか
ひとり情シスで属人化した業務
ツギハギだらけのシステムの原因を徹底究明!
情シスの退職リスク
サーバー障害への対応
増え続けるテレワーク
アフターコロナの情シスはこう変わる
情シス部門をアウトソーシングするメリット
SLAとは?作成のメリットと作成方法について
情シス必須のベンダー選定術
システム保守とシステム運用の違い
Microsoftが提供しているプログラミング言語「VBA」
クラウド導入が遅れる理由
クラウドセキュリティリスク
情シスを兼務している
情シスの採用は難しくてリスク大!アウトソーシングの検討を

【PR】BPOセンターを持つ会社に
アウトソーシングするメリット