みなさんは、シャドーITという言葉をご存知でしょうか。
ビジネスシーンにおいて、パソコンなどのIT機器を使用することは昨今では珍しくありません。
それらの職場環境に端を発して問題となっているのが、シャドーITなのです。
本記事では、シャド―ITの概念・リスク・対策などについて詳しく解説します。
シャドーITとは
会社で業務を行うにあたり、パソコンなどのIT機器は必要不可欠となっています。
しかし、会社で支給されているIT機器だけでは効率的な仕事ができないと考える担当者がいるのも事実なのです。
そのような考え方がある中で、シャドーITとは発生しているのです。
シャドーITとは、担当者が会社で承認されていない私物のIT機器をビジネスシーンにおいて利用することIT機器を指しています。
私物のIT機器とは、パソコン・ノートパソコン・スマホ・タブレットなどさまざまなデバイスが対象となります。
担当者は、私物のIT機器を使用して外出先などで空き時間を有効活用して業務を遂行しているのです。
担当者が自発的に効率的な業務遂行を行っているため問題がないように見えますが、シャドーITにはさまざまなリスクが内包されているため注意しなければなりません。
シャドーITが生まれる原因について
総務省が毎年実施している通信利用動向調査1によると、情報通信機器の世帯保有率については、携帯電話やスマホなどのモバイル端末では、9割を超えています。
また、2020年における世帯の情報通信機器の保有状況をみると、モバイル端末全体(96.8%)の内数であるスマートフォンは86.8%と高い割合を占めていることが分かります。
そのため、パソコンに近い高機能性が確保されているスマホを利用して仕事を行う人が増えている現状があるのです。
また、昨今の新型コロナウイルス感染拡大防止の観点から、自宅などにおいてテレワークが推奨されており定着しつつあります。
そのため、従来のようにオフィスで仕事をするのではなく、自宅を含めたさまざまな場所で仕事をするスタイルが確立されて来ました。
また、クラウドサービスを利用して社外からでも簡単に社内に保存されているデータにアクセスできるようになったことから、環境整備も整っているといえます。
このように、多様なニーズに対応した柔軟性ある働き方ができるようになったことも、シャドーITの増加に繋がる原因となっているのです。
シャドーITのリスクについて
担当者が自発的に効率的な業務遂行を行っているため、良い面が見えやすいシャドーITですが、確実にリスクは潜んでいるのです。
会社としては、業務遂行のうえで担当者がシャドーITを活用していることは把握しながらも、黙認しているケースが多くなっています。
これは、業務遂行に関する効率アップの側面だけを評価しているからなのです。
本姓であれば、管理監督者はシャドーITに潜むリスクを認識したうえで、適切な対応を講じる必要があるということです。
なお、シャドーITの利用に伴う具体的なリスクは次のとおりです。
1.情報管理
シャドーITを活用した業務遂行を行うことで、メールおよびチャットツールによる誤送信などの情報漏えいが考えられます。
スマホからクラウドサービスにアクセスして仕事を行った場合、情報漏えいのリスクも視野に入れなければなりません。
担当者が、クラウドサービスを活用した外部オンラインサービスを利用して顧客情報などの個人情報をアップしたとします。
そのデータを、私物のIT機器として使用しているシャドーITのパソコンにダウンロードすることを想定すると、外部のオンラインストレージに構築されているセキュリティは脆弱なものである可能性があるのです。
そのため、不正アクセスなどの被害によって情報漏えいするリスクがあると言えます。
また、私物のIT機器はビジネスシーンとプライベートシーンの両方で使用していますので、誤って仕事に関する重要情報をSNSへアップしてしまうリスクもあります。
このように、シャドーITでは適切な情報管理ができていない状態となっているのです。
2.端末管理
スマホなどは収納性が高いことに比例して、紛失および盗難などのリスクも潜んでいます。
シャドーITとして使用していたスマホには、社外秘である重要情報が保存されてしまっている可能性があります。
それらの情報を含んだスマホが、悪意ある第三者に渡ることで悪用される可能性があるのです。
シャドーITに対する対策について
シャドーITには、除法管理や端末管理などのリスクが内包されていますが、別の側面としては業務遂行の効率アップも期待できます。
そのため、直ちにシャドーITを全面撤廃としたいところですが、メリット部分もなくなってしまうため判断が難しいところです。
まずは、実際に会社内においてどれだけのシャドーITがあるのか、把握することから始めることが重要です。
また、担当者に対してヒアリングを行い、何故シャドーITを使用しなければならないのかを明確にすることです。
シャドーITで行っている内容が、会社に登録されているIT機器などで代用ができるのであればシャドーITの数を減少させることができます。
また、代替案がすぐに提示できないのであれば、どのような環境であればシャドーITを使用しなくても良いのかを検討することで、対応策を見出すこともできるでしょう。
一方、シャドーITが横行しているのは担当者意識にも問題があるからです。
一見便利に見えるシャドーITですが、そこに内包されているリスクを正しく理解していないからシャドーITを使用するのです。
そのため、社内においてシャドーITに関する研修を行うのが効果的です。
担当者自身にシャドーITのリスクを正しく理解してもらうことで、使用の抑制に繋がります。
なお、可能であるならばBYODを導入するのも有効的です。
BYODとは、個人が私物として使用しているスマホを業務上において使用する利用形態です。
ある意味、シャドーITを会社として公に認めて、精度として導入する手法です。
担当者は、自身の使い慣れたスマホなどを業務に使えるメリットがあり、会社は担当者に支給するスマホなどの購入費用を削減するメリットがあります。
BYODの導入に際しての注意点は、セキュリティ対策を講じる必要があることです。
情報漏えいなどが起こらないよう、セキュリティ対策を講じたうえでBYODを導入すべきであると言えるでしょう。
まとめ
ここまで、シャド―ITの概念・リスク・対策などについて詳しく解説しました。
シャドーITとは、一長一短があることから会社側として全面的に禁止とする判断は難しいかもしれません。
また、担当者としても自身で抱えている業務を効率よく遂行できることから、両者にとってwinwinの関係性であるといえます。
しかし、情報管理・端末管理・セキュリティなどの課題があることから、黙認し続けることで会社にとって大きな損失を与える温床となっているのも事実です。
そのため、会社と担当者との労使協議によってどのような環境を整備するのかが極めて重要な要素となるのです。
本記事が、シャドーITについて悩んでおられる方の一助となれば幸いです。
【参考記事】
https://sol.conexio.co.jp/blog/security/lineworks_shadow_it
https://www.gate02.ne.jp/media/battle/ep0050/
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r03/html/nd111100.html