「シャドーIT」そこに潜む問題に気づいていますか?

コラム
セキュリティ

 社員が勝手に個人のPCで作業したり、会社で利用を認めていないクラウドサービスを利用したがために、重要な情報が流出したなどという事態を耳にしたことはありませんか? 新型コロナウイルスをきっかけに在宅勤務を含むテレワークの導入が進んでいる企業も多いですが、気を付けないといけないリスクがあります。それは「シャドーIT」の問題。今回は、シャドーITに潜む問題を確認し、その対策を検討していきます。

1.そもそも、データは誰のもの?

 デジタルの時代が到来する以前から、「データは誰のもの?」問題はありました。例えば自身の手帳やノートに書きこんだ情報、また取引先と交換した名刺など、です。ただし、紙の情報の密度は限られていますし、社外に持ち出すにもかさばって大変です。当時、よく聞かれたトラブルといえば、飲食・サービス業などで顧客名簿を持ち出され、独立されてしまった、といったことでしょうか。
 しかし、デジタル時代になり、また、デスクトップPCから、ノートPCやスマートフォンといったモバイルの時代になり、誰もが手軽に大量データの授受ができ、その分だけリスクが高まっています。
 また、近年の働き方改革や、昨今の新型コロナウイルスの影響もあり、テレワーク(リモートワーク)の導入が急速に進んできております。それに伴い、仕事と個人の境界線があいまいになってきており、そのことが新しいトラブルの種をつくっています。

 例えばクラウドの名刺管理サービス。この名刺管理サービスはとても便利なので多くの方が使用したことがあると思います。しかし、登録された名刺データは誰に帰属するのでしょうか。会社に帰属するのでしょうか。それとも個人に帰属するのでしょうか。
 業務の一環で交換した名刺であり、また会社が指定したサービスを使ったとしたら、会社にデータは帰属する可能性が高いでしょう。しかし、個人的な付き合いの人の名刺を登録した場合、あるいは個人が勝手に使っているサービスだとしたらどうでしょうか。

 また、クラウド型の名刺管理サービスの場合はネットワークを重視していますので、個人の副業や転職活動に利用している人も多くいるため、企業としては、単なる情報漏えいだけでなく、人材流出リスクにおびえることにもなります。
 加えて、第三者が、誰と誰がつながっているかが把握できるサービスの場合は、会社としては情報を開示したつもりはなくても、例えば秘密裡に業務提携交渉としていたことが、第三者から簡単に推測されてしまうリスクもあります。こういった問題はFacebookやTwitterなどのSNSでも同じことではありますが、メリットも大きい分、デメリット、リスクも存在します。
 このように「誰の情報か?」「どういう使い方をすべきか?」を曖昧なものにすると、その情報の扱いもルーズになり、情報を持ち出した際に、情報漏えいのリスクにもさらされてしまうことがあります。
 これは、近年問題となっている「シャドーIT」につながる問題です。

2.シャドーITとは

 そもそもシャドーITとは、企業において利用の実態や存在が確認できていない、クラウドサービスやスマートフォン、タブレットなどのIT機器を使って業務を行うことです。企業が把握できていないので、情報が漏えいしていることすら気づかないこともあります。
 例えば、大容量のファイル送信サービス。会社のメールや指定されているサービスでは送れないため、個人的に使っているサービスを使用してしまうことがあります。2020年3月末にサービスを終了した「宅ふぁいる便」は、2019年1月に一部サーバが不正アクセスを受け、約480万件の顧客情報が流出しました。登録していた個人情報のみならず、パスワードなども流出し、送信したファイルも閲覧可能な状態になっていたとのことで、当時かなり話題になりました。
 手軽に使えるサービスなので、会社のポリシーに基づかず、会社や個人のメールアドレスを登録して使っていた人も多かったものと思われます。しかし、ファイル送信サービスは送る側だけでなく、受け取る側も被害にあいますので、使用の際には注意が必要です。
 実際、このマガジンの事務局も、事務局が認めていないサービスを使って、取引先からファイルが送られてきたことがこれまで何度もありました。自分達はちゃんとやっていたとしても、相手次第で情報流出のリスクもあります。幸い、情報流出はこれまではなかったようですが、もし外部に流出していただろうと思うと、ぞっとします。

3.シャドーITの問題点

 それでは具体的に、シャドーITにはどのような問題が潜んでいるのでしょうか。その問題を確認するとともに、普段の自身の行動も見直してみましょう。以下のような行動を無意識のうちにとっていませんか。

シャドーITの問題点

●ITサービスの利用による情報漏えい
 ・個人で利用しているファイル共有サービスやファイル送信サービスを使う
 ・個人で利用している名刺管理アプリを使う
 ・許可されていないクラウド型の画像変換サービスや翻訳サービスを使う
 ・個人のチャットアプリを使用して業務連絡をする

 クラウドストレージは、容量の大きいファイルや、リモートで共有したい資料をやりとりする際に使用できる便利なサービスです。有料の法人向けサービスの多くは比較的セキュリティがしっかりしていますが、無料で使える個人版はセキュリティ機能が軽視されているものが存在します。したがって、リモートでの作業で使うためにと、業務の資料を個人用のサービスに移して管理していた場合、情報漏えいリスクが高まります。
 また、許可されていない画像変換サービスを使った場合、そのサービスがサイバー攻撃を受けてしまう可能性もありますし、そもそもサービス提供元がどのように変換データを管理しているかもわかりません。機械学習用データとして使われるだけでなく、そもそも別目的で使われている可能性もないとはいえません。
 LINEやMessengerなどのチャットサービスは、シンプルで使いやすく、気軽にメッセージをやり取りできる点は利点です。しかし、ついうっかり、間違って関係のない第三者にメッセージを送ってしまうなどの誤送信のリスクがあります。加えて、取引中の重要なやりとりが社内に残らないため、何かトラブルが起こった場合に、証拠が探し出せないという可能性もあります。

●IT機器の持ち出し等による、データ流出、端末や記録媒体の紛失・盗難のリスク
 ・カフェなどで、個人の端末や社内のPCを持ち出して作業する
 ・USBメモリやSDカードなどにデータを保存して持ち帰り、自身のPCで使用して作業する
 ・個人のPCで社内のシステムにログインする

 自身では持ち出しても大丈夫、と思っていても、うっかり失くしてしまった、落としてしまった、またカフェなどで作業していた場合、SDカードを盗まれてしまった、スマホやPCを置いたまま席を離れ盗み見されてしまった、などの”うっかり”をゼロにはできません。端末や記録媒体を紛失してしまったら、データの流出は止められないでしょう。

●外部ネットワーク接続による、ウイルス感染
 ・知らない間に有害サイトにアクセスしてしまう
 ・公共の場や個人の脆弱なネットワークで作業する

 “知らない間に”有害サイトにアクセスしてしまったり、”知らない間に”情報漏洩していたということも起こり得ます。また、公共の場の無線LANはとても便利ですが、そのようなセキュリティがしっかりとしていないネットワークで作業をすれば、その業務データは漏洩してしまう可能性もあります。

4.何よりも、リスクの理解と適切なルール設定

 それでは、上記の問題を解決するにはどのような対策をとったらよいのでしょうか?

①どのようなリスクがあるか、どのようなツールを指定するのか、してはならないのか、を理解する
 まずは、「シャドーIT」には、どのようなリスクがあるのかを理解することが前提として重要になります。その上で、会社としてどのようなツールを使っていくのかを検討していくべきです。

②情報資産を護るために情報のレベル分けとアクセス権限の設定をする
 シャドーITによるリスクの理解に加えてセキュリティ面での対策として、テレワークなどのリモートでの作業で使用できる情報資産の範囲を定めることも有効です。
 「テレワークセキュリティガイドライン(第4版)」(総務省 平成30年4月)では、「社内で扱う情報について、その重要度に応じたレベル分けを行った上で、テレワークでの利用可否と利用可の場合の取扱方法を定める。」としています。情報の重要度のレベル分けを行い、アクセス可能な情報かどうかを定めます。したがって、IDによってアクセスの許可を制限したりと、ID管理をすることも重要な対策の一つです。ここに関しては、情報資産管理マガジン『新型コロナウイルス襲来 ついに本格テレワーク時代に突入~必要な備えはできていますか?緊急対策提案~ 』に詳しく説明されておりますので、こちらもご参照ください。
 また、世の中には便利なクラウドサービスはありますが、どこまで情報を開示してよいか、あるいは情報流出してしまってもいいか、つまりリスクを受け入れるのかを想定しておくことも必要です。
 例えば、個人の例ですが、スマートフォンの位置情報サービスを取り上げます。自分の位置情報を開示することで、目的地までの経路や周辺のお店などがわかるのは非常に便利です。また、新型コロナウイルスによってどの程度自宅滞在が増えたか、など社会的にも意義のある活用も多いです。
 しかしながら、自分の位置情報を提供することで、自宅や職場の位置、あるいはどこにどのくらい滞在していたかを、サービス提供元などに提供(大半は無料で)していることになるわけですから、犯罪などに使われるケースもあります。
 便利ではある一方、自組織・個人の価値ある情報を第三者に提供していることにもなりますし、情報漏えいの危険もあるわけですから、その覚悟をもった上で、それぞれのサービスと付き合うことが必要でしょう。

③ルールの設定
 単にルールを厳格化しすぎるのも、シャドーIT問題を大きくする要因の一つです。全部禁止にしたら、リモートでの作業は不可能になりますし、業務効率が落ちてしまいます。
 例えば、自宅作業や個人PCの使用が禁止のため、

ア:会社にみつからないように、WEBメールやファイル送信サービス経由でデータを自宅PCに送信
イ:ネット経由だとみつかる恐れがあるため、個人のUSBにデータをコピーして持ち出し
ウ:USBの使用が社内で禁止されているため、自宅PCで原案を作成し、プリンターで印刷して会社に持参し、会社PCで入力し直し

 といったことが、行われているようです。いずれのケースも自宅PCのセキュリティも心配ですし、アの場合は、ネット経由のデータ流出、イは、USBの紛失やUSB経由でのウイルス感染、ウの場合は、そもそも業務効率が悪い上に、書類の紛失リスクがある、といった危険性があります。
 したがって、①を理解した上で、会社として何をしないといけないかを検討し、セキュリティアクション※1なども参考にしながら柔軟にルールを決める必要があります。

※1.SECURITY ACTION(セキュリティアクション)とは、「中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度」です。情報処理推進機構が運用するWebサイト『SECURITY ACTION-セキュリティ対策自己宣言- 』より抜粋


④従業員へのリテラシー教育とルールの周知
 従業員が、シャドーITをリスクと感じていないことも問題です。したがって、ルールを周知すると同時に、個人向けのIT機器を業務へ用いることの危険性や、クラウドサービスの利用におけるリスクの理解を徹底することも重要です。また、あるサービスを会社で禁止としても、そのことを従業員が知らず、使ってしまったら意味がありません。したがって、ルールを策定したら、その周知をすることが大事です。

5.重要なデータはオフラインで保管

 外部流出絶対不可の最重要データについては、ネットワークから切り離して外部からはアクセスさせないようにすることも必要です。サイバー攻撃を受けないということもありますが、それだけでなく、人的ミスやシステム障害による削除からも護ることができます。
 ファイアウォールなどのセキュリティ対策も必要ですし、また、ブロックチェーン技術なども有用ですが、オンライン上で保管している以上、サイバー攻撃から確実に護れるという保証はありません。
 実際、2019年も大規模なクラウド障害が発生しており※2、このようなクラウド障害は無くなることはないでしょう。したがって、クラウドサービスを利用する限りは、今後も障害が発生することを念頭に置いておくことが賢明です。したがって、最重要データに関しては従来どおり、オフライン保管が最適です。
 オフライン保管については、長期保存に適した媒体の一つとして磁気テープでの保存について、情報資産管理マガジン『磁気テープの保存方法―事務所保存から専門施設保存へのすすめ 』にも詳しく書かれておりますのでご覧ください。

※2.情報資産管理マガジン『クラウドの障害からデータを護れ~ユーザー部門の学び~』参照


まとめ

 テレワークを導入する企業が増える中で、シャドーITは会社としてしっかりと取り組むべき問題です。
 まずは、どのようなリスクがあるかを理解することに加え、セキュリティ対策として、リモート作業で使用できる情報資産の範囲を定めることも有効です。つまり、仮に何かあっても許容できるものとできないものとにデータを分けて管理することが重要です。
 たとえば、共有中のデータは利便性を重視してオンラインで管理し、最重要データはオフラインで管理するなど使い分けると良いでしょう。
 またルールを設定する際には、自社に合ったルールを設定することが重要です。そして従業員へのリテラシー教育とルールの周知も徹底してシャドーITに取り組みましょう。テレワークの導入が進んでいるこの機会に、自社がどのような状態にあるのかを見直してみませんか。

関連記事