サイバー攻撃

クラウド利用によるシャドーITが急増!?原因や情報漏洩リスクをわかりやすく解説

シャドーITコラム:アイキャッチ

はじめに

ハードウェアやソフトウェアの種類は近年ますます多様化していますが、特に最近ではクラウドサービスが急増しています。手軽に利用できるので多くの従業員が利用しているのではないでしょうか。クラウドサービスは、従業員の業務の生産性をあげたり、働く環境の選択肢を広げる一方で、適切に管理をしていないとサイバー攻撃などによる情報漏洩リスクが発生してしまいます。情報漏洩を未然に防ぐためには、まずはIT資産を適切に管理しなければなりません。
ではなぜ、IT資産の管理が必要なのかをこのコラムでご紹介します。

シャドーITとは

シャドーITとは会社内で認められていない、PC・スマートフォンといったハードウェアや、クラウドサービス・ファイル共有などといったソフトウェアを、従業員が個人的に導入したり利用したりすることを指します。セキュリティ対策が不十分なデバイスやサービスが無断で使用されると、情報漏洩や不正アクセスなどのリスクを引き起こす可能性があり、このようなシャドーITの存在は、情報セキュリティ上の重要な問題となっています。

管理すべきIT資産とはどんなもの?
例えば、このようなケースもシャドーITに含まれます。

  • 個人のWEBメールやSNSアカウントで業務のやりとりをする
  • 個人のUSBメモリに業務データをコピーし、社外に持ち出す
  • 私用のデバイスを業務に利用する。(※)
  • 会社で許可されていないクラウドストレージでファイル共有をする
  • カフェや駅などのフリーWifiを利用する

(※)私物のデバイス(スマートフォンやタブレットなど)を業務に”無許可で”利用することがシャドーITに値する一方で、私用のデバイスを会社内の”許可を得た上で”業務に使用することをBYOD(Bring Your Own Device)と言います。
BYODに関する関連コラムはこちら>>

【1】シャドーITが起こる主な要因

利便性と効率性の追求:従業員は、業務の円滑な進行や情報共有が可能になるなど、個人的なニーズや業務効率の向上を目指して、独断でソフトウェアやアプリ、クラウドサービスを導入する場合があります。

IT部門の手続きの煩雑さ:正式なITリソースやサービスの導入には、会社内の手続きや許可が必要です。これに対して、従業員は手続きの煩雑さを避けるため、自らツールを導入しようとすることがあります。

情報セキュリティに対する意識が低い:従業員が組織のポリシーやセキュリティリスクについて正確な情報を持っていない場合、シャドーITが起こるリスクが高まります。事前に教育やルールの共有が行われていないと、従業員は自身で判断してツールを導入する可能性があります。

これらの要因が重なることで、組織内でシャドーITが発生しやすくなります。

シャドーITが起こる3つの要因

【2】シャドーITのリスク

2-1:クラウドサービスの普及よるシャドーITのリスク

業務上のさまざまな側面でクラウドサービスが使用されているため、気付かぬうちにシャドーITが組織内で発生している可能性があります。
しかし、気づかぬままクラウドサービスを利用していると、会社に大きなセキュリティリスクをもたらすことになります。以下にシャドーITがもたらすリスクを例として紹介します。

    • サイバー攻撃によるマルウェア感染のリスク
      万が一脆弱性があるサービスを利用している場合、その脆弱性を突いた攻撃を受け、データが暗号化されたり、保存していたデータが第三者に漏れてしまうというような危険性があります。

 

    • メールの誤送信
      個人のWebメールアカウントを使って業務関連のメールを送信する際、誤って関係のない宛先に送信してしまうと、機密情報が漏洩する可能性があります。

 

  • クラウドストレージサービスの利用による情報漏洩リスク
    無料のクラウドストレージサービスを業務で利用する場合、誤った設定でファイルが共有されると気づかずに機密情報や個人情報を外部に公開して情報を漏洩してしまうという危険性があります。

シャドーITの利用には、このようなリスクが生じる可能性があります。組織はこれらのリスクを理解し、適切な対策を講じる必要があります。

2-2: IT資産を適切管理しないことによるシャドーITのリスク

適切なIT資産管理は、組織がどのようなソフトウェアやサービスが利用されているかを明確に把握する手段となります。組織で把握せずに利用していると、「3-1:クラウドサービスの普及よるシャドーITのリスク」でお伝えした通り、サイバー攻撃などによる情報漏洩リスクが高まってしまいます。情報漏洩を未然に防ぐためには、従業員のクラウドサービスの利用を把握し、IT資産管理を適切に行うことが必要です。セキュリティリスクを最小限に抑えるためにも、徹底したIT資産管理が必要不可欠です。

【3】まとめ

今回はシャドーITの中でも近年急増しているクラウドサービスに特化してお話しました。クラウドサービスは手軽に利用でき、従業員の生産性を上げたり働く環境の選択肢を広げられるため多くの企業が利用している反面、適切に管理をしていないとサイバー攻撃などによる情報漏洩リスクが発生してしまいます。情報漏洩を未然に防ぐためにも、まずはIT資産を適切に管理することでセキュリティの水準を確保してみてはいかがでしょうか。

次回以降のコラムでは、シャドーITの対策についてご紹介いたします。

RECOMMENDこちらの記事も人気です。