シャドーIT

読み :  シャドーアイティー

シャドーITとは、従業員が会社の許可を得ずに私物のデバイス(ノートパソコン、スマートフォン、タブレット)を業務に使用したり、従業員の個人アカウントのSNSを取引先と連絡したり、個人アカウントのクラウドサービスやアプリを利用するなど、会社のIT部門が管理できないITの利用を意味する。つまり、私物デバイスや個人アカウントのサービスを業務で無断使用することを指す。

シャドーITは業務中に限らず、自宅で仕事をするために業務ファイルをUSBにコピーしたり、メールで自宅のPCに業務ファイルを送るといった行為も該当するため、会社に私物デバイスを持ち込んでいないからといって安心というわけではない。

スマートフォンとタブレットの普及によって、ビジネスでモバイル端末を利用する機会が増えた現在、モバイル端末からメール、SNS、クラウドサービス、アプリを利用しやすくなったことによりシャドーITが発生しやすい状況にあると言える。DropboxやGoogleドライブなど便利なファイル共有サービスが増えてきたこともシャドーITと無関係ではない。

会社は従業員のシャドーITを知っていながらも、有効な対策がとれずにシャドーITを黙認している状態にある。

シャドーITのリスク

シャドーITは会社の情報が入った私物デバイスを紛失する、またはウイルス感染によって情報漏えいするリスクが伴う。業務ファイルやUSBにコピーしたり、メールで自宅PCにデータを送るケースのシャドーITは会社が気づきにくいため、会社にとって大きなリスクとなる。

業務で私物デバイスを使用することを認めるBYOD(Bring Your Own Device)はセキュリティ管理の難しさから禁止する会社が多いが、BYODを禁止してもシャドーITで会社に無断で使用する従業員が多いと逆にリスクが高まる。

BYODは私物デバイスを業務に利用するため、会社がセキュリティ管理をしにくい点が課題となる。そのため、COPECYODなど会社がある程度セキュリティ対策や管理ができる利用形態を採用する企業も増えている。

私物デバイスや個人アカウントのクラウドサービスを利用することは、場所を問わず業務を行えるため生産性の向上につながるため、会社にとってもメリットがある。シャドーITの問題を解決するためには私物デバイスの利用のメリットにも目を向け、ただ全面的に私物デバイスの使用を禁止するのではなく、会社が管理できる範囲で使用できる方法やルールを考え、従業員のセキュリティ対策の意識を高めるなどの対策を投じる必要がある。