テレワークの方は必見!知らなかったでは済まされない「シャドーIT」の脅威

新型コロナウイルスの影響でテレワークをする方も増えており、中には個人のスマホを使って仕事をしている方もいるでしょう。個人のデバイスを利用することをBYOD(Bring Your Own Device)といい、働き方改革の一貫として広く普及されるようになりました。しかしその一方で、「シャドーIT」のリスクも正しく理解してないければなりません。。

この記事ではシャドーITについて、どのような脅威があり、どのような対策が求められるのか紹介します。テレワークをしている方は特に注意が必要なので、参考にしてください。

シャドーITとは

シャドーITとは、企業が把握していない個人所有のスマートフォンやPCのハードウェア、もしくは個人で契約しているソフトウェアサービスで業務を行うことを指します。個人アカウントで契約したオンラインストレージに仕事で使うデータを保管したり、LINEによる業務連絡や個人スマホで業務データを扱うことなどが該当します。多かれ少なかれ、多くの人が心当たりがあるのではないでしょうか。

個人向けのサービスは、法人向けのサービスに比べてセキュリティ対策が手薄な場合が多く、ちょっとした操作ミスや運営側のトラブルで大きなトラブルに発展しやすいのです。しかし、今の時代に個人のスマホを使わずに仕事をするのは難しいと思う人もいるかもしれません。個人のスマホでも、会社の承認を得ていればBYODとなりシャドーITには該当しません。BYODも全くリスクがないわけではありませんが、シャドーITに比べればリスクを把握しやすく、大きなトラブルに発展するのを防げます。

シャドーITの脅威

テレワーク中に会社で支給されたPCを使って仕事をしている人でも、意外な点がシャドーITになる可能性があります。どんなことがシャドーITになり、どんなトラブルに発展しうるのか見ていきましょう。

個人のネットワーク機器の活用

今やインターネットが不可欠な仕事も増えています。PCは会社が管理しているものでも、ネットに繋がるためのWi-Fi環境はいかがでしょうか。自宅のWi-Fiのセキュリティに問題があれば、Wi-Fi経由で情報漏えいのリスクがあります。自宅のWi-Fiだけでなく、外出先でスマホを使ってデザリングをしたり、個人のWi-Fiルーターを使ったりするのも同じです。外部からの不正アクセスの侵入経路になる可能性があり、非常に危険です。

チャットやSNSの利用

業務の持ち帰りと共に増えたのが、プライベートで利用しているチャットツールやSNSを使っての業務連絡。メールのように宛先や定型文を入力する手間がなく、スマホからも簡単にやり取りができるため仕事で利用してしまう方も多くいます。しかし、その手軽さゆえに機密情報をやり取りするケースも増えており、情報漏えいリスクは大きくなっているのです。最近ではビジネス向けのチャットツールも登場しているので、メールではやり取りが面倒だという方は、会社に導入を提言してみましょう。

無料のクラウドストレージサービスの利用

最近はDropboxやGoogle Driveのような、クラウドストレージで業務用のデータを保管するケースも増えています。このようなクラウドストレージサービスは、一般的に個人用と法人用の2種類のプランを用意しており、法人用は有料ですがセキュリティ面は安心です。しかし、個人向けのプランは無料で気軽に利用できる反面、セキュリティは比較的脆弱です。個人用のストレージはプライベートで使う分には問題ありませんが、間違っても業務用のファイルを保存しないようにしましょう。

シャドーITへの対策

挙げればキリのないシャドーITの脅威ですが、社員に対して個人デバイスやサービスの利用を禁止するだけでは、対策として不十分です。シャドーITの脅威に備えるには、会社一丸となって次のような対策が必要となります。

代替案を用意する

シャドーITが発生してしまう原因に、快適に業務を進める環境が整っていないことが挙げられます。チャットツールやSNSで業務連絡をしてしまうのも、メールでのやり取りが面倒だからです。そのため、シャドーITを防ぐにはシャドーITの代替案を用意することが効果的です。ただし、会社が一方的に代替案を用意しても、結局使われずシャドーITが発生するケースがあります。代替案を用意するには、社内インフラの欠点を分析した上で、社員へのヒアリングを行いながら不満を洗い出し、ニーズを満たす方法を探しましょう。

社員教育でリテラシー向上を図る

シャドーITが発生するもう一つの原因は、セキュリティのリテラシー不足です。どんな行動がシャドーITに該当するのか分からないため、知らず知らずのうちに危険を犯しています。年に1度はセキュリティー教育を行い、最新の情報をアップデートしましょう。セキュリティー教育は外部から講師を依頼するだけでなく、動画で行うものまで様々です。役職や部署によって求められるセキュリティーのリテラシー異なるため、最適な方法を考えて利用しましょう。

 

 

セキュリティー対策は会社の責務ですが、社員一人ひとりの意識がなければシャドーITを始めとするセキュリティー上の脅威は防げません。もしも、現在の働き方で心配な点がある方は会社に提言して、セキュリティーのアップデートを図ってみてはいかがでしょうか。

投稿者: kohei.suzuki

ビジネス系フリーライター。人材紹介会社での経験を活かし、経営者の取材や採用ページの作成をしています。スイーツと激辛料理には目がありません。