シャドーITの脅威・リスク、その対策とは?
私物の端末やWebアプリケーション等を会社に無断で利用する「シャドーIT」。そのままにしておくとマルウェア感染や情報漏えいにつながる恐れがありますが、管理徹底が難しいために情報システム部門は頭を悩ませています。シャドーITによるセキュリティ事故を未然に防ぐには、どのような対策が必要かをご紹介します。
目次
シャドーITとは?
「把握している以外にも、社内ネットワークに接続されているIT機器があるのではないかと不安」とお考えの情報システム部門の方も多いようです。IT機器の現状把握が難しくなっているのは、シャドーITの問題があるからです。
シャドーITとは、従業員またはビジネス部門が企業・情報システム部門に無断で業務に利用しているデバイスやWebアプリケーション等のことです。
モバイル端末の普及と企業構内のWi-Fiの整備等により、私物の端末を接続しやすい環境になりつつあり、シャドーITが増加する要因となっています。また以前は端末にインストールするアプリケーションを厳密に管理すれば、アプリケーションを無断で使用することを防げました。しかし最近ではWebアプリケーションが普及しており、システム構築の知識を持たないビジネス部門でもWebブラウザだけで簡単に利用ができます。
その他、シャドーITが蔓延する原因はさまざまあります。まず、利用者のリテラシーの問題があげられます。無断で使用する危険性を理解していないため、安易に利用してしまいがちです。また組織の問題もあります。社内で規定が整備されておらず、管理が徹底できていないというケースもある一方で、社内の規定が厳格すぎて業務のニーズとかけ離れており、やむなく無断で便利なツールを使いシャドーITとなってしまうというケースもあります。
テレワークの普及でシャドーITが増えやすい状況に
最近では新型コロナ禍の影響でテレワークが急速に普及し、作業場所が自宅とオフィスとで日によって変わる人も多いようです。そして、オフィスに人(の目)が少なくなっている状況に乗じて、自宅にある使い慣れた私物の端末を業務に使うケースもあり、シャドーITが生まれやすい状況となっているのです。
そうした私物の端末は会社の管理外であるために最新のセキュリティパッチが適用されていなかったり、ウイルス対策ソフトのパターンファイルが最新でない場合があり、マルウェア拡散の危険が広がります。
一方、日本スマートフォンセキュリティ協会の「テレワーク状況とセキュリティに関するアンケート調査レポート」によると、テレワークを行う時の端末環境について「勤務先で使っているデータを外部サイトにアップロードしておき、個人所有のパソコンで利用する」という回答が9%もありました。急速なテレワークの移行によって対応が追い付いていないという事情がうかがえますが、こうしたシャドーITによるセキュリティリスクはかなり大きいと言わざるをえません。
また、業務で使うデータファイルの受け渡しにフリーメールやチャットツール等を使うのも問題があります。こうしたWebアプリケーションは無料・安価で便利に使えますが、セキュリティリスクが伴うことに注意しなければいけません。クラウドに企業の機密情報を安易に格納するようなシャドーITは情報漏えいの危険につながるのです。
セキュリティ事故も発生、シャドーIT対策は急務
シャドーITを放置していると、情報漏えいや攻撃の踏み台にされるといった重大なセキュリティ事故を招きます。実際にどのような被害があるのか、これまでに起きた事故をご紹介します。
-
私物端末から個人情報の持ち出し
ある教育関係企業では、顧客情報データベースの運用を委託したグループ企業において、派遣社員が付与されていた権限でデータベースから顧客情報を取得し、私物のスマートフォンに転送していたことが発覚しました。大きな損失が発生する事態に追い込まれました。 -
機密情報が誰でも閲覧可能な状態に
国内の官公庁において、職員が無償版のクラウド共有サービスを初期設定のまま利用し、機密情報が誰でも閲覧可能となっていたという問題が発生しました。同様の問題は医療機関や介護事業者、大学や企業等、広い範囲で発生したことがわかっています。外部との情報の受け渡しに厳しい規定があったものの、実務のニーズとかけ離れていたために安易にクラウドサービスを使ってしまったことが背景にあるとされています。 -
フリーメールに不正アクセス
ある自治体では、職員が禁止されていたフリーメールを使用し、アカウントが不正アクセスされていたことがわかりました。アカウントは日本以外でもアメリカ、中国、台湾から不正アクセスを受けており、メールの添付文書にあった免許証や口座の情報が流出した可能性があります。
このような事例を見ると、些細に思われがちな過ちから重大な被害を引き起こしたことがわかります。利便性とセキュリティはトレードオフであるということを改めて利用者一人ひとりが認識しなければなりません。
シャドーIT対策の徹底には
シャドーITの対策としては、私物端末やWebアプリケーション等を無断で使用することはセキュリティ事故につながることを教育するとともに、クラウドサービスに格納するデータの管理とアクセス権等のセキュリティ設定の管理について社内の体制を確立する必要があります。
しかし、ITリテラシー教育や管理体制づくり、罰則を含めたルールづくり等の対策を施しても、シャドーITをゼロにはできるわけではありません。専門家が複数の企業からの依頼を受けてクラウドストレージサービスへのアクセスを調査したところ、1社あたり20~40種類程度のクラウドストレージサービスの利用を確認したという報道もあります。この調査結果はWebアプリケーション等の無断利用を防ぐのがいかに難しいかを物語っています。ではシャドーITの効果的な対策はどんなことでしょうか?
まず、シャドーITの対策としてやっておきたいのが、シャドーITを可視化することです。社内ネットワークにどのような端末が接続されているのか、どのようなWebアプリケーションを利用しているのかを可視化することで、社内のシャドーITの状況がわかります。その上で、会社が許可していない端末やWebアプリケーションが利用されている場合は、自動的に社内ネットワークから遮断すれば、シャドーITを防止できます。
未許可端末の検知・遮断、アプリケーション監視でシャドーITの対策にiNetSec SF
シャドーITの対策として効力を発揮するのが、iNetSec SFです。エージェントレスで社内の端末を漏れなく検知し、何がつながっているのか正確に把握します。管理外デバイスのネットワーク接続を即時に遮断できるため、私物端末を会社に無断で社内ネットワークに接続するのを防ぐことができます。
利用アプリケーション監視機能(オプション)を使えば、P2Pファイル共有、オンラインストレージ、ウェブメール、SNS、ゲーム等、約1200に及ぶアプリケーションをエージェントレスで検知し、それを利用している端末を遮断するところまでワンストップで解決できます。
個人の軽率な判断で無断で導入したデバイスやWebアプリケーション等が急増した結果、自社環境の全容把握が難しくなっています。適切なセキュリティ対策を施したつもりでも、実際には多くの抜け・漏れが残る状態になっていると考えるべきでしょう。iNetSec SFは現在のシステム構成に後付けで導入でき、運用の負荷が少ないという特長があります。テレワークの導入で対応に追われる管理者でも少ない負担でシャドーIT対策ができるiNetSec SFは、社内ネットワークを安全に保つために大きな力を発揮することでしょう。