すでに起きている!?シャドーITにご用心

働き方改革の推進を阻害？浮上するセキュリティ問題

国を挙げて「働き方改革」が叫ばれている今、場所を問わないシームレスな働き方が促進されている。特に、生産性向上や個人のワークライフバランス改善に向けた企業の取り組みにおいて、ICTを活用した事例が多く見られるようになってきた。例えば、外出先からのモバイルワークや、在宅勤務などがその例である。スマートフォンやタブレット端末の普及により、従業員一人ひとりの業務効率や働き方の柔軟性も格段に高まっているといえるだろう。
だが、便利な通信デバイスの普及が働き方改革の推進を後押しする一方で、その流れを阻害しかねない問題も浮上している。

2018年1月、情報セキュリティ監査人の団体である特定非営利活動法人「日本セキュリティ監査協会（JASA）」は、情報セキュリティ監査人の観点で選出した10大脅威を「2018年 情報セキュリティ 十大トレンド」として公表した。
ランサムウェア、標的型攻撃、IoT製品を狙った攻撃など、セキュリティ会社も脅威予測で上位に挙げる項目がトップ3に並ぶ中、5位に「考慮不足の働き方改革に起因する事故の発生」がランクインしたのである（図1）。

(図1：働き方改革によるセキュリティリスクに警鐘（出典：日本セキュリティ監査協会）)

これは、働き方改革の進展に伴い、セキュリティ対策の範囲が社内から社外に広がることでリスクが増大していることへの警鐘ともいえる。たとえば、テレワークの実践により、自宅や外出先などでモバイル端末などを活用することで業務効率化を図るシーンが増えている昨今、セキュリティリスクとして問題視されているテーマのひとつに「シャドーIT」がある。

「悪意なし」シャドーITの怖さ

シャドーITとは、社内で承認されていない個人契約のデバイスやクラウドサービスを業務で活用することである。使い慣れたデバイスを業務で利用することで作業効率の向上が期待できるため、率先して活用してしまう人もいるだろう。
実は、ここにシャドーITの怖さがある。つまり、リスクを冒しているにも関わらず、活用している本人たちは大抵の場合、「会社のために頑張っている」と考えており、悪意や危機意識を感じていないのだ。

しかし、個人向け製品や個人所有の端末は、法人向けに提供されている製品と比べてセキュリティレベルが低い場合が多い。
また、トラブルに発展しない限りシステム管理者が状況を把握することは難しく、シャドーITのリスクを理解せずに活用している人が急増していることから、いつ、どこの企業がトラブルに巻き込まれてもおかしくないのである。

では、実際のところ、シャドーITによってどのようなトラブルが発生するのだろうか。
たとえば、働き方改革の取り組みによって残業時間が短縮されたことで、自宅に仕事を持ち帰って作業するというケースも少なくないだろう。そのような場合、従業員がたまたま見つけたクラウドストレージサービスにファイルを預けたり、会社の端末から私物の端末に業務データを送信してしまうことで、見知らぬ第三者に機密情報を盗み見され、情報漏えいにつながる可能性がある。

また、ウイルスに感染した私物の端末で社内ネットワークにつないでしまった場合、気付かぬうちに会社全体にウイルスを拡散してしまう恐れもあるのだ。
さらに、業務に使用していた個人所有の端末が盗難・紛失した場合、端末内部に保存されていた重要なデータが第三者の手に渡り悪用されることもある。こうして流出してしまった情報が顧客などの個人情報であれば、会社の信用は大きく失墜し、謝罪や損害賠償問題に発展するだろう。

それ以外にも、従業員が私物の端末から社内ネットワークに接続し、顧客情報などのファイルを不正に持ち出してしまう、いわゆる「内部犯行」にも注意を払う必要がある。
「うちの会社に限って、まさかそんなこと・・・」と考えるかもしれないが、実際に従業員が企業の重要なデータを持ち出して転売するといった事件がたびたび発生している。誰しも同僚を犯人と疑うことは気持ちのいいものではないが、セキュリティの観点から、リスクの一つとしてしっかりと考慮しておかなければならない。

厳しい制限は逆効果、重要なのは「シャドーITと上手に付き合うこと」

では、企業側はシャドーITのリスクに対して、どのような対策を取ればよいのだろうか。
よくあるのが、トラブル防止のために通信デバイスやサービスの利用を厳しく制限するという方法だ。しかし、これでは業務効率の低下や従業員のモチベーションの低下を招く恐れがあり、根本的な解決にはつながらない。
そもそもシャドーITが発生する背景には、現在の社内のIT環境や仕事のやり方では業務を進めにくいという不満がある（図2）。この不満を無視して禁止事項を増やしたり、セキュリティポリシーを強化してしまうと、従業員の心理的な反発を招き、かえって新たなシャドーITを生み出す危険性すらある。

（図2：シャドーITがなくならない理由）

そのような事態に陥らないように、企業側はシャドーITが起こることを前提として、シャドーITと上手に付き合っていく方法を検討することが大切である。
具体的には、社内での端末の利用実態を正確に把握し、その上で従来のルールや対策を見直すことだ。
シャドーITが横行しているということは、業務の実態と従業員のニーズの間にギャップが生じているという証拠である。まずは、従業員が「どこに違和感を抱いているか」「どのように業務を進めたいと考えているか」を理解するために、従業員へのアンケートや聞き取りなどの調査を実施し、現行のシステムやルールでどのような不便が生じているかを把握すべきである。

その上で、それぞれのシャドーITについての対応策を検討していく。社内インフラに使いづらい部分や業務効率の低下につながる欠点があるのであれば、従業員が納得して利用できる環境に整備することで、シャドーITの被害を防ぐ方向に持って行く必要がある。または、企業側から信頼できるセキュリティアプリやクラウドサービス、ITツールの利用を促しても良いだろう。場合によっては、企業側が規定するルールに基づいて業務での個人所有の端末利用を許可する「BYOD（Bring Your Own Device）」の運用に切り替えるのも一つの手である。
いずれにしても、社員のニーズに応える形で問題解決の方法を探ることで、セキュリティリスクは大きく軽減され、生産性の向上にもつなげることができるはずだ。

すでに起きている・・・他人事では済まされない脅威

働き方改革は、ICTの活用なしで実現するのは困難である。従業員がモバイル端末を活用して、自分のやりやすい環境で、いつでもどこでも仕事ができるようになれば、業務の効率化とワークスタイルの変革が進み、新たな価値を創出できる可能性は高まるだろう。
しかし、そのような環境を実現するには、全従業員がルールを共有し、情報管理に対する認識とセキュリティリスクに対する責任感をしっかりと持つ必要がある。
さもなければ、たった一人の従業員のちょっとしたミスが、会社全体を揺るがす致命傷になりかねない。

シャドーITは決して"対岸の火事"ではない。この瞬間もどこかですでに、シャドーITの被害が起きている・・・。

◎製品名、会社名等は、各社の商標または登録商標です。