1. シャドーITの起源は意外なところに?
2023年も残り半分を切った。去年までの夏とは違い、コロナ関連のニュースも減った。かつての生活に戻ってきたことを感じている。8月は猛暑を乗り越えるためにも、夏休みを少し長めにとって身体と心を休めてリフレッシュして欲しい。夏バテ防止には、ビタミンB群、ミネラル類、タンパク質を意識して摂取するといい。日本の朝食は理にかなっているらしく、一例として、みそ汁(具にワカメ、キノコ類)、卵、納豆、梅干しをおかずに選ぶと健康によいとされている。日本食は栄養のバランスが優れているということだ。
さて、今回のコラムだが、シャドーITの発生メカニズムと対策方法について考えてみたい。なぜこのテーマにしたかというと、クラウド利用の際の設定ミスにより、誰でも閲覧できる公開モードになってしまい情報漏えいが発生した事案があるなど、どうも便利なツールを使いこなしているつもりでも、社内に決まったルールがないなど、情シスがどこまで絡むべきかなど新しい問題が起きていると思ったからだ。監視体制の強化も必要になってきている雰囲気があり、現状調査を行い始めた会社も多いと聞く。このまま放置することはできないため、情シスがどのような対策で臨んでいけばいいか考えてみたい。
シャドーITの起源だが、そもそもPCに詳しい社員が行った開発業務などからきているのではないだろうか。数十年前(前職のNHK勤務時代)の話だが、技術開発の分野で得意な社員はPCを使った開発を自由に行っていた。僕も同様に開発業務が好きだったので、C言語を使ってシステム開発を業務として行っていた。ただ、自己流で作っていたため、他人が手を入れて改修することもできず、社員の名前が付くような属人的なシステムだった。当時、情シスは基幹システムを管理することがメインであり、独自に開発したシステムは一切管理していなかった。こういった、社内の向上心と改善業務を行う前向きの対応がシャドーITの始まりではないかと思うのだ(個人の意見)。
2. シャドーITが起こる背景とは
当時(NHK勤務時代)のシャドーITは、独自にプログラムで作ったシステムのことや、独自に考えたデータベースなどを指していたと認識しているが、最近のシャドーITと言うと、一言では難しいが、例えば情シスなど管理者に無断で私有のPCやスマホ、あるいはクラウドサービスなどを業務利用することと定義してもいいと思う。
背景にはスマホの性能が著しく向上したことがあるのではないだろうか。手軽であるがゆえに、つい手元にある私有のスマホを使って仕事上のやり取りができてしまうことがあるだろう。特にコロナ禍の環境下では、自宅など社外で仕事をする社員が増えたため、会社としての管理が追いついていない状況があった。ここ数年でデバイスの性能が向上したためだけでなく、個人所有のIT環境でできる領域が増えたためでもある。誰でも、いつでも自分にとって便利で使いやすいIT世界を作れてしまう環境が影響している。
さらには便利なフリーメールやクラウドサービスも増え、会社のPCで個人アカウントを使って個人利用のクラウドサービスにログインすることができてしまうなど、悪気がなく気軽に実現できてしまう環境そのものが、シャドーITの発生原因であり、問題になっているのではないだろうか。
3. シャドーITの中に潜んでいるリスクは重大な事故につながる
情シスとしても、管理ができていないわけではない。例えば、保存や外部への持ち出しができない仕組みや、フリーメールへの転送を禁止する仕組みを導入している会社もある。しかし、転送は禁止という社内ルールで済ませている会社もあり、性善説により個人のモラルに頼っているところも多いと聞く。本来、会社に届いたメール情報が個人宛てに届いていても、自宅の個人PCへのメール転送は禁止されている。フリーメールを使った転送は、危険な行為であることを自覚して欲しい。
僕が情シスにいた時は、この行為を防ぐため、抜き打ち検査をしていた。具体的には、全社員向けに情シスからの注意喚起として、「社員が業務メール内容をフリーメールから転送していたものを発見しました。これは、情報漏えいにつながる重大な禁止事項です」と、社員の名前は出さないが、情シスが常に監視している状況を伝えることが抑止効果につながっていた。社員1人ひとりの自覚が重要ではあるが、そもそも安全に使用できているかわからずに使用しているため、セキュリティ上のリスクが非常に高く、とても危険な環境が常に存在していることなのである。
4. 安心安全なIT活用に向けて、会社一丸となって取り組むべき
何気なく個人のソフトを使い、スケジュールの管理をしていて、誤って「非公開」が「公開」になっていると、便利なツールとして使っているもののはずが機密情報の漏えいへと発展しかねない。あくまでも、個人の責任のもとで行っていても扱うデータの重要性を考えなければならない。
社内ルールだからNGではなく、なぜフリーメールが危険なのか事例をもって説明する必要がある。情シスは、これからの運用の利便性を考え、社員への危機感の意識醸成を行うとともに、サービスを使った監視システムの導入の検討も行うべきである。ここは会社の経営層の方々も目を向けてほしい。別の言い方をすると会社としてのニーズを拾って、社員が働きやすい環境にして安全安心なIT活用ができるように会社一丸となって取り組み、情シスがリードしていくべきではないかと思う。
5. シャドーITの対策方法とは
シャドーITを禁止する明確なルールを確立することは重要である。しかし、冒頭でも言ったが、シャドーITは効率よく仕事をする社員の「前向きな姿勢」が原因である場合もある。したがって、ルールとは反対にそれがよくないことだと認識できていない社員に、どのようにして決められたルールを遵守させるかである。社員1人ひとりのセキュリティ意識を高めるために、コンプライアンス研修でeラーニングなどを活用するなど教育を行うことが重要となる。さらにアプリケーションや接続端末の監視をしつつ、便利なツールを会社として導入することも検討するといい。例えば、モバイル端末の管理には、MDM(Mobile Device Management)を導入するといった方法もある。
関連記事
「PC、スマホ・iPad・BYOD…Microsoft 365 搭載端末の管理を効率化するには?」
参考情報
テレワーク管理環境の向上を実現
6. まとめ
社員が、会社から支給されているデバイスで許可されていないアプリを使うケースもある。しかし、これらを勝手に利用してしまうことを教育だけで防ぐのはなかなか難しい部分があり、アプリ制御ができるツールを導入すると、シャドーITの対策につながる。
さらに、社内ネットワークに接続している端末を監視し、許可されていないデバイスで不正に接続されていないか検知するようなツールを導入できれば私有デバイスの業務利用を防ぐことができる。
しかし、個人利用のデバイスやクラウドサービスを業務で利用するシャドーITは、情報漏えいや不正アクセスを引き起こす、大変やっかいな存在であることを自分のこととして、社員1人ひとりが認識すべきだ。情シスだけの問題ではなく会社が一丸となって取り組むべき課題として急務なのである。
<< 関連コラムはこちら >>
■情シス不足解消策は採用のみにあらず! 組織内からできること
■ITシステムを守る「サイバーBCP」で情シスがすべき4つの対策
■情シスはDXを考えていく上で、一体、何をすればいいのか?
■情シスを悩ませるルールの違反や形骸化…「記憶」から「記録」で動く組織へ
■情シスの人材確保は難しい…増大する業務負荷を乗り越えるヒント
■リスク事例で読む、情シスにしかできないITのリスクマネジメント
■Withコロナで気がついた、テレワークの継続を前提とした将来の情報システム運用
■情シスに求められるスキル! 聞き手が耳を傾けるプレゼン力を身につける方法
■アフターコロナの時代は情シスの大きな転機になる~チャンスを生かし、今すぐ実践できること~
■目標設定と成功するためのタイムマネジメント「時間管理」について
■システム障害は、「気の流れ」が変わった時に発生しているのではないか
■情シス部門の必須知識! 経営層の理解を得て予算を獲得する方法
■デジタル変革(DX)に求められる人材はなぜ確保できないのか?
■テレワークによるコミュニケーション不足解消と、メンタルヘルスケア
■組織で挑む、ヒューマンエラー抑止(全2話)
■情シス業務の醍醐味(全3話)
■有事に備えよ!(全3話)
■著者紹介■
熱海 徹(あつみ とおる) 氏
1959年7月23日、仙台市生まれ、東京都在住
40年近く日本放送協会 NHK に籍を置き、一貫して技術畑を歩んできた。転勤の数は少ないが、渡り歩いた部署数は軽く10を超えている。その中でも情シス勤務が NHK 人生を決めたと言っても過言ではない。入局当時は、放送マンとして番組を作るカメラマンや音声ミキサーに憧れていたが、やはり会社というのは個人の性格をよく見ていたんだと、40数年たった現在理解できるものである。20代の時に情シス勤務をしたが、その後に放送基幹システム更新、放送スタジオ整備、放送会館整備、地上デジタル整備等、技術管理に関する仕事を幅広くかかわることができた。今まで様々な仕事を通じてNHK内の人脈が自分としては最後の職場(情シス)で役に立ったのである。考えてみたら35年は経過しているので当たり前かもしれない。2016年7月には自ら志願して、一般社団法人 ICT-ISAC に事務局に出向し、通信と放送の融合の時代に適応する情報共有体制構築を目標に、放送・通信業界全体のセキュリティ体制整備を行った。ここでも今までの経験で人脈を作ることに全く抵抗がなかったため、充実した2年間になった。私の得意なところは、人脈を作るテクニックを持っているのではなく、無意識に出来ることと、常に直感を大切にしているところである。