IT時事ネタキーワード「これが気になる!」(第159回) 「シャドーIT」とは?生成AIによって増えるそのリスクと対策

時事潮流 デジタル化

公開日:2025.05.09

 最近よく目にするのが「シャドーITが危ない」という記事。特に生成AIが盛んとなり、その危なさが増しているという。一体、どういうことだろうか。今回は、このテーマを中心に考えていきたい。

資料DLバナー_オフィスプライムサポート.png

「シャドーIT」の定義。「BYOD」との違いは?

 そもそも「シャドーIT」(shadow IT)とは、企業や組織で、従業員や部課などが管理部門の承諾なく無許可で持ち込んだITリソース(デバイス、ソフトウエア、Web/クラウドサービスなど)が業務に利用される状況のことだ。例えば、業務において本来なら組織から供給されるパソコンやスマホ、ソフトウエアを使うべき状況に、手っ取り早く手持ちのスマホとアプリで作業を済ませる、電話やメールで連絡が取れないからといって、個人用のLINEで業務の連絡をする、自宅で作業をしようと私有のUSBメモリでデータを持ち出すなどは、よくある話ではある。想定される状況は、無許可の端末やアプリ/サービス利用の他、会社所有の端末を無許可のネットワークで使用、なども含まれる。

 なぜ、こうしたことが起きるのか、いくつか理由が思い浮かぶ。その1つは「利便性」。より使い慣れた端末やアプリの方が、効率的に業務を遂行できるからだ。2つは「管理の不便さ」。管理部門は社員からの要望にタイムリーに対応できない、できたとしても不十分であること、また社員も申請や手続きが面倒、などの理由がある。3つには「ITリテラシーの違い」が考えられる。管理側は無許可のITリソース利用は絶対に想定外と考えていても、社員側は「それほど問題ない/大丈夫」と感じている具合だ。4つめは「リモートワークの普及」。リモートワークの普及で、社員が自宅や外出先で自前のITリソースを利用する状況に慣れてしまっている、ということがあるだろう。

 本来、ITシステムは、組織の管理部門や経営部門が手配し、各種の許可を与え、何がどこで使われているか把握した上で利用されている状態でなくてはならない。そうでなければ、いつどこで社内情報や社員・顧客などの個人情報が漏れたり、マルウエアやウイルスに感染したりするかわからない。また、業務では何かしらの大切な情報を扱う。管理部門の目の届かないところで、無許可のITリソースが使われていたら筒抜けも同然、たまったものではないという意見も多いだろう。

 ところで、「BYOD」(Bring Your Own Device)という言葉がある。社員が個人所有のデバイス(ノートパソコン、スマホ、タブレットなど)を職場に持ち込み、業務に使用することをさす言葉で、「シャドーIT」を語るときによく引き合いに出される。ただ、こちらは基本的に管理側が許可を出し、用途や使い方も承知済みの範囲で使う、という前提である点が大きく異なる。BYODは、社員にとっては使い慣れた端末で業務を遂行できる、個人端末と業務用の端末を使い分ける必要がなく面倒が少ない、最新の端末や好きな端末を使える、などの利点がある。企業側にとっては端末やソフトの導入・管理コストを削減できる、社員の生産性や満足度が向上する可能性がある、多様な働き方を支援できる、などの利点がある。

 もちろん、シャドーITにもBYODのような利点はありそうに思える。ただしこれらは「無許可」「管理側の管理外」の状況であり、問題が大きく違う、ということをよく認識したい。シャドーITについては、トレンドマイクロの特設ページ「シャドーIT」がわかりやすい。一度目を通しておくとよいだろう。

シャドーITのリスク。情報漏えい、アカウント乗っ取り、LANへの侵入など


 では、先ほど挙げたシャドーITの状況から、生じるリスクを考えてみよう。リスクはセキュリティのリスク、コンプライアンスのリスク、運用のリスクと、大きく分けて3つ想定される。

 まずは「セキュリティのリスク」。例えば、無許可のチャットツールやメールサービスで、社員同士の連絡を行えば、そのやり取りが外部に漏れる可能性がある。社員間の連絡は、社員にとっては普通のやり取りでも、機密にかかわるものがほとんどだ。さらに、個人用のスマホやパソコンを無許可で業務に利用する場合を想定してみよう。業務データを社外に持ち出し、自宅やカフェで作業を行う場合、情報セキュリティ対策が万全でない無許可な端末とネットワーク(特にフリーWi-Fiなどが危ないとされる)では、情報流出のリスクが当然高くなるのに加え、端末の紛失・盗難、他人が端末を操作しデータを持ち去る、などの可能性もある。

 データ漏えいの他、シャドーITではマルウエアやウイルスへの感染率も高くなる。その端末を介して社内のデータが流出したり、端末を社内のネットワークに接続することなどで感染が拡大したりするおそれもある。同様に会社利用の端末を外に持ち出し、セキュリティの低いネットワークに接続した際にも、同様のリスクが想像できる。そうしたシャドーITが大規模なランサムウエア被害のきっかけになる可能性も大きい。特に最近ではターゲットを絞って狙われる事例もあり、こうしたシャドーITリソースが狙われればひとたまりもない。

 「コンプライアンスのリスク」とは、法律や社内規定に違反した行為や違法なツールやサービスを使う、などで法責任を問われる、などの事態だ。利用した無許可のITリソースがデータの紛失・盗難やランサムウエア被害のきっかけになった場合、もちろんその責任は問われるが、シャドーITを取り締まれなかった管理部門や会社全体の責任も大きく問われるのは当然でもある。

 「運用のリスク」は、各部門などが勝手にITリソースを導入することによりITコストがかさむ可能性、既存の社内システムと管理外のITリソースとの連携が困難になることで業務効率が低下する可能性、無許可のITリソースがトラブルを起こした際にサポートが難しい、もしくはサポートできない可能性、シャドーITが原因でデータの整合性がとれなくなる、消失して復元できなくなる可能性など、問題が多数生じる可能性が想定できる。

生成AIが盛んな今、なぜそのリスクが注目されるのか。どう対策するのが適切か

 なぜ生成AIが盛んな今、特に「危険」といわれるのだろうか。現在は社内システムやオフィスツールにもChatGPTやGemini、Copilotなどの生成AIが組み込まれていることが多い。ただしそれらは限られた情報のみにアクセスするよう、入力した情報を社外に流出させないよう、対策されているものとなる。

 ただし、シャドーITの場合、社員が社内システムと同じ感覚で、一般的なChatGPTやGeminiなどの生成AIサービスを業務に使う可能性がある。業務に関する情報を探す、まとめる、書類の翻訳や要約、などを一般のクラウドシステムで行ってしまうと、社内用にカスタマイズされた生成AIと異なり、入力した情報が学習データとして利用される、すなわち外部に漏えいしてしまう。自宅で仕事を片付けようとして、普通の感覚で一般の生成AIサービスに業務データを入力したり読み込ませたりしてしまう状況は容易に想像できる。

 さらに、ここでもよく述べていることだが、生成AIは誤った情報や偏った情報を生成する可能性がある、著作権や人権を侵害する情報を生成するリスクなど、さまざまな問題点がある。社内用のシステムはある程度対策はされているが、一般的なクラウドサービス上の生成AIはほぼ対策はゼロである。シャドーIT利用の状況で、一般的な生成AIサービスで調べた情報を業務に利用してしまうのは、リスクが高いといえるだろう。

 一般的なシャドーIT対策として、まず行うべき1つめは、ITを利用する際のポリシーやルールを明確化し、社員への周知を徹底させること。さらにはITリテラシーや生成AI利用、セキュリティについて、どんなリスクがあるか、どんな事態が想定されるか、などを定期的に教育していくことが大切だろう。何事も知識や認知の足りない状況は、危険きわまりないからだ。

 2つめは、管理部門が社員のITリソースの利用状況を把握すること。ネットワーク監視ツールやログ分析などで社員のITリソースを把握する一方で、アンケートやヒアリング、視察、監査などを行い、利用状況と同時に社員のニーズや不満、意見を把握することが大事だ。ただし、シャドーITの利用をとがめずに状況を聞き出すこと。利用がとがめられる状況では利用を隠す事態にもなり、さらに把握がしづらくなる。

 3つめは、「管理部門による柔軟な対応」。管理部門は、現状を正しく把握したのち、社員の要望を取り入れた安全で使いやすい代替手段を考え、与えることが望ましいだろう。社員がシャドーITを利用せざるを得ない理由を分析、場合によってはBYODを許可、セキュリティポリシーやルールを明確にする、専用のフィルタリング・モニタリングシステムの導入などでBYOD端末のセキュリティを確保する。もちろん専用のITリソースを支給する手もある。

 4つめは「ゼロトラストセキュリティ」の導入。ゼロトラストセキュリティとは、社内外のネットワークやデバイスのすべてに脅威が潜んでいることを前提にしたセキュリティの考え方だ。アクセスはすべて「信頼できない」として、正当性や信頼性を確認する。もちろん、それまでの3つの過程を実現した上での話である。「ゼロトラストセキュリティ」を実現するツールやシステムは、最近トレンドにもなり多く提供されているので、セキュリティサービスの提供会社に相談したり、自身でもWeb検索してみるとよい。

今後どうなる?傾向と対策

 シャドーITへの対策は、一筋縄ではいかない。大企業のほとんどが対策を行っているものの、いまだに問題を抱えているという話も聞く。とはいえ一刻も早く対策を行わないと、この情報社会、特に生成AIが目覚ましく発展している社会では、今後ますますリスクが増していくのは必至だ。まずは社員のITリテラシー教育やポリシーの整備を行い、次にはシャドーITの利用状況の把握。端末、アプリ、サービスなどすべてにおいて徹底的に洗い出さないと、調査漏れの箇所から悪意ある者が侵入してくるリスクが残ってしまう。

 留意したいのは、無許可利用を「いけない」と規制してしまうと、さらなる水面下でのシャドーIT利用に拍車がかかるおそれがあることだ。管理部門はシャドーITを利用せざるを得ない社員の事情も察し、「利便性より安全が大事」という啓発とともに、社員目線で寄り添い、皆が会社の情報や信用の重要さを意識し、一丸となって解決していく姿勢が必要だろう。不景気や円安、少子高齢化による人材不足などに伴い、業務効率化も求められている。しかし、安全性を確保しないで効率化を進めても、リスクは高まるばかりだ。そのためにはRPA(自動化ツール)などのITツールでの効率化、工数を大幅に削減できる在庫管理システムの導入などでの効率化も検討するとよい。

 シャドーITの解決を目的としたソリューションも最近は数多く提供されている。その他ゼロトラストセキュリティシステムの導入、社員の負担を減らすITツールによる業務効率化など、すべてはベンダーやしかるべき窓口などに相談して導入できる。腹を割って事情を話し、社内でも話し合い、一丸となって解決していけば、必ず素晴らしい未来が訪れるに違いない、と思う。生成AIなどの先進技術は問題もあれ、明るい未来への着実な一歩につながる。その特性やメリット・デメリット、リスクをよく知って、今の課題に取り組んでいこう!

※掲載している情報は、記事執筆時点のものです

執筆=青木 恵美

【T】

『オフィスプライムサポート』 詳しくはこちら

あわせて読みたい記事

  • IT時事ネタキーワード「これが気になる!」(第157回)

    総務省と大手IT企業・団体がリテラシー向上の官民連携プロジェクトを開始

    時事潮流 デジタル化

    2025.05.09

  • ニューノーマル処方箋(第65回)

    暗号化しない新たなサイバー攻撃「ノーウエアランサム」とは

    時事潮流 ネットワークセキュリティ

    2025.05.09

  • IT時事ネタキーワード「これが気になる!」(第159回)

    「シャドーIT」とは?生成AIによって増えるそのリスクと対策

    時事潮流 デジタル化

    2025.05.09

「時事潮流」カテゴリーから探す

連載バックナンバー

IT時事ネタキーワード「これが気になる!」

もっと見る

カテゴリー 一覧