セキュリティ脅威を招く落とし穴（第6回） 社員の「シャドーIT」で会社の情報がダダ漏れ

　マルウエア被害や不正アクセスによる情報漏えいの発生を受け、各企業はあの手この手でセキュリティ強化に努めている。そんな中、潜在的な脅威として問題視されているのが、会社の管理が行き届かない状況でのIT利用、「シャドーIT」の広がりだ。

会社が許可しないITツールを業務に使う社員

　オフィスに1人1台のパソコンがあり、全社員がスマホを持っている。この条件を満たさない職場を探すのが難しいほど、ITはビジネスシーンに深く浸透している。しかし、個々の社員のIT利用について、企業側が実態を把握しているケースは少ない。

　例えば、会社で作成した書類を自宅に持ち帰って仕上げるために、個人で契約したオンラインストレージ（Dropboxなど）にアップロードした経験がある社員もいるだろう。また、外出先からの業務連絡を、個人用のSNS（LINEなど）アカウント経由で行う場合もある。これらの行為は、会社が利用を認めないITツールを隠れて使うという意味でシャドーITと呼ばれる。シャドーITは、潜在的なセキュリティリスクとなり得る。「会社のため」「業務遂行のため」が理由であっても、シャドーITは原則NGだ。

　身近なシャドーITの例を他にも挙げると、業務に必須のツールである「メール」や、外出先でネット接続できる「Wi-Fiルーター」がある。会社のアドレスに送られたメールを、個人のフリーメールアドレスに転送してスマホで読む。個人で契約したWi-Fiルーター経由で会社のメールを読む。これらも場合によっては重大なセキュリティリスクをもたらす原因になる。

フリーメール利用で顧客の個人情報が流出

　2013年、ある独立行政法人職員が業務用メールを転送していた私用Gmailアドレスが不正アクセスされる事件が起きた。幸い情報漏えいの被害は生じなかったが、業務用メールの扱いについて再検討が行われる契機となった。

　また、社内外のネットワークに接続するルーターを標的にしたサイバー攻撃は、セキュリティ担当者の頭を悩ます。当然、会社が所有するルーターにはさまざまな対策が講じられている。だが、個人所有のWi-Fiルーターまでは対策の手が届かないのが現状だ。不正アクセスされた場合、ルーターを介してやり取りされるメールの内容が筒抜けになるだけではない。端末に保存された情報が流出する危険がある。

　もし、会社が管理していないツールが原因で情報流出が発生した場合、その一義的な責任は使用した社員個人にあるが、同時に会社の管理責任も問われる。何より被害者となる取引先、顧客から見れば怒りの矛先が、会社へと向かうのは明らかだ。

シャドーITの例

内部不正の場合も、シャドーIT経由で流出

　一方、シャドーITは技術的なセキュリティリスクだけでなく、内部不正など人為的な問題を引き起こす温床にもなる。社員が個人所有のUSBメモリーを使って顧客情報を持ち出し、第三者に売りつける行為などがその典型だ。このような犯罪を防ぐため、会社側はパソコンのUSB端子に封印シールを貼ったりする。ただ、最近はオンラインストレージが使われるケースも多い。残念ながら根本的な解消策には程遠い状況にある。

　また、複数の社員が業務連絡用にSNSのグループチャットを使っている場合、悪意のある社員が内容をのぞき見る可能性もある（なりすましてグループ参加、スマホ窃取など）。チャットのやり取りの中に重要な話が含まれていれば、悪意のある社員が外部に内容を漏らすかもしれない。

「禁止」だけでは解決にならない

　このような状況の中、企業が取るべきセキュリティ対策の第一歩となるのが「シャドーIT禁止」の通達だ。個人契約のオンラインストレージ、フリーメール、Wi-Fiルーター、SNSの業務利用禁止、さらにはUSBメモリー持ち込み禁止など、がんじがらめに禁止を強いれば、ある程度の効果は望めるだろう。しかし、これらの行為はすべて、社員のモチベーション低下につながるのを忘れてはならない。

　働き方改革で時短が叫ばれる現在、生産性向上が不可欠だ。便利で生産性を上げるITツールをただ「使うな！」と言うことは、「生産性を上げなくてもよい」という意味に捉えられかねない。

　また、シャドーITを使う社員の多くは、もし同機能のツールが会社から支給されていれば、あえて個人契約のツールを使わないだろう。社員の士気を低下させないためにも「禁止」連発は避け、組織全体で安全なIT活用をめざす取り組みが求められる。