シャドーIT
シャドーITとは
シャドーITとは、組織の公式なポリシーの外で行われる非公式のIT活動のことを指します。これには、個人デバイスの業務での無断使用や、公式に認定されていないクラウドサービスの利用などが含まれます。シャドーITは、企業のセキュリティを脅かす潜在的なリスクを秘めています。
シャドーITの概要
ビジネスにおけるIT環境は常に進化、拡大を続けており、昨今は生成AIを筆頭に、新たなテクノロジーが次々と業務に取り入れられています。また、コロナ禍を通じて普及したテレワークでは、システムが整備されたことにより、従業員は自宅や移動中でも業務にアクセスできるようになっています。このような新たな技術の採用や業務環境の変化が続く中で、シャドーITの脅威はあらゆる組織で広がっているといっても過言ではありません。
シャドーITとは、その名の通り、組織にとって「影」の存在になっているIT環境です。組織のセキュリティポリシーを逸脱したデバイスやシステムの利用を意味します。シャドーITについて、トレンドマイクロが世界27か国、1万3,200人のテレワーカーを対象に行った聞き取り調査(2020年実施)では、以下のような結果が出ています。
図:テレワーカーのシャドーITに関する調査
業務用デバイスで使用許可のないアプリを使用している割合が56%、企業データを認可のないアプリ上にアップロードしている割合が66%と、実に回答者の過半数以上がシャドーITを発生させている状況が調査で明らかになりました。
シャドーITが引き起こす「見えないリスク」は組織にとって看過できるものではありません。シャドーITによって、組織の重要情報が意図せず露出してしまっているケースも散見されます。また、シャドーITで用いられるデバイスやシステムが組織にとってのアタックサーフェス(攻撃対象領域)にもなります。そこからランサムウェアなど、組織に致命的な被害を与えるマルウェアなどが侵入する可能性も想定されることから、シャドーITに対する適切な対応が急務となっています。
シャドーITに該当するパターン
シャドーITに該当するパターンとして大きくハードウェアとソフトウェアの二つのカテゴリに分類されます。それぞれのカテゴリでシャドーITの事例を紹介します。
ハードウェアの事例
図:ハードウェアのシャドーITの例
●個人所有のデバイスの利用
従業員が個人的に所有するスマートフォンやPCなどのデバイスを業務に使用するケースです。組織が管理しているBYOD(Bring Your Own Device)のポリシーに反した個人デバイスの使用などが当てはまります。
●未承認のネットワーク機器への接続
組織の管理化にないネットワーク機器に接続するケースを指します。カフェなどの公共の場所で提供されている無料Wi-Fiに業務デバイスを接続する行為が代表的な事例です。
●ストレージデバイスの持込み
ハードディスクドライブ(HDD)やUSBメモリなど、組織外部から持ち込まれた記憶装置を用いるケースです。これらを用いて、組織の保有する機密情報や個人情報がやり取りされることで、情報漏洩のリスクが高まります。
ソフトウェアの事例
図:ソフトウェアのシャドーITの例
●未承認のクラウドサービスやアプリケーション
承認されていないクラウドストレージサービスやコミュニケーションアプリの使用などが挙げられます。SaaS(Software as a Service)の普及によって、IT部門を通じた承認プロセスを経ずに、従業員はWebからこれらのサービスを利用できるようになっているため、このケースのシャドーITが増加しやすくなっている側面があります。
●オンライン翻訳サービスの不適切な利用
海外とのやり取りが発生するような企業では、オンライン翻訳サービスは業務上広く利用されていますが、個人情報や機密情報をそれらに入力しまうという行為はシャドーITに当てはまります。
●ChatGPTなどの生成AIサービスの不適切な利用
ChatGPTがリリースされて以降、大きな問題となっているケースが生成AIサービスの不適切な利用です。ChatGPTなどのサービスは、汎用的で業務への利活用も期待されていますが、機密情報や個人情報が入力されてしまうことは、重要なセキュリティ懸念事項となっています。
シャドーITによる情報漏洩事例
シャドーITが原因となって発生したセキュリティインシデントの実例として、次のようなものが挙げられます。
患者情報をGoogleグループにアップロード
2021年1月に国内の病院で報告されたセキュリティインシデントでは、所属している看護師が業務連絡のためにプライベートのGoogleアカウントを用いて自主的に開設していた「Googleグループ」の閲覧設定が、「ウェブ上のすべてのユーザ」に公開する設定になっていたことが明らかになっています。また、このグループでは、業務連絡メールやAI問診アプリによって収集された外来患者の問診情報など、本来は公開が予定されていない情報が含まれていたことも報告されています。
この事例は、シャドーITとヒューマンエラーが組み合わさって発生したセキュリティインシデントと言えます。シャドーITの環境下では組織のセキュリティ監査も行き届かず、設定ミスなどのヒューマンエラーも放置されたままになりやすい側面があります。
ChatGPTにソースコードを入力
2023年5月の報道によると、韓国の大手家電・電子部品メーカーの従業員が社内ソースコードをChatGPTにアップロードしていたことが明らかになっています。結果的に、同社では一部デバイスから生成AIシステムの使用を禁止するポリシーが策定されています。
この事例は、生成AIの利便性が故に生まれたセキュリティインシデントであると言えます。社員のセキュリティポリシーの認識が低いと、サービスの利便性を優先して、社内の機密情報を入力してしまうことを想定しておく必要があります。
私有USBメモリで社内情報を持ち出し
2023年10月に公表された国内大手電気通信事業者のグループ会社における派遣社員による顧客情報の不正な持ち出し事件で、情報を持ち出すために使われたのは私有USBメモリです。同社が公開した報告書によると、ポリシー上では、私有USBメモリの持込みは禁止されていたものの監視や管理が不十分であり、適切に運用されていなかったことが指摘されています。
本件では、10年以上もの期間で数百万件の個人情報を持ち出したとされており、シャドーITの放置が大規模なインシデントを引き起こすことを証明しています。ポリシーを策定することと同じくらいポリシーが機能しているかを定期的に確認することが重要と言えます。
シャドーITの対策
シャドーITの対策には次のようなものが挙げられます。
従業員のニーズに応えたIT環境の整備
従業員がシャドーITに頼る主な理由の一つは、公式のITリソースが彼らの業務ニーズを満たしていないからです。IT環境を整備し、従業員が必要とするツールやアプリケーションを提供することで、非公式のリソースを探す必要性を減らすことができ、結果的にシャドーITを未然に防ぐことができます。
ポリシーの策定と明確化
業務に用いるデバイスやシステムのセキュリティポリシーを明確化しておくことが重要です。セキュリティに対する組織の基本方針に沿った対策基準を設け、それを具体的な規則として明示しておかなければなりません。さらに、生成AIサービスなどの新技術は、特性や使用方法が従来のツールと大きく異なるため、普遍的なITポリシーだけでは十分な管理が難しい場合があります。新技術の採用に関しては、これを用いることによるリスクを特定して、適切な専用のポリシーを策定することも求められます。
アクセス管理と監視
シャドーITを防ぐためにアクセス管理や監視サービスの導入は非常に有効な手段の一つとなります。そもそも、サービスを事前にアクセスブロックの対象にしていれば、そのサービスが無断で利用されるケースを防ぐことができます。アクセス管理や監視サービスは充実しており、求める機能に応じてサービスを選定することも可能です。
図:Trend Vision Oneによるアクセス管理ルールにおけるモニタリング例(イメージ)
図:特定サービスへのアクセスブロック(イメージ)
一方でこれらの対策にはコストがかかるため、リスクに応じて投資を行う判断も必要になります。
従業員の教育
環境やルールの整備、技術的な対策がどれだけ充実していても、従業員のセキュリティ意識が低いと、シャドーITのリスクを根本的に解決することは難しいと言えます。組織全体でセキュリティ文化をどうやって根付かせるかが、長期的なシャドーIT対策になります。重要員に対しては、セキュリティポリシーの理解促進やセキュリティ意識を高めるための定期的なセキュリティ研修などを提供していくことが求められます。
シャドーITについての関連情報
セキュリティリーダーが把握すべき2024年4つのセキュリティリスク
セキュリティリスクを低減するためには、国内外のセキュリティ動向を正しく捉えることが重要です。トレンドマイクロや各種機関の調査などからみえてきた動向から、注目すべきセキュリティリスクを解説します
ChatGPTのセキュリティ:法人組織がChatGPT利用時に気を付けるべきこと ~機微情報と従業員の利用編
ChatGPTが広く注目を集めており、組織での利活用検討が進んでいます。本稿では、法人組織がChatGPTを利用する際のセキュリティ上注意すべきポイント、特に従業員が自組織の機微情報を入力することによる情報漏洩のリスクについて考察します。