ニュース
» 2021年01月18日 07時00分 公開

テレワーク下のシャドーITを「不可視化させないフロー」を作る 各部門は何をするべきか

コロナ禍によるテレワークが新常態として定着しつつある。そのような中で、企業はリモート環境の従業員が使う「シャドーIT」をどう管理するべきか。各部門が果たすべき役割とは。

[BUSINESS LAWYERS]

 近時、テレワーク導入の流れが進む中で、新たなクラウドサービスの活用やBYOD(私物端末の業務利用)などを進める企業もあります。こうした積極的なITの利用は業務効率やクオリティーの向上に寄与する一方、組織内で利用されているITを適切に管理できていないと、情報漏えいやセキュリティなどのリスクが生じえます。

 BUSINESS LAWYERSが2020年5月に実施したアンケート(※1)では、約4割の企業でITの導入、開発時の審査フローが未整備でした。また、社員が独断で利用する「シャドーIT」が社内に存在するという回答も少なくありませんでした。企業は適切なITの利用を促す上で、どのような審査の体制や方法をとるべきなのでしょうか。

 本稿では、セキュリティ対策のコンサルティングなどを行うラックの仲上 竜太氏(セキュリティプロフェッショナルサービス統括部デジタルペンテストサービス部長 兼 サイバー・グリッド・ジャパン シニアリサーチャー)に、IT導入時に各部門が果たすべき役割や、シャドーITを減らすための考え方について伺いました。

個人アカウントでのクラウドサービスの利用がシャドーITとして問題に

――以前から企業におけるシャドーITの存在が指摘されていますが、コロナ禍によるテレワーク推進を背景として、現場担当者の独断で新たなITサービスが利用されるケースもあるようです。シャドーITに関する近時の状況を教えてください。

 近年、さまざまなクラウドサービスの利用が一般的になっています。シャドーITにおいては、このクラウドサービスの私的利用が大きな課題となってきています。例えば、自宅で業務を行うためデータを持ち帰りたい場合に、個人的なアカウントのクラウドストレージにデータをコピーし、自宅でダウンロードして利用するケースなどです。このようなクラウドサービスの私的利用は、企業や組織の機密データの漏えいにつながりえます。

 また、スマートフォンやタブレットなど従業員個人の携帯情報端末を会社の無線LANに接続するケースも見受けられます。多くの場合、大きな問題にはなりませんが、組織として管理されていない携帯情報端末を通した、社内ネットワークの侵害の端緒にもなりえます。

 さらにBUSINESS LAWYERSによるアンケートを見ると、シャドーITとして代表的な、クラウドサービスの利用やPCの持ち込みだけでなく、許可していないものの導入が簡単なソフトウェアのインストールや、緊急性の高いテレワークにあわせて導入されたソフトウェアの利用なども回答されています。インターネットで配布されている手に入れやすいソフトウェアの中には、悪性の動作をするものも含まれています。そのため入手の仕方やルールについては社内での周知が必要でしょう。

――アンケートでは、企業内でIT導入時の審査フローが決められていながらシャドーITが利用されているという回答が、およそ4分の1に上りました。ITの導入検討方法や審査フローについて、担当者はどのような悩みを抱えているのでしょうか。

 多くのクラウドサービスは、インターネットに接続していれば簡単に利用できます。そのため、組織内での審査を受けず、私的なアカウントでの利用や許可されていないサービスの利用が可能です。

 情報システムやオンラインサービスを扱う従業員であれば、業務での新たなIT・サービスの利用時に必要な審査フローの存在を認識していますが、多くの場合、一般社員にはその存在があまり周知されていないものと思われます。シャドーITによるリスクの啓発や、承認・審査のフローの周知の難しさが担当者の悩みではないかと考えます。

審査フローに関わる部門とそれぞれの役割

――社内で新たなITやサービスを審査、承認する上でのポイントを教えてください。

© BUSINESS LAWYERS

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。