マイページ
組織が承認していないサービスを勝手に利用する「シャドーIT」
一般の人にはなじみのない言葉だと思うが、ITの世界では「シャドーIT」という言葉がある。
シャドーITとは、「企業や官公庁などの組織が承認していないITサービスを従業員が勝手に業務に利用すること」と言われている。
例えば、組織から支給されたPCで承認を得ずに、クラウドの大容量のファイル送信システムを利用したり、Slackを利用したり、SalesforceのようなSaasを利用したりすることが該当する。
また、そうしたクラウドサービスだけではなく、組織から支給されたPCで承認を得ずに、GmailやLINE、Zoomといったツールを使うこともシャドーITに含まれる。
組織としてのシャドーITに対する規制は、規則での利用制限・禁止と、PCで利用制限をかけるという二つの軸がある。
一般的な組織の場合は、シャドーITを禁止することを規則で定めているだけで、PCでの利用制限がかけられていないケースも多く、あまり意識せずにGmailやGoogleドライブを使っているケースも多い。
セキュリティに厳しい組織の場合は、アプリケーションをインストールする権限が利用者には与えられておらず管理用権限を必要としている場合や、特定のウェブサービスへのアクセスをネットワーク上で規制しているケースもある。
禁止されているITサービスは利用してはならない
そもそもシャドーITを規制しているリスク管理上の理由は主に二つある。
一つは情報漏洩リスクを回避するためで、二つ目はマルウェア・ウィルス感染リスクを回避するためだ。
個人情報の漏洩や機密情報の漏洩は組織にとって大きな問題で、マルウェアの感染等で基幹システムが停止すれば大きな影響を及ぼす。
シャドーITが原因というわけではないようだが、2024年6月にKADOKAWAが大規模なランサムウェア攻撃を受けて、事業に大きな影響が出た事例を記憶している読者も多いだろう。
実際、シャドーITの利用が原因の情報漏洩は多数発生している。
注意が必要なのは、PCでの利用制限がないからといっても規則で禁止されているITサービスを安易に利用してはならないことだ。もし、なんらかの問題が起きれば、個人としての責任が追及されるからだ。
