見過ごせないリスク、影のITの実態と対策
DXを学びたい
先生、シャドーITって、会社が許可してないのに個人のスマホとかクラウドサービスを仕事で使うことですよね?それって、どうしてダメなんですか?便利なら良いんじゃないかと思ってしまうんですけど。
DXアドバイザー
良い質問ですね。確かに、便利に感じることもあるかもしれません。しかし、会社が許可していないということは、セキュリティ対策がされていない可能性が高いということです。もし、会社の重要な情報が漏れてしまったら、大変なことになりますよね?
DXを学びたい
情報漏えいですか!それは怖いですね。でも、会社が許可してくれれば、個人のスマホとかを使っても良いんですか?BYODって言ってましたよね。
DXアドバイザー
その通りです。BYODは会社が許可しているので、ある程度のセキュリティ対策がされています。例えば、会社のセキュリティソフトをインストールしたり、利用できる範囲を決めたりします。シャドーITとの大きな違いは、そこにあるんです。
シャドーITとは。
「デジタル変革」に関連する言葉で『隠れた情報技術』というものがあります。これは、会社が許可していない個人の機器や外部のサービスを仕事で使うことを指します。例えば、従業員が会社に言わずに個人的に契約しているネット上のデータ保存サービスを共有に使ったり、自分のスマートフォンやタブレットなどの情報機器を使ったりすることがあります。これが起こる理由としては、会社が許可している機器が使いにくいと感じている従業員がいることが考えられます。最近は、自宅などで仕事をする会社も増えており、そうした従業員が自分で効率的な働き方を追求した結果、許可されていない機器やサービスを使うことがあります。会社の管理が及ばない機器やサービスは、セキュリティ対策が不十分なことが多く、情報漏洩などの大きな問題につながる可能性があります。そのため、会社がスマートフォンなどの機器を支給したり、従業員のセキュリティ意識を高める取り組みをしたりする例も見られます。似た言葉に『私物機器の業務利用』がありますが、これは会社が許可している点で、『隠れた情報技術』とは異なります。
影のITとは何か
影のITとは、組織が正式に認めていない情報技術資源を、従業員が業務で利用している状態を指します。具体的には、従業員が個人的に所有する携帯端末や情報端末、個人的に契約したクラウド型の情報処理サービスなどが、組織の許可や管理を受けずに業務に利用される状況です。例えば、従業員が会社の許可を得ずに、個人的な記録領域共有サービスを業務上の情報共有に利用したり、私用の情報処理装置を会社の回線に接続して業務を行ったりする事例がこれに当たります。一見すると、影のITは従業員の生産性向上や業務効率化に寄与するように見えるかもしれませんが、組織全体の情報安全に対する危険性を高めることになります。情報管理部門が把握していない情報技術資源の利用は、保安対策の適用を困難にし、情報漏洩のリスクを高める可能性があります。また、組織全体の情報技術戦略との整合性が取れないため、長期的に見て情報技術投資の効率性を損なう可能性もあります。
| 項目 | 説明 |
|---|---|
| 影のITとは | 組織が正式に認めていない情報技術資源を、従業員が業務で利用している状態 |
| 具体例 |
|
| 一見したメリット | 従業員の生産性向上や業務効率化 |
| リスク |
|
影のITが生じる背景
情報技術部門が提供する環境が、従業員の業務上の要望に合致しない場合、影の情報技術が発生しやすくなります。例えば、提供される道具が使い勝手が悪かったり、必要な機能が不足していたりすると、従業員は個人的に使いやすい代替手段を探し求めることがあります。また、場所を選ばない働き方の広がりも、影の情報技術を加速させています。自宅や外出先で仕事をする従業員は、会社から提供された機器や仕組みだけでなく、個人的に使い慣れたものを利用し、より快適に業務を進めようとします。さらに、情報技術に関する知識を持つ従業員の増加も影響しています。彼らは情報技術部門に相談せず、自ら最適な道具を選択し業務に利用する傾向があるため、組織はこれらの状況を把握し、適切な対策を講じる必要があります。
| 要因 | 説明 |
|---|---|
| 情報技術部門の提供環境の不適合 | 提供されるツールが使いにくい、必要な機能が不足している場合に、従業員が個人的な代替手段を求める。 |
| 場所を選ばない働き方の広がり | 自宅や外出先での勤務者が、会社提供の機器だけでなく個人的に使い慣れたツールを使用する。 |
| 情報技術に関する知識を持つ従業員の増加 | 情報技術部門に相談せず、自ら最適なツールを選択して業務に利用する傾向がある。 |
影のITがもたらす危険性
組織内で許可なく利用される情報技術、いわゆる影の情報技術は、看過できない危険性をもたらします。具体的には、組織全体の安全対策を脆弱にする恐れがあります。管理外の機器やサービスは、十分な安全対策が施されていないことが多く、悪意のあるプログラム感染や不正侵入のリスクを高めます。また、情報漏洩の危険性も増大します。従業員が個人的な記録媒体に業務情報を保存した場合、その媒体が攻撃を受ければ、組織の重要な情報が漏洩する可能性があります。さらに、影の情報技術は法令遵守体制を揺るがす可能性もあります。特定の業界では、機密情報の取り扱いに関する厳しい規則が存在しますが、影の情報技術によって規則が守られない場合、組織が法的責任を問われる事態も想定されます。これらの危険性を認識し、適切な対策を講じることが不可欠です。
| 影の情報技術のリスク | 詳細 |
|---|---|
| 安全対策の脆弱化 | 管理外の機器やサービスは、十分な安全対策が施されていないため、マルウェア感染や不正アクセスのリスクが高まる。 |
| 情報漏洩 | 従業員が個人的な記録媒体に業務情報を保存した場合、その媒体が攻撃を受けると組織の重要な情報が漏洩する可能性がある。 |
| 法令遵守違反 | 影の情報技術によって機密情報の取り扱いに関する規則が守られない場合、組織が法的責任を問われる可能性がある。 |
影のITへの対策
組織における無許可の情報技術利用、通称「影のIT」への対策は、情報安全対策の強化と業務効率化の両立が不可欠です。まず、従業員一人ひとりが情報安全に対する意識を高めるため、研修などを通じて危険性や組織の規則を周知徹底します。次に、組織が提供する情報技術環境を従業員のニーズに合わせて改善します。使い勝手の良い業務効率化ソフトの導入や、必要な機能の拡充などが考えられます。これにより、従業員が個人的な機器やサービスに頼る必要性を減らせます。さらに、組織内で利用されている情報技術資産を明確に把握する仕組みを導入します。これにより、影のITの実態を可視化し、危険性の高い箇所を特定することが可能です。これらの情報を基に、組織全体で影のITがもたらす危険を軽減するための対策を講じることが重要となります。
| 対策 | 内容 | 目的 |
|---|---|---|
| 情報安全意識の向上 | 研修などを通じて、危険性や組織の規則を周知徹底 | 従業員の情報安全に対する意識を高める |
| 情報技術環境の改善 | 使い勝手の良い業務効率化ソフトの導入、必要な機能の拡充 | 従業員が個人的な機器やサービスに頼る必要性を減らす |
| 情報技術資産の把握 | 組織内で利用されている情報技術資産を明確に把握する仕組みの導入 | 影のITの実態を可視化し、危険性の高い箇所を特定する |
公認された私物端末の業務利用
私物端末の業務利用とは、従業員が個人的に所有する情報機器を、組織が正式に許可して業務に利用させる形態です。これは、従業員の利便性向上や組織の費用削減に繋がる可能性があります。しかし、無計画な導入は情報漏洩などの危険性を伴うため、組織的な管理が不可欠です。
まず、明確な規則を定め、従業員に周知徹底する必要があります。情報保安に関する規定、利用できる業務範囲、責任の所在などを明確化し、同意を得ることが重要です。また、情報漏洩対策として、保安対策ソフトの導入や、端末の暗号化、遠隔消去機能の設定などが考えられます。
さらに、利用状況の監視も重要です。不適切な利用がないか、保安上の問題が発生していないかを継続的に監視することで、危険を早期に発見し、対応することができます。ただし、過度な監視は従業員の私生活を侵害する可能性があるため、プライバシーへの配慮も忘れてはなりません。私物端末の業務利用は、適切な管理と対策を講じることで、組織と従業員の双方にとって有益なものとなります。
| 項目 | 内容 |
|---|---|
| 私物端末の業務利用 | 従業員が個人的に所有する情報機器を組織が許可して業務に利用させる形態 |
| メリット | 従業員の利便性向上、組織の費用削減 |
| リスク | 情報漏洩 |
| 対策 |
|
影のIT対策の重要性
組織における隠れた情報技術対策は、継続的な発展と信用を維持するために非常に重要です。情報漏洩や不正な侵入といった安全性の問題は、企業の評判を大きく傷つけ、顧客からの信用を失う原因となりえます。また、法律や規則に違反した場合、多額の罰金や訴訟に発展する可能性もあります。隠れた情報技術対策を徹底することで、これらの危険を減らし、組織の安定した運営を支えることができます。さらに、組織全体の情報技術戦略を見直し、改善するきっかけにもなります。隠れた情報技術の実態を把握することで、従業員の要望や不満を理解し、より使いやすく安全な情報技術環境を構築できます。これにより、従業員の生産性向上や業務効率化が進み、組織全体の競争力を高めることができます。隠れた情報技術対策は、単なる安全対策としてだけでなく、企業の成長戦略の一部として捉え、積極的に取り組むべき課題です。
| 隠れた情報技術対策の重要性 | 理由 | 効果 |
|---|---|---|
| 継続的な発展と信用維持 | 情報漏洩、不正アクセスによる評判低下、顧客信用喪失、法規制違反による罰金・訴訟 | 危険の軽減、組織の安定運営 |
| 情報技術戦略の見直しと改善 | 隠れた情報技術の実態把握 | 従業員の要望や不満の理解、使いやすく安全なIT環境構築 |
| 組織全体の競争力向上 | 従業員の生産性向上、業務効率化 | 企業の成長戦略 |