シャドーIT対策とは？テレワーク時代のセキュリティリスクと脱VPNによる解決策を解説

1-1. テレワークの普及でシャドーITが増加した理由

テレワークの急速な普及により、従業員の勤務環境は自宅やカフェなどオフィス外へと広がりました。これにともない、IT管理部門による全社員の利用端末やアプリケーションの一元的な管理・監視は難しくなっています。

その結果、業務の利便性や効率を上げようとする従業員が、会社の承諾を得ず個人契約のチャットツールやオンラインストレージなどを利用するケースも増加しました。

こうして企業は従業員の使用ツールを完全には把握できなくなり、管理外の領域でセキュリティリスクが増大しているのが現状です。

1-2. BYOD（私物端末の業務利用）や管理されたクラウドサービスとシャドーITの違い

シャドーITと混同されやすい言葉にBYOD（Bring Your Own Device）がありますが、両者は明確に異なります。BYODは、企業が定めたセキュリティポリシーのもとで、従業員の私物端末の業務利用を「承認」する仕組みです。

シャドーITとの決定的な違いは、この「企業による承認の有無」にあり、これはクラウドサービスの利用においても同様です。

承認済みのBYODやクラウドサービスは企業の管理下にありますが、無許可で利用されるシャドーITは管理外となるため、セキュリティ上の脅威となります。

2-1. クラウドストレージ（Google Drive、Dropboxなど）

個人でも手軽に大容量のデータが扱えるGoogle DriveやDropboxといったクラウドストレージは、シャドーITの代表的な例です。従業員が業務ファイルを個人のアカウントで保存・共有すると、企業の重要データが管理者の目が届かない領域に置かれてしまいます。

結果として、アクセス権の不適切な設定やアカウントの乗っ取りなどにより、意図しない情報漏洩を引き起こすリスクが高まります。

2-2. コミュニケーションツール（LINE、Slack、Chatworkなど）

業務連絡の迅速化や円滑な情報共有を目的として、従業員が個人契約のLINEやSlackなどを無断で業務に利用するケースは少なくありません。

これらのツールはメールより手軽ですが、企業のセキュリティポリシーが適用されないため、通信内容の監査やアクセス制御が困難です。会話ログや共有ファイルに機密情報が含まれていた場合、アカウントが不正利用されたり、本人の退職後も情報へアクセスされたりする危険性があります。

2-3. Webメール（Gmail、Yahoo!メールなど）

GmailやYahoo!メールに代表される無料のWebメールも、業務上のファイル送受信などに使われることでシャドーITとなるツールの代表格です。

個人で作成したメールアカウントには企業の管理統制がおよばず、多要素認証が未設定であるなど、セキュリティ対策が不十分なケースが見受けられます。そのためフィッシング攻撃などの標的になりやすく、アカウントが乗っ取られると重要な業務情報が外部に流出するリスクをともないます。

2-4. タスク・プロジェクト管理ツール（Trello、Asanaなど）

TrelloやAsanaといったタスク・プロジェクト管理ツールは、チームの生産性を向上させる便利なサービスですが、個人や部門が企業の承認なく導入すればシャドーITに該当します。

これらのツールでは、プロジェクトの進捗状況や関連ファイルなど、業務上の重要な情報が共有されることが一般的です。もし機密情報を含むデータが不適切な権限設定で管理されると、外部への情報漏洩につながる可能性があります。

2-5. 個人契約のスマートフォンやパソコン、USBメモリなどのデバイス

会社支給のパソコンのスペックが低い、あるいは持ち出しが許可されていないといった理由で、従業員が私物のスマートフォンやパソコンを業務に利用することがあります。

これらの個人デバイスは、セキュリティソフトが未導入であったり、OSのアップデートが放置されていたりと、企業の基準を満たす対策が施されていない場合が少なくありません。

また、USBメモリのような物理メディアを介してマルウェアに感染したり、紛失・盗難による情報漏洩が発生したりするリスクも存在します。

2-6. 近年急増中の「生成AIサービス」

近年、ChatGPTに代表される生成AIサービスの業務利用が拡大し、「シャドーAI」とも呼ばれる新たなセキュリティリスクが生まれています。

従業員が業務効率化のために、良かれと思って社内の機密情報や個人情報を含むデータをサービスに入力してしまうケースが懸念されます。入力した情報がAIの学習に利用された場合、その内容が外部に漏洩するリスクが考えられるでしょう。

3-1. IT部門と現場の「ツールに対する温度差」や使い勝手への不満

従業員がシャドーITを利用する大きな原因として、会社が公式に導入しているツールの性能や使い勝手への不満が挙げられます。

IT部門がセキュリティや管理コストを重視してツールを選定する一方で、現場の従業員は日々の業務における利便性や効率を最優先に考えます。「動作が遅い」「機能が不十分」などの不満があると、従業員は自ら代替ツールを探し始めてしまうのです。

この「ツールに対する温度差」や、使い勝手への不満が原因の一つです。

3-2. 生産性向上を目指す従業員の善意から発生することも

シャドーITは、必ずしも悪意から生まれるわけではありません。「もっと効率的に仕事を進めたい」という従業員の真摯な思いが、結果的にシャドーITにつながるケースもよく見られます。

新しいツールを導入したくても、社内の承認プロセスが煩雑で時間がかかりすぎるため、善意からやむを得ず無許可で利用してしまう実態があります。

3-3. セキュリティリスクに対する知識・意識の欠如

従業員側に、シャドーITがもたらすセキュリティリスクへの知識や意識が不足していることも、発生の根本的な要因です。

多くの従業員は、個人で使い慣れたツールを業務で利用することが、企業全体にとってどれほど重大な情報漏洩リスクにつながるかを十分に認識していない可能性があります。

そのため、利便性を優先するあまり、悪気なく危険な行為におよんでしまうケースがあとを絶ちません。

3-4. テレワーク環境下でのコミュニケーション不足

テレワーク環境下では、従業員同士や上司との偶発的なコミュニケーションが減少しやすい傾向にあります。オフィスにいれば気軽にできた業務上の相談やツールの使い方に関する質問がしにくくなり、問題解決が遅れがちです。

その結果、従業員が孤立して自己判断に頼らざるを得なくなり、これが安易に管理外のツールを利用してしまう一因となっています。

4-1. 最大のリスクは「情報漏洩」

シャドーITがもたらす最大のリスクは、顧客情報や技術情報といった企業の重要データが外部に漏洩することです。管理外のクラウドストレージの共有設定ミスや、私物デバイスの紛失・盗難などが直接的な引き金となり得ます。

万が一情報漏洩が発生すれば、企業の社会的信用の失墜や損害賠償問題に発展し、事業継続に甚大な影響をおよぼす可能性があります。

4-2. マルウェア・ランサムウェア感染の温床となる危険性

従業員が個人で利用するデバイスやソフトウェアは、セキュリティ対策が不十分な場合が多く、マルウェアやランサムウェアの感染経路となりやすいといえます。

例えば、マルウェアに感染した私物パソコンを社内ネットワークに接続することで、社内全体に感染が拡大してしまうといった可能性が考えられるでしょう。

その結果、業務システムが停止したり、データが暗号化されて身代金を要求されたりするなど、深刻な被害につながる危険性があります。

4-3. 「社内は安全」という境界型防御モデルの崩壊

従来のセキュリティは、社内と社外の境界に壁を設けて内部を守る「境界型防御モデル」が主流でした。しかし、クラウドサービスの普及やテレワークの浸透により、保護すべきデータやデバイスが社外に分散し、この境界はすでに曖昧になっています。

VPNで社内ネットワークへの入口を固めても、その外側で行なわれるシャドーITの活動までは管理できず、従来の対策ではセキュリティを担保することが困難な状況です。

4-4. 管理外デバイスによるセキュリティポリシーの無力化

企業がどれだけ綿密なセキュリティポリシーを策定し、従業員に遵守を求めても、管理外のシャドーITにはその効力がおよびません。

IT部門が把握していないデバイスが一つでも業務に利用されると、そこがセキュリティホールと化し、企業全体の防御体制を著しく弱体化させる要因となり得ます。結果として、多大なコストをかけて構築したセキュリティシステムが無力化されてしまう可能性があるのです。

4-5. インシデント発生時の原因特定・追跡の困難さ

シャドーITが原因で情報漏洩などのインシデントが発生した場合、IT部門は利用実態を把握していないため、原因の特定や影響範囲の調査が困難になります。

シャドーITだとログを追跡できないので初動対応が遅れ、被害が拡大しがちです。さらに、根本的な原因を特定できないままでは有効な再発防止策も講じられません。このような状況では、同様のインシデントが繰り返されるリスクを抱え続けることになります。

5-1. 【VPN代替】エンタープライズブラウザで安全なWebアクセスを実現

テレワークにおけるWebアクセスの安全性を確保する手段として、VPNに代わる「エンタープライズブラウザ」が注目されています。

この多くは、一般的なブラウザと同じChromiumベースで開発されているため、従来のセキュアブラウザが抱えていた描画遅延や互換性の問題を解消し、高い操作性を実現します。

そのうえで、データ漏洩防止（DLP）や詳細なアクセス制御といった高度なセキュリティ機能をブラウザ自体に内蔵しており、VPNクライアントなしで安全なWebアクセス環境を実現できる点が大きな特長です。

5-2. 【統合管理】SASEでネットワークとセキュリティをクラウドで一元化

SASE（Secure Access Service Edge）は、ネットワーク機能とセキュリティ機能を単一のクラウドサービスとして統合したフレームワークです。従来は個別に導入・運用されてきたSWG、CASB、ZTNA、FWaaSといった複数の機能をクラウド上で一元的に提供します。

SASEによって、ユーザーがオフィスや自宅など、どこからシステムにアクセスしてもクラウド上で一貫したセキュリティポリシーが適用され、管理負荷を軽減しながらゼロトラストセキュリティを実現できます。

5-3. 【利用状況の可視化】CASBでクラウド利用を把握・制御

CASB（Cloud Access Security Broker）は、従業員によるクラウドサービスの利用状況を可視化し、企業のセキュリティポリシーに基づいて一元的に利用を制御するソリューションです。

ユーザーとクラウドサービスの間に介在し、「どのサービスが」「誰によって」「どのように」使われているかを詳細に把握・分析します。

IT部門が認識していないシャドーITを特定し、リスクの高いサービスの利用をブロックしたり、従業員に警告を発したりといった具体的な対策が可能になります。

5-4. 【アクセス経路の最適化】ZTNA／SDPで社内システムへセキュアに接続

ZTNA（Zero Trust Network Access）は、「決して信頼せず、常に検証する」という原則に基づき、社内システムへのアクセスを保護する次世代の仕組みです。

ユーザーやデバイスを厳格に認証し、許可されたアプリケーションへのアクセスのみを認めることで、VPNのように社内ネットワークへのフルアクセスを許可しません。

この仕組みはおもにSDP（Software Defined Perimeter）という技術によって実現され、必要最小限のアクセス権限のみを与えることで、万が一の際の横展開リスクを大幅に低減します。

6-1. 【Cato SASEクラウド】

ネットワークとセキュリティをクラウドで統合管理し、ゼロトラスト実現の包括的な基盤となるソリューションです。SD-WAN、FWaaS、ZTNA、CASB、SWGなどのネットワークセキュリティを一元的に提供します。

これら複数の機能を単一プラットフォームで提供し、「誰がどのアプリケーションにアクセスできるか」を一元的に制御することが可能です。管理者は場所を問わず一貫したポリシーを効率的に適用できます。

Cato SASEクラウドの詳細はこちら

6-2. 【Mammoth Cyber Enterprise Browser】

ブラウザ自体に堅牢なセキュリティ機能を持たせたエンタープライズブラウザであり、VPNなしで社内システムやクラウドへの安全なアクセスを提供するソリューションです。

Webサイトへのアクセス制御はもちろん、情報のコピー＆ペーストやファイルダウンロードといった操作をユーザーごとに細かく制御し、ブラウザーを介するさまざまな利用者のアクションをユーザー/グループ単位で管理して情報漏洩を防ぎます。万が一の際にはユーザー操作の録画記録により、迅速な原因究明も可能です。

Mammoth Cyber Enterprise Browserの詳細はこちら

6-3. 【ID Entrance】

アクセスの起点となるIDの正当性を担保するIDaaSです。多要素認証やパスキー認証で「そもそも誰がアクセスするのか」を厳格に検証し、不正アクセスを防止します。

シングルサインオンによる利便性向上と、アカウント管理を自動化するIDプロビジョニング機能により、セキュリティ強化と運用負荷の軽減を両立させます。専門スタッフによる設定代行サービスが標準で付帯しており、導入や運用の負担が少ない点も特徴です。

ID Entranceの詳細はこちら