検索
特集/連載

生産性向上のためなら「シャドーIT」は放置してもいいのか リスクを分析今すぐ対策vs.あえて許可

多くのセキュリティ担当者を悩ませている「シャドーIT」。生産性向上のために、ツールの自由な使い方をあえて許可するという考えもある。果たしてそれは安全なのか。

[TechTargetジャパン] PC用表示 関連情報
Share
Tweet
LINE
Hatena

関連キーワード

サイバー攻撃 | マルウェア | セキュリティ


 テレワークを軸とした柔軟な働き方の普及とともに、従業員が公式な承認プロセスを経ずにITツールやサービスを利用する「シャドーIT」が広がっている。近年は、AI(人工知能)ツールが仲間入りし、無許可のAI利用「シャドーAI」も課題になりつつある。

 一方で、ITツールの自由な使い方を許可することによって、従業員のモチベーションや生産性が高まるという考えもある。実際、シャドーAIは禁止せず、AIツールの非公式利用を公認する企業も存在する。例えば、IT資産管理サービスを提供するFlexeraはそうしている(出典:「シャドーAI」は禁止しない? AI先進企業が“非公式利用”を公認した理由)。

 しかし、AIツールを含むシャドーITの許可は、大半に企業にとって果たして現実的な選択肢になるのか。本稿は、TechTargetジャパンの過去記事を分析し、シャドーITのリスクや必要な対策を簡潔にまとめている。

忘れてはいけないシャドーITのリスク どう対処できるか

 シャドーITは、IT部門の承認を経ずに従業員が独自に導入・利用するソフトウェア、クラウドサービス、デバイスなどを指す。これによってIT部門は利用状況を把握できず、セキュリティのアップデートといった管理もできないので、セキュリティのコンプライアンス(法令順守)などのリスクが発生する。

 シャドーAIはその延長線上で、正式な承認を受けないまま従業員が生成AIツールや他のAIツールを業務で使うことだ。OpenAIの「ChatGPT」をはじめ、簡単に利用できる生成AIツールの普及により、こうした非公式利用が広がっているとみられる。

シャドーITを放置しておくと生じるリスク

データ漏えいリスク

 シャドーITでは、機密情報や顧客データが管理外のツールに渡る可能性がある。未承認のAIツールに社内データを入力することで、第三者へデータが流出し、意図せず学習データとして利用される危険性がある。こうした漏えいは、法規制(や契約違反)にもつながり、企業の信頼性を損ねかねない。

ガバナンスの弱体化

 従業員がIT部門の監視を避けてツールを利用する背景として、「IT部門への不信感」があるという指摘がある。この不信感が、公式ルールを迂回する行動を助長し、ガバナンスの破綻を招く恐れがある(出典:世界で「IT部門に不信感」が57% シャドーITが招く日本企業の“思考停止”)。その結果、法的な問題や監査での指摘を受けるリスクがある。

組織全体の見えない技術負債に

 シャドーITは可視化されていないため、IT部門は企業全体のIT資産を把握できない。この“見えない負債”は、障害対処や脆弱(ぜいじゃく)性対策を遅らせる要因となる。特にAIツールの使用はログに残りにくく、通常のIT管理ツールでは発見困難だ。

シャドーITは放置してもよいか?

 結論から言えば、シャドーITは放置すべきではない。シャドーITを放置することは、短期的な利便性(IT部門による管理の負荷が減る)のメリット以上に、長期的なリスクや損失を生む可能性がある。情報漏えい、法令違反、組織の信用低下は全て企業に大きな損害をもたらす問題であり、対策はすぐに着手すべきだ。では、何をすればいいのか。

可視化の仕組みを導入

 シャドーITを検出するには、通信やログの可視化とその分析が重要だ。具体的には、ネットワーク機器やクラウドサービスへのアクセスを分析して、未承認ツールを発見することが第一歩だ。これは、シャドーITの存在を把握するうえで不可欠になる(出典:「シャドーIT」は“あれ”を見れば簡単に検出できるって本当?)。

CASBの利用

 「CASB」(Cloud Access Security Broker)は、クラウドサービスへのアクセスを監視・制御する仕組みで、シャドーIT対策に有効だ。CASB製品の中にはAIを搭載し、より高度な分析や自動制御ができるものもある(出典:SASEの真価が問われる今、シャドーIT対策の「CASB」はAI搭載でどう変わる?)。

ポリシー整備と社員教育

 シャドーIT対策は技術だけで解決するものではない。社内のITツール利用に関するポリシーを明確に整備し、どのツールが許可され、どのような利用が禁止・要承認なのかを明示することが必要だ。加え、従業員向けの教育を実施し、シャドーITのリスクやITツール正しい利用方法を理解させることが、セキュリティを重視する文化の醸成につながるだろう。

現場主導の活用ニーズを公式化

 シャドーITが生まれる背景には、現場の生産性追求がある。IT部門はそのニーズを無視するのではなく、公式にツールを導入・管理することで、利便性とセキュリティのバランスを取ることが重要だ。

まとめ

 シャドーITは利便性の裏側で「見えないリスク」を内包している。放置することは、短期的な便益を上回る損失を招く可能性があるので、企業は即時の対策を検討すべきだ。可視化やCASB導入、ポリシー整備、教育といった対策によって、リスクを制御しながらデジタル活用を推進する体制を整えることが求められる。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る