シャドーIT 〜知られざる脅威 - エム・システムのブログ

皆さんは、「BYOD」と言う言葉、聞いたことはありますか ?

この言葉は、「Bring Your Own Device」の略語で、日本語にすると「社内への社員個人の電子デバイスの持ち込み」等と訳されます。

つまり、社員個人の電子機器を、社内業務で使うことを意味しています。

よく見かける「BYOD」の例としては、次のようなケースがあります。

●個人のUSBに業務データをコピーして自宅で作業を行う
●個人の携帯/スマートフォンに、お客様のメール・アドレスをコピーして保存しておく
●個人の携帯端末に営業資料をコピーしてお客様にプレゼンテーションを行う
●個人で獲得したオンライン・ストレージに業務データをコピーして出張先で作業を行う

一方、「BYOD」とは別に、近頃では、「シャドーIT」と言う言葉も流行りだしました。

「Shadow IT」、日本人の得意な「和製英語」かと思われるでしょうが、実は、れっきとした英語です。

そして、「シャドーIT」の意味ですが、これも、社員の個人所有の電子デバイスを、社内業務で使用することを意味しています。

さらに「シャドーIT」には、デバイス、つまりハードウェア以外のIT、つまりソフトウェアに関しても、個人的に使用している各種ツールを、社内業務でも使うことも含まれます。

つまり、社内的に使用が認められているハードウェア、およびソフトウェア以外のITツール/デバイスを、社内業務で使用することを「シャドーIT」と呼んでいるようです。

それでは、「BYOD」と「シャドーIT」、何が異なるのかと言いますと、「BYOD」は会社公認、で「シャドーIT」は会社非公認という違いとなります。

「何じゃ、そりゃ」と思われるかもしれませんが、例えば「USB機器」を例にしてみます。

「USB機器」にも様々な種類が存在します。USB機器を社内公認にする手続きですが、いちいち1種類ずつ公認していては埒が明きません。

そこで、次のようなスペックで公認/非公認を決めます。

・セキュリティ機能が付いているか否か
・容量は社内基準以下か否か
・社外業務を行う必要がある部署か否か

セキュリティ機能とは、データの暗号化や指紋認証機能の事です。これらの機能が付いていれば、USB機器を無くした場合でも、データの漏洩を防ぐことは可能です。

また、データ容量に関しても、余りに大きいと、重要データを「根こそぎ」コピーされてしまう可能性もありますが、容量が少ないと、一度に持ち出せるデータに制限を付けることが可能になります。

このようなスペックの「USB機器」だけを、会社公認デバイス(機器)として、個人所有であったとしても、社内での利用を認めることを「BYOD」としているようです。

そして、それ以外の「USB機器」に関しては、「シャドーIT」扱いになってしまいます。

つい先日(2015年3月2日)、アメリカで話題となったのが、次期大統領の最有力候補とされている民主党の「ヒラリー・クリントン氏」が、国務長官在任中の公務において、私的な電子メール・アカウントを使っていたことが明らかになりました。

何が問題なのか、と言う点に関しては、本ブログの主旨とは関係ありませんので割愛します。(おそらくは軍事問題)

そして、電子メール・アカウントはデバイスではありませんが、ITツールになりますので、これも「シャドーIT」と言えると思います。

そこで、今回は、「シャドーIT 〜知られざる脅威」と題して、「シャドーIT」に潜む次のようなリスク、および対応策を紹介したいと思います。

●情報漏洩
●ウィルス感染
●データ持ち出し
●業務の属人化

それでは今回も宜しくお願いします。

- - - - -

■情報漏洩

「シャドーIT」の一番の脅威は、情報漏洩です。

前述の「BYOD」の事例にも記載しましたが、基本的に、業務データや社内情報を社外環境に持ちだしている訳ですから、データを保存したPC、スマートフォン、あるいはUSBを紛失してしまうと、そのままデータが漏洩してしまう可能性があります。

会社支給のデバイスの場合、通常は遠隔ロック等が出来る仕組みを導入していますが、私物のデバイスの場合、そこまでは対応していないと思います。

また、USBやスマートフォンの外部デバイスにデータを保存せず、クラウドと呼ばれるオンライン・ストレージにデータを保存すれば、デバイスを紛失する恐れがないから大丈夫と思っている人も大勢いると思います。

確かに、データをデバイスに保存して持ち歩く訳ではないので、目的地に着くまでの間で、データを紛失する可能性は無いと思います。

しかし、例えば、データをクラウドに保存して、自宅PCにダウンロードした場合、自宅PCがマルウェアに感染していると、業務データを外部に漏洩させてしまう危険性があります。

私物のPCは、会社PCと比較すると、セキュリティのレベルが低いので、知らない内にマルウェアに感染している可能性は高いと思います。

さらに、クラウドによっては、データ共有が出来る機能を提供しており、データ共有の設定を外さないと、誰でもデータを見ることが出来るようになっています。

日本でも、2013年に、「Googleグループ」を使用していた5つの省庁(※1)で、情報漏洩があったことが、内閣官房情報セキュリティセンター(NISC)から発表されています。

アメリカにおいても、2013年、NASA(米国航空宇宙局)の複数部門において、CIO(Chief Information Officer)の許可を得ていないパブリック・クラウドにシステムを勝手に移行してしまい、2年間もセキュリティ無しの状態が続いていたことが明らかになっています。

このように、『外部デバイスを使わないから情報漏洩は起きない』と考えるのは、大きな間違いです。

また、データ漏洩が発生しても、会社には、誰が犯人か解らないだろう、と考えるのも間違いです。

会社/組織は、対外的に責任の所在を明らかにする義務がありますので、血眼になって犯人を探し出します。

但し、会社が、血眼になって犯人を探しだす理由は、個人攻撃が目的ではなく、原因と対策を講じるための犯人探しである点を理解する必要があります。

※1：環境省、復興庁、農林水産省、国土交通省、厚生労働省所管団体

- - - - -

■ウィルス感染

「シャドーIT」の次の脅威は、ウィルス感染ですが、これも情報を外部に拡散させるマルウェアを最大の脅威としていますので、その意味では情報漏洩と同じリスクかもしれません。

しかし、ウィルスの場合、データの外部拡散だけでなく、次のような行為を行うウィルスもあります。

・データ破壊
・サイト改ざん
・PCの乗っ取り

どのウィルスも、とんでもありません。

しかし、「シャドーIT」とウィルス感染、一見、何の関係も無いように見えますが、そんな事はありません。想定される感染経路は、次の通りです。

1.私物のデバイスが、ウィルスに感染する
2.感染した私物のデバイスを社内に持ち込んで、社内のデバイスに接続する
3.社内のデバイスがウィルスに感染する
4.感染した社内デバイスから、社内ネットワークを通して、全てのデバイスがウィルスに感染する

つまり、ウィルスに感染したデバイスを、社内に持ち込むことにより、社内ネットワークを通して、社内にウィルスが蔓延する危険性がある、と言うことです。

近頃では、Windows系OSのみならず、従来は比較的安心とされていたiOSにもウィルスが多数発見されるようになってきました。

iOSは、UnixベースのOSなのですが、このUnix/Linux OSも、安全神話が崩壊し出していますので、もはや安心なOSなど、無くなってしまったも同然です。

過去には、2010年に、慶應義塾大学において、学生に配布した大量のiPadが、ウィルスが感染し、大騒ぎになったこともあります。

私物のデバイスを社内ネットワークに接続するリスクを考えてみて下さい。

- - - - -

■データ持ち出し

そして、これも、かなり恐ろしい事ですが、社内データを外部に持ち出すリスクについてです。

最近では、2014年7月に、「ベネッセコーポレーション」において、情報小会社の社員が、2,300万件にも及ぶ顧客名簿を、社内サーバーから私物のスマートフォンにコピーして盗み出し、名簿業者に販売する事件が起きています。(その後も、ベネッセに関しては業務委託先で情報漏洩が起きているようです。)

また、2015年2月、家電量販店「エディオン」の幹部社員が、競合会社(上新電機)に転職する際に、社内営業情報を持ち出して不正競争防止法違反(営業秘密取得)の容疑で大阪府警に逮捕されています。

さらに、同じく2月には、日産の社員が、中国企業に転職する際に、手土産として、モーターショー関連情報18,000件をコピーして持ち出したとして、やはり不正競争防止法違反で逮捕されています。

「ウチの社員に限って・・・」と言いたい気持ちは解りますが、もはや【性善説】で業務データの管理は出来ない時代になっています。

ちょっと前、5年程前なら、小さめの周辺機器のデータ容量は、多くても30GB(ギガバイト※2)程度でしたから、それほど大量のデータの持ち出しは出来ませんでした。

それでも、10年前に比べたら、途方も無いデータ容量ですが・・・

現在では、USBでも1TB(テラバイト※3)もの容量を持つものまでありますし、オンライン・ストレージでは、容量無制限のサービスもあります。

このような状況で、ITの知識、特にLANの知識が少しでもあれば、持ち込んだ周辺機器を社内のネットワークにさえ接続出来れば、後は、好き放題、セキュリティが掛かっていないデータは、全て持ちだされてしまいます。

※2 ギガバイト：10億バイト(1枚5メガバイトの画像なら200枚分)、正確には10億7374万1824バイト
※3 テラバイト：1兆バイト(1枚5メガバイトの画像なら20万枚分)、正確には、1兆995億バイト

- - - - -

■業務の属人化

最後は、業務の属人化です。

「業務の属人化」・・・言葉の意味が良く解らない方も居ると思いますが、要は、業務の遂行を、特定の社員の能力やスキルに頼ってしまう事を意味します。

もっと簡単に言うと、「あの人が居ないと仕事が出来ない」と言う状況です。

「業務の属人化」と「シャドーIT」・・・これも、全く関係の無い様に見受けられます。

しかし、「シャドーIT」とは、実は、社員個人が、私物のデバイスやツールにデータを保存する事だけではなく、『業務そのものを私物化』してしまうのです。

どういう事かと言いますと・・・

例えば、「社員A」が、社内データをクラウド「Dropbox」にコピーして自宅で作業を行い、作業結果を、また「Dropbox」にアップロードしていたとします。そして、その状態で出張に出かけてしまったとします。

この時に、社内で「社員A」のデータが必要になったとします。「社員A」は出張中で連絡が取れません。そうなると、「社員A」が居ないと、業務が出来なくなってしまいます。

また、「社員A」と連絡が取れた場合でも、データは「Dropbox」に入っているので、URLやパスワードを知らないと、社内ではアクセスできません。

次に、「Dropbox」にアクセス出来たとしてもデータが不完全なら、社内に居る人間が、データを修正しなければなりませんが、作業手順は、「社員A」しか知らないので、誰も修正出来ません。

このように、業務データや作業手順が、完全に個人に委ねられてしまうと言うことは、もう社内業務の体をなしていないことになります。

さらに、このような場合、会社のルールや手順などは無視されていることが多く見受けられます。

例えば、社内では、データは暗号化するとか、パスワードロックする等の決まりがあったとしても、恐らく「社員A」は、このような決まりや手順を遵守していとは思えません。

このため、何か問題があった時には、データは、直ぐに公開されてしまいます。

また、2012年には、Yahooの小会社「ファーストサーバー」で、2013年には、MicrosoftのOneDriveで、2014年にはDropboxでも、クラウドに保存していたデータが、ソフトウェアの障害等で勝手に削除されてしまうという問題が発生しています。

特に、2012年のファーストサーバーの障害は、利用顧客50,000人、その内8割が法人・公官庁と言う状況だったので影響範囲が大きく、さらにバックアップ・サーバーでも障害が発生したため、最終的にデータが復旧できない状況になるという最悪の障害でした。

クラウド環境では、障害によりデータが削除されてしまったり、あるいはシステムの設定変更により、勝手にデータ共有化されたりと、とんでもない事態が発生します。

このように、「シャドーIT」では、データを私物化する事のみならず、作業手順や作業規約までをも私物化しまう点が問題となります。

「シャドーIT」で作業結果をオンライン・ストレージ等のクラウドに保存する場合、次のようなリスクが伴うことを覚えておいて下さい。

(1)クラウド上のデータが急に共有化/一般公開されてしまうリスク
(2)クラウド上のデータがサーバー障害等で消去されてしまうリスク

- - - - -

今回は、「シャドーIT 〜知られざる脅威」と題して、「シャドーIT」に潜む次のようなリスクを紹介してきましたが、如何でしたか ?

●情報漏洩
●ウィルス感染
●データ持ち出し
●業務の属人化

そして、これまでに説明してきたように、「シャドーIT」が広がる原因は、基本的に、ただ1つ、「社員が希望するサービスを受けていない」と言う事にあります。

つまり、「シャドーIT」を使っている人は、会社側から、使いたいツール、あるいは便利なツールが提供されないために、自ら便利なツールを探しだして使っているのです。

「シャドーIT」には、メリットとデメリットがあります。

●メリット
・(恐らく)会社支給ツールより作業効率が良い
・(恐らく)会社支給ツールより費用が掛らない(無償ツールが多い)

●デメリット
・これまで説明してきた各種リスク

それでは、何故、このような状況を招いてしまうのでしょうか?

通常の企業の場合、IT資産は、情報システム部が管理しています。このため、会社が支給するITサービスも、情報システム部経由となりますが・・・情報システム部が多忙なため、個々のIT資産の使い勝手の良さや悪さまでは追跡調査はできません。既存ツールの保守運用で手一杯です。

ましてや、新規ツールの検討などもっての外です。

一度、社内で導入が決まれば、後は、そのツールを可能な限り、問題を起こさずに使い続ける事が情報システムの「使命」となってしまいます。

このような現状が「シャドーIT」を広げてしまう要因の一つとなっています。

それでは、どうすれば、この悪循環を断ち切ることが出来るのかと言うと、それは、やはり情報システム部の立ち位置を変える必要があります。

一昔前には、情報システム部は、社内のお荷物、利益を生まないコスト部門等と揶揄され、挙句の果てに、情報小会社として、無理やり独立させられていました。

しかし、このやり方の場合、無理やり独立させられた情報システム部は、元の会社、つまり「親会社」から仕事を貰うだけの会社になってしまい、モチベーションが低下し、とんでもない結果となっていました。

そして、「親会社」の社員も、「情報小会社」にシステム開発案件を依頼すると、とんでもない料金を吹っかけられるので、別のソフト会社に開発を発注すると言う、もう訳の解らない状況となっていました。

このような事態を避けるためには、情報システム分が、単に「システムのお守り」をするだけの部署ではなく、コンサルテーションを行う部署になる必要があります。

社内システムやツールを使用している人に対して、常に、満足度の調査や、新規ツールの提案/ヒアリングを行い、シャドーITが社内に入り込む余地を与えない必要があります。

当然、今までよりも仕事は増えますので、社内的にも、業務が行える人材を追加する等、きちんとしたバックアップが必要になります。

このため、このような支援体制を整えるためにも、社内にCIOを置き、情報システム部の地位を高める必要があります。

【CIO】とは、「塩」ではありません。【 Chief Information Officer 】の略で、最高情報責任者を意味し、企業内の情報システムや情報の流通を統括する担当役員の事です。

「シャドーIT」を防止するためには、このような施策が必要になりますが・・・余程の大企業でないと、こんな施策は取れませんよね。

では、どうするか・・・正直な話、中小零細企業では、「シャドーIT」を黙認するしかないと思います。

このため、最低限、データの暗号化とパスワードによる保護だけは行うようにし、さらに、自宅PCにはセキュリティ・ソフトを導入し、常に最新の状態にしておくことをお願いするだけで、あとは社員個人に任せるしかないと思います。

非常に悲しいことですが、これが現実です。

今回は、何か、最後は悲しい終わり方になってしまいましたが、次回は、もう少し明るい話題にしたいと思います。

ありがとうございました。

以上

【画像・情報提供先】
・Wikipedia(http://ja.wikipedia.org/)
・独立行政法人情報処理推進機構(https://www.ipa.go.jp/security/txt/2013/10outline.html)

【株式会社 エム・システム】
本      社　 ：〒124-0023 東京都葛飾区東新小岩8-5-5 5F
 　 　 　 　 　 TEL : 03-5671-2360 / FAX : 03-5671-2361
盛岡事業所　 ：〒020-0022 岩手県盛岡市大通3-2-8 3F
 　 　 　 　 　 TEL : 019-656-1530 / FAX : 019-656-1531
E-mail　 　　： info@msystm.co.jp 
URL　　　　　： http://msystm.co.jp/
   　　　　　： http://msystm.co.jp/excel_top.html
ブログ       ： http://d.hatena.ne.jp/msystem/ 
Facebook　 　： http://www.facebook.com/msysteminc