シャドーITとは

シャドーITは名前の通り、隠れているITになります。
では誰から隠れているITなのでしょうか。それは会社から隠れてるITになります。

つまり、会社で利用しているITは会社で調達して社員が利用していますが、そうでないITがある場合は会社から見えないITがあることになります。

会社が認めている外部のIT

個人が利用しているITを、会社が認めて利用する場合はBYODという使い方になります。
この利用方法は、個人のITを利用するときにも、セキュリティを確保して利用するため安全に利用できます。

IT会社が認めていない外部のIT

ところが、そうではなくて会社の業務をするために、個人で利用しているスマートフォンやタブレットを内緒で利用している場合がシャドーITということになります。つまり会社からはまったく見えないITが使われていることになります。

シャドーITはなぜ起こるの?

ではなぜシャドーITのような使い方が出てくるのでしょうか。
それは個人が利用しているスマートフォンやタブレットの普及と使い勝手の良いアプリケーションがいろいろと登場してきていることがあります。そのため業務で利用することで、利便性がよくなったり生産性が向上することもありますので、とても厄介な存在です。
管理がされていない端末を利用することで、重要な情報や個人情報が外部に漏れるリスクは格段に高くなります。
つまりシャドーITが使われると危険な状態が続くことになります。

シャドーITは発見しにくい

しかしシャドーITは普通では表にでないため、会社としてはなかなかわかりにくいことになります。
結果として問題が起きてから、発覚することになってしまいますので、事前の対策が特に重要になります。

シャドーITの対応策

シャドーITを防止するための対応策は、いろいろと考えられますが、そもそもシャドーITが表に現れにくいため、個人のセキュリティに対する意識や、問題が発生した時の自身に対する危機意識の醸成が大変重要になります。
対策としては、教育、代替案、運用の3点が重要になります。

  • 教育は特に重要です
    一つは教育の徹底です。万一シャドーITが原因で情報漏洩が起こった時には、個人の責任が大きいことをしっかりと伝えて、セキュリティーの意識を向上します。
  • 代わりの案の検討もしっかりしましょう
    BYODなどの代替案ができないか検討をします。
  • 運用方法をしっかり説明しましょう
    シャドーITの利用を禁止することを、セキュリティの宣言や方針に織り込むことで、繰り返し伝達をしていきます。

これからテレワークや在宅勤務が増えてきますと、シャドーITのように今まであまり意識してこなかった課題も増えてくるのではないでしょうか。

コラム更新のお知らせをお届けします。ぜひご登録ください。

ITマネジメント実践広場