シャドーITと企業の情報管理

(1/1)
シャドーITとは、会社が許可していないデバイスや各種クラウドサービスなどを仕事で勝手に使うことを指します。「会社が許可していない」ということや、対象がデバイスだけでなくクラウドサービスなども含むという点で、「BYOD」(Bring Your Own Device)とは異なる概念です。
受発注・交通費精算・勤怠管理など、会社の業務は一元管理されているものです。ITも例外ではなく、たいていは情報システム部門が管理しています。この部門が管理していないデバイス/サービスを業務に使うと言うことが問題です。

問題点

シャドーIT
たとえば、私物のUSBメモリを使うなどして、個人情報を漏らしてしまう事故は後を絶ちません。
会社支給のUSBメモリであれば、データを暗号化していたり、遠隔ロックや内部データ消去が可能な機能を備えているものです。しかし、そこまでの機能を備えた高価な私物USBメモリを持っている人はほとんどいないでしょう。
こうした私物メモリに個人情報を格納し紛失するなどして、個人情報漏洩事故へと繋がります。
デジタルアーツが2013年(平成25年)10月に実施した調査では、Dropboxなどのファイル共有サービスを使っている人は全体の30.8%で、そのうち38.3%は仕事で利用しているという結果が出ました。一方、会社が用意したストレージサービスを利用している人は全体の16.8%しかいませんでした。

また、メールよりリアルタイム性の高いLINEを使って社員間のコミュニケーションをとっていることも多いでしょう。
しかし、DropboxにしてもLINEにしても、公開範囲を間違えると、機密情報の漏洩につながりかねません。

シャドーITで利用しているネットワーク環境も、社外になると、公衆無線LANサービスのようにセキュリティ対策が不十分なことがあります。

さらに、試作プログラムを用意するのに、IaaS型のクラウドサービスを利用しているケースもあります。無償提供のサービスでは、登録したプログラムが第三者に提供されるかもしれず、会社の知的財産を失う危険性があります。

対策

セキュリティと利便性はトレードオフの関係にあります。
シャドーITを一律禁止してしまうと、生産性や社員のモチベーションが低下するでしょう。各社の事情に合わせたルールを設けておく必要があります。

ルールを制定する際、どこまでを制限・禁止するか、監視の範囲をどこまで広げるか、また、シャドーITをそこまで許容するか方針を盛り込んでおきましょう。また、シャドーITのメリットとデメリットについて社員教育も欠かさず行いましょう。

参考サイト

(この項おわり)
header