シャドーITと企業の情報管理

(1/1)
シャドー ITとは、会社が許可していないデバイスや各種クラウドサービスなどを仕事で勝手に使うことを指します。「会社が許可していない」ということや、対象がデバイスだけでなくクラウドサービスなども含むという点で、「BYOD」(Bring Your Own Device)とは異なる概念です。
受発注・交通費精算・勤怠管理など、会社の業務は一元管理されているものです。IT も例外ではなく、たいていは情報システム部門が管理しています。この部門が管理していないデバイス/サービスを業務に使うと言うことが問題です。

問題点

シャドーIT
たとえば、私物の USB メモリを使うなどして、個人情報を漏らしてしまう事故は後を絶ちません。
会社支給の USB メモリであれば、データを暗号化していたり、遠隔ロックや内部データ消去が可能な機能を備えているものです。しかし、そこまでの機能を備えた高価な私物USB メモリを持っている人はほとんどいないでしょう。
こうした私物メモリに個人情報を格納し紛失するなどして、個人情報漏洩事故へと繋がります。
デジタルアーツが2013 年(平成 25 年)10 月に実施した調査では、Dropbox などのファイル共有サービスを使っている人は全体の 30.8%で、そのうち 38.3%は仕事で利用しているという結果が出ました。一方、会社が用意したストレージサービスを利用している人は全体の 16.8%しかいませんでした。

また、メールよりリアルタイム性の高い LINE を使って社員間のコミュニケーションをとっていることも多いでしょう。
しかし、Dropbox にしても LINE にしても、公開範囲を間違えると、機密情報の漏洩につながりかねません。

シャドー IT で利用しているネットワーク環境も、社外になると、公衆無線LAN サービスのようにセキュリティ対策が不十分なことがあります。

さらに、試作プログラムを用意するのに、IaaS 型のクラウドサービスを利用しているケースもあります。無償提供のサービスでは、登録したプログラムが第三者に提供されるかもしれず、会社の知的財産を失う危険性があります。

対策

セキュリティと利便性はトレードオフの関係にあります。
シャドー IT を一律禁止してしまうと、生産性や社員のモチベーションが低下するでしょう。各社の事情に合わせたルールを設けておく必要があります。

ルールを制定する際、どこまでを制限・禁止するか、監視の範囲をどこまで広げるか、また、シャドー IT をそこまで許容するか方針を盛り込んでおきましょう。また、シャドー IT のメリットとデメリットについて社員教育も欠かさず行いましょう。

参考サイト

(この項おわり)
header