昨今よく耳にするようになった「シャドーIT」という言葉。
「シャドーIT」とは言わば会社の情報システム部門が把握できていない「ITサービスの利用」を指す言葉です。
パブリッククラウドの発展によりクラウドサービスが非常に豊富な世の中になりました。
システムエンジニアでなくともいわゆる「Saas」を利用している人も多いでしょう。
その「シャドーIT」ですがセキュリティ的には情報漏えいのリスクに繋がります。
インターネット経由でサービスが利用できるので、自宅と会社で情報を共有することも出来れば、情報漏えいに繋がる原因にもなります。
また、管理者の目の届かない環境では利用者がいったい何の目的で利用しているかも分からず、知らぬ間に情報が抜き取られている可能性もあります。
ここまでリスクについて紹介してきましたが個人的な意見として「シャドーIT」のリスクについて煽り過ぎだと思います。
上記で紹介したリスクも当然ながら事実です。
しかしなぜ煽り過ぎと感じるのでしょうか。
私見ではありますが、シャドーITについて書いていきたいと思います。
シャドーITの危険性について
根本問題はシャドーITではなく意識である
私がシャドーITの危険性について「煽り過ぎ」と感じるのは、そもそもセキュリティや情報漏えいの根本原因が「サービスの利用」ではないと思っているからです。
むしろ、これだけ多くの便利なサービスがあるにも関わらずそれを制限してしまうようなやり方は好きではありません。
クラウドサービスの利用が何においても「危険」ではないと思っております。
そもそも利用者に悪意が無ければ情報漏えいは少なくなります。
攻撃やハッキングによる情報の漏えいは言ってしまえば力不足、運が悪かったなど外的要因です。
Windows Firewallの脆弱性を突かれてしまったり、Firewall自体が突破されてしまうなどの場合はそもそも相手の技術が巧妙で高レベルか、設備の対策不足であって個人でどうこう出来る以域ではありません。
それ以外の漏えいは「悪意」があったり「故意」であると言えます。
つまりクラウドサービスを利用するしないに限らず「会社の情報は外に持ち出さない」という意識があれば「シャドーIT」をしていても関係がないのです。
むしろ、そういった真面目な社員がクラウドサービスを利用して効率よく仕事が出来ていたのに、「シャドーIT」と揶揄し禁止してしまうとどうでしょう。
利用者にとっては逆効果になってしまいます。
シャドーITが危険なのではなく個人の意識こそが最も大切だと言えます。
クラウドサービスは情報を運ぶ効率が良いだけ
シャドーIT対策として、様々な製品がありますがどれも「誰」が「何」を使っているのか把握するためでしょう。
例えば、会社では推奨していないオンラインストレージなどを多用していれば、利用目的などを確認して利用の禁止や許可をするでしょう。
情報システム部門は基本的に社員が何をしているか「管理」することも仕事です。
しかしシャドーITを管理したところで人間の「記憶」という領域を消すことは出来ません。
つまり、クラウドを禁止しても前述した意識の問題が解決出来ていなければ、脳内で情報を持ち運ぶことが出来ます。
クラウドを利用して情報を持ち運ぶのは、それが「便利」であるだけで記憶だけで情報を移動させることは十分可能です。
ここでもはっきり言いたいのですが「シャドーIT」が危険なのではなく「悪意」が問題です。
情報を持ち運ぶ本人が「これはやってはいけないことだ」と思えば情報漏えいのリスクは低くなります。
また、悪意があればクラウドを利用しなくてもノートに書きだすなどいくらでも情報を漏えいさせることは出来るのです。
シャドーIT自体の危険性ももちろん分かる
ここまで「シャドーIT」自体にリスクがあまりなく、人の意識が問題であることを書いてきましたが、それでも「シャドーIT」にも確かにリスクはあります。
今の時代、BYODの普及から在宅ワークや外出先での仕事の効率化など、インターネット経由で会社の情報を扱える仕組みが非常に増えています。
会社のネットワークにVPN経由で接続したり、MicrosoftのAzureでインターネット経由でSSOする仕組みもあります。
つまり働き方を刷新したり効率化するほどあらゆるデバイスには会社の情報が残ってしまいます。
その情報を会社の知らない所で、クラウド上で連携してしまうなど見えない所で何をしているか、そのすべてを把握するには今時点では無理があります。
インターネット経由であれば、個人スマホのテザリングやWifiなどを利用した場合に、その通信内容を調べる方法は多くありません。
シャドーITを気にするがあまり多くの便利なクラウドサービスを封殺してしまうのはご法度だと思いますが、やはり「管理」だけは必要だと思います。
会社内のネットワークであれば比較的把握するのは簡単だと思います。
しかしインターネット経由で仕事が出来る場合は少しばかり対処しないと「インターネットそのものがバックドア」となってしまいます。
シャドーITの対策はどうするべきか
見える化かは必須
まず社員がどんなサービスを利用しているかは把握するべきでしょう。
会社によっては監査の項目にも追加されてもおかしくないような内容なので、数年後には「クラウドの利用状況の管理」が監査に追加されるかもしれません。
つまり見える化だけは必須だと言えます。
脆弱性対応などと違い、悪意や故意による情報漏えい時に「どんなサービス」から「誰」が「どんな情報」を抜いたのか分かる必要があります。
「内容」については暗号化通信のため、把握できないと思いますがインシデントが発生した際は大概が「漏えいした情報」から追いかけるので必要のないケースもあります。
つまりシャドーITによる情報漏えいやリスクの対策は絶対に必要であり不要なものではありません。
そして利用者側もこういった管理や仕組みが導入されている前提で仕事をするべきでしょう。
悪意があるとすぐに証跡が残るのであれば不要なリスクを自分が被るだけと言えます。
便利な商用サービスは全て許可で良いのでは
シャドーITですが、会社によって「オンラインストレージは禁止」、「パブリッククラウドは許可」などポリシーがあると思います。
昨今は、チャットボットやチャットサービス、電話やテレビ会議までクラウド化しています。
それ以外の小さなサービスであっても仕事の効率化に繋がる事も多いです。
こういった情報の共有やコミュニケーションツールの商用サービスは許可した方が便利な社会になると思います。
むしろ、「セキュリティ」を声高にしてしまうと、クラウドサービスの良さを打ち消すだけの「迷惑なルール」になってしまいます。
法人向けのクラウドサービスや有料のサービス、また無料であっても有名な製品であれば個人的にはそこまで厳密に禁止する必要はないと思っています。
私自身、情報システム部門で仕事をしていたこともありますが、ユーザから「○○は出来ないのか」「○○みたいな仕組みってありますか」など社内システムに対する要望は常日頃からありました。
オンプレだとサービスを入れようにもサーバを手配してベンダーと調整して進めるため簡単に提供することは出来ませんでした。
しかし、クラウドサービスであれば手軽に簡単に利用できます。
そこを「セキュリティ的にNG」の一言で利便性を奪い生産性を低下させてしまうのではなく、「どう使えば安全か」と考えるべきだと思っていました。
つまり安全に利用できる環境で利用してもらう事が利用者にも管理者にも一番良い事です。
管理者はサービスの利用状況を把握していて、利用者は効率的に仕事が出来ます。
さらにクラウドなので、オンプレと比べるとデリバリーがかなり違います。
シャドーITを可視化することで、もっと社員が効率よく作業できるようにすることを目的にした方が良いと思います。
リスクばかりを訴えるのは「シャドーIT対策ビジネスの煽り」そのものだと思います。
最後に
シャドーITのリスク対策と危険性について書いてきました。
結論としては、これまで書いてきた通り情報漏えいは「個人の意識の問題」と言えます。
つまりシャドーITをしていようがいまいが、意識が違えば情報は漏えいしません。
また便利なクラウドサービスの多くを情報システム部門が封殺してしまうと、利用者の効率も下がり、ただでさえ顰蹙を買いやすい情報システム部門の印象がさらに悪くなるでしょう。
クラウドが普及した今の時代は「どうやって安全に利用するか」を考えるべきだと思います。
性善説ではありませんが、便利だと思っている人たちに対して「情報漏えいのリスク」と頭ごなしにマイナス面だけを押し付けるのは利便性を奪う行為であると思います。