企業に忍び寄るシャドーITのリスク

シャドーIT（Shadow IT）とは、その言葉の通り、情報システム部門や企業から“見えない”ところで、企業が認めていない個人のスマホやタブレットなどのデバイス活用や、従業員が許可なくソフトウェアをインストールして、活用していることを指します。

近年、無料で手軽にメール、チャット、通話、映像を通じた対話ができるコミュニケーションツールが普及しています。これは、スマホやタブレットなどスマートデバイスの普及、ネットワークの高速化とも無縁ではありません。

普段は一消費者として、スマホのチャット型のコミュニケーションツール、顔を見ながら対話できるビジュアルコミュニケーションツールを日常的に使っているビジネスマンが、「このフリーのツールを普段の業務に使えば、コミュニケーションがスムーズになる」と考えるのも無理はありません。コンシューマ側のITがビジネス側のITをリードするという、「コンシューマライゼーション」が起きている代表的な分野であるともいえるでしょう。

今ではフリーのツールだけで、“メールするほどではない”伝達事項ならば気軽にチャットで、詳細を話すならば音声あるいは映像で簡単にコミュニケーションを取れる…ということができる時代となりました。

こうしたコミュニケーションツールを、すでにビジネス活用したことがある人も少なくないでしょう。「安価に手軽に、そして効率的に」業務が行えるようになるわけですから、無理もありません。

気軽さや便利さの裏側には常にリスクが潜んでいます。しかしながら、コミュニケーションツールが業務効率化に有効、会社にとってベネフィットになるということであれば、情報システム部門としては、闇雲に規制するのではなく、セキュリティが担保されたコミュニケーションツールを選定・導入してあげることが、課題解決の近道となるでしょう。

近年、企業を取り巻くWeb上の脅威が増しています。標的型攻撃、パスワードリスト攻撃など、その手口の巧妙化、高度化が指摘されています。最近も、無料通話ができるSNSツールやメッセンジャーツールのIDやパスワードが不正に取得され、悪用されるという「なりすまし」による被害が世間をにぎわせました。“知人”のアカウントから連絡があり、疑わずに受け入れてしまったことで、金銭等を詐取されてしまったという人も数多くいたようです。

もしこれが、企業の取引先を騙る相手だったら…。自社がだまされて、何らかの被害を受けてしまう可能性もあるでしょう。そしてさらに怖いのが、自社の従業員のアカウントが乗っ取られてしまい、取引先に迷惑をかけてしまう危険性もあることです。そうなると、取引停止だけではなく、多額の損害賠償などが発生し、事業にとって大きなダメージを受ける可能性すらあるのです。

これまで対面やメールでのコミュニケーションを中心にしてきた企業の社員にとって、遠隔コミュニケーションができるツールは未知のツールですから、「まずは安価に試用してみたい」と考えるのが当然です。しかし、企業として利用する以上、様々なリスクを考慮する必要があります。最後に、その主なリスクを下記にまとめますのでぜひ、参考にしてみてはいかがでしょうか。業務効率化も重要なのですが、下記のリスクをいかに担保していくかが、今後、企業に求められる課題ともいえそうです。

＜無料のコミュニケーションツール利用によるリスクの例＞

• ID、パスワードを不正に取得されることによるなりすまし
• ID、パスワードを取得されることで、企業が標的型攻撃やパスワードリスト攻撃の対象となる可能性がある
• 通話履歴が保存できない（監査対応、万が一の際の証跡・通話ログがない）
• プライベートとビジネス上のアドレスが混在することによる情報伝達ミス
• ツールの仕様変更でインターフェースが変わる、これまでできていたことができなくなる、有料になる、公開・非公開設定が変更されるなど、運用に不都合が生じる
• サービス運営会社からの通知なしに、保守などで、利用できない時間が発生する　…など

上記は一例ですので、もし利用しているツールがあるのならば、こうしたリスクがあることを理解しておきましょう。また、それにより生じる悪影響として、下記のようなことがあることも考慮しておくべきです。

＜万が一、トラブルがあった場合の影響（一例）＞

• 取引停止、損害賠償が発生
• 自社の信頼失墜、株価の低迷、資金調達力の低下
• インターネット上での悪評から炎上、クレーム殺到
• 求人への応募者の量・質の低下、従業員のモチベーション低下　…など

こうした悪影響に発展する可能性までを理解し、社内に周知していくこともまた、重要といえるでしょう。