シャドーITとは？リスクや対策を解説！管理不能なSaaSの真実

 

SaaS活用が広がる中で、会社の許可なく利用されるSaaSやデバイス、いわゆる「シャドーIT」がセキュリティ上のリスクとして表面化されてきました。さらに、似たような概念である「BYOD」とも混同しがちです。ここでは、シャドーITとBYODに関する定義や違いについて解説します。

 

企業が把握していないデバイスやサービスの利用

 

シャドーITとはその名の通り「影のIT」という意味です。会社（経営層や情報システム部門等）が把握しておらず、また、会社としての利用を許可していないIT資産全般（いわば影のIT資産）を、会社の許可なく、社員等に利用されてしまうことを指します。

 

シャドーITには、社員の私物パソコンやスマートフォン、USBデバイスなどの物理的媒体並びに、クラウドサービスやSaaSアプリケーション（以下SaaS）等があります。SaaSの例としては、社員が無料で利用しているチャットツール（LINE等）や、クラウドストレージ（Dropbox等）、ファイル共有サービス（ギガファイル便等）、メール（Gmail等）、メッセージングツール（Facebook Messenger等）。最近では、そこに生成AI（ChatGPT等）等も含まれます。

 

種類も豊富で、次から次へと生み出される便利なSaaSですが、これを社員がプライベートな利用を目的として、個人所有のパソコンやスマートフォンで利用する分には当然問題ありませんが、会社の端末で業務に利用してしまうと、途端に会社では把握できない「シャドーIT」が簡単に生まれてしまう、というリスクを孕むことになります。

 

公式化すると、シャドーITとは以下のような状態を指します。

 

会社貸与パソコン（スマートフォン）×　会社標準SaaS＝　会社標準IT資産

個人利用パソコン（スマートフォン）×　会社標準SaaS＝ シャドーIT

個人利用パソコン（スマートフォン）×　個人利用SaaS＝　シャドーIT

会社貸与パソコン（スマートフォン）×　個人利用SaaS＝　シャドーIT

 

かつて、業務システムがオンプレミスサーバー内に存在しており、且つパソコンがデスクトップ型だった時代は、仕事は会社に来て行うものでした。ところが、SaaSを用いた業務利用が当たり前になったことに加え、コロナ禍によって一気にテレワークが進んだことによって、いつでも、どこでも、どのようなデバイスを用いても仕事ができる便利な時代に突入しました。そしてこのような時代に突入したからこそ、新たなリスクである「シャドーIT」が生まれたのです。

 

特に、仕事熱心で新しいことに挑戦したいと考える前向きな社員や、業務とプライベートの垣根がさほど存在しないような社員であればあるほど、あくなき探究心から、悪意なく、シャドーITになるとは知らずに使ってしまうケースも考えられます。

 

許可された私物利用であるBYODとの区別

 

なお、混同しがちな概念として、BYOD（Bring Your Own Device）があります。直訳すると「自分のデバイス（パソコンやスマートフォン）を持ち込む」ということで、会社の業務で私物の端末（パソコンやスマートフォン）を利用することを指します。

 

BYODは、物理端末であるパソコンやスマートフォンを、会社が承認した上で、且つ会社が管理しているSaaSの利用を許可する、というものです。

 

公式に当てはめると、BYODは以下のような状態を指します。

 

会社が許可した個人利用パソコン（スマートフォン）×　会社標準SaaS＝  BYOD

 

BYODを許可している会社では、BYODの基準やルールが定義されており、且つ、会社が承認し管理した状態のもとで、個人デバイスを利用することができます。そのため、会社として全く管理されていないシャドーITに比べるとリスクを低減させることができます。

 

社員にデバイスを配布する必要がないため、コスト削減に繋がったり、部門での社内キッティング等が不要になるため、時間的工数の削減に繋がったり、持ち運ぶデバイスを１つ減らすことができるため（たとえば、会社パソコン、会社スマートフォン、個人スマートフォンを持ち歩いている場合で、スマートフォンのBYODが許可される場合、会社パソコン、個人スマートフォンの２台の持ち運びで済む）、利便性向上や、紛失リスクを１デバイス分減らすことができるなどのメリットもあります。

 

SaaSは利便性がとても高く、導入障壁が極めて低い、という特徴がある一方で、会社や情報システム部門の許可なく利用されるSaaS、いわゆる「シャドーIT（野良SaaS）」問題も浮上します。

 

何故、セキュリティリスクに直結するのか。ここでは３つのポイントについて解説します。

 

利用部門主導の導入による管理者の不明化

 

本記事をご覧になっている方で「うちのシステムは全てオンプレミスサーバーで作っていて、その中に全てのデータが入っているから、SaaSを利用する必要はないんだよね」という方は、ほぼいないのではないでしょうか。

 

むしろ、全てをクラウドやSaaS化している「業務のフルクラウド化」に全面シフトしている企業があるかもしれません。いずれにしても、SaaSの利用は、企業が標準で使う業務ツールの一つとなり、オンプレミスサーバーの導入時にかかるような初期コストを大幅に減らしながら、必要な箇所に、必要なSaaSを利用している、というケースの方が時代の主流になったと言えるでしょう。オンプレからのクラウドシフトは、もはや不可逆の事象であり、今後益々「業務のクラウド化」は増えていく一方でしょう。

 

その一方で、導入コストも抑えられ、申し込めばすぐにでも利用できるSaaSだからこそ、新たな問題が顕在化してきました。それが前項で述べた「シャドーIT問題（野良SaaS問題)」です。

 

会社として、ITガバナンスや組織全体のセキュリティ統制の足並みを揃えるには、以下であることが理想的です。

 

会社貸与パソコン（スマートフォン）×　会社標準SaaS＝　会社標準IT資産 

 

ところが、安価で気軽に、誰でも利用できるという使い勝手の良さから、事業部門単体（場合によっては社員個人）で、会社（や情シス）の許可なくSaaSを契約し、導入するケースが増えているのです。いわゆる「野良SaaS」と言われる問題ですが、なぜこれが会社全体のITガバナンスを崩したり、セキュリティリスクに直結するのでしょうか。

 

まず１つ目が「管理者の不明確化」の問題です。

 

先ほども申し上げましたが、会社としてITガバナンスや組織全体のセキュリティ統制をはかるための理想的な形は、会社として使用すべきIT資産はその管理を特定部署（情シス部門等）に統一化することです。

 

これによって、「どのようなSaaS」を「どの部署の誰」に「どのような権限」で利用を許可しているのかを会社として統一管理できるようになります。たとえば、会社として管理しているSaaSの場合、アカウント管理一つ挙げるとしても、退職者が発生した際に情シス部門の管理のもとで、会社としての正式なプロセスを経て「アカウントの停止（もしくは削除）」を行うことができます。

 

ところが、情シス以外の事業部門が独自にSaaSを利用している場合に、その部署で退職者や部署移動等が発生した場合に、不要になったアカウントがそのまま放置されてしまう可能性が生じます。

 

たとえば、SaaS契約者が退職者であり、運用がその退職者に委ねられていた場合、SaaSの運用が放置されてしまい、誰も手をつけることができないままに、ライセンス費用だけが発生し続けるような「SaaSのゾンビ化」が起こる可能性も考えられます。

 

退職社員がそのまま自社利用のSaaSを利用し続けるケースもあります。この場合、権限のない元社員がアカウント情報を悪用して、企業情報に触れていることになるため、「不正アクセス禁止法」に該当し、自社の情報が漏れるだけではなく、退職した元社員が逮捕される等の別の問題を生じる可能性があるのです。

 

また、どのような情報がSaaSに保存されているのかを会社として認識、把握していないため、情報漏えいなどの問題が起こった際に初めて「こんなところにSaaSがあったなんて知らなかった」と後悔することになります。ガバナンス不全は会社（経営側）の仕組みの問題として、株主から追求されるリスクすらあるのです。

 

情報やアカウント乗っ取りなどのセキュリティリスク

 

２つ目は「外部からの不正アクセスによる情報漏えいリスク」の問題です。

 

会社として定義された「アカウントポリシー」や「パスワードポリシー」が遵守されておらず、簡単に推測されるようなパスワードでSaaS利用がなされていたり、パスワードの使い回しがなされている場合、外部の攻撃者からの総当たり攻撃等によって、侵入を許すことに直結します。

 

会社管理（情シス管理）であれば、SaaSの利用にはパスワードの複雑さを満たすポリシーが適用されたり、多要素認証（MFA認証）を必須にするポリシーが適用されたり、パスワードの変更ルール等が適用されますが、セキュリティリスクに意識が向かない事業部署の場合、これらが全て無視され、「簡単なパスワード＆MFA認証なし」等の利用がなされる恐れがあります。

 

これは、個人パソコン等のデバイスをシャドーITとして利用している場合も気をつけなくてはいけない問題です。メーカの保証がきれており、セキュリティアップデートができない古いOSをそのまま使い続けている場合や、ウィルス対策ソフトが最新状態に更新されていない端末をシャドーITとして使われてしまうと、マルウェア感染などによって、そこに保存されていた業務上のデータが全て窃取されてしまう可能性があるのです。

 

３つ目は「設定不備によるセキュリティリスク」です。

 

SaaSは初期設定時から、必ずしも安全なセキュリティ設定が行われているわけではありません。「許可されたアカウント以外は閲覧禁止」等の適切なセキュリティ設定がなされていないままで導入を進めてしまうと、保存されている情報が世界中から閲覧されてしまうような設定不備を残してしまう可能性をはらみます。

 

SaaSがシャドーIT化するもう一つの背景として、「手動で実施する運用管理の限界問題」が挙げられます。特にこの問題は、フルクラウド化に舵を切り、多くのSaaSを使っている企業（場合によっては3桁を超えるSaaSを利用している企業）において、特に重大な問題となります。

 

今までのIT資産の管理方法は、Excelによる台帳管理が主流でした。社内に導入されているオンプレミスサーバーに対し、業務システム名や、ハードウェアのスペック、OSの種類、ネットワークのIPアドレス情報、更新日等を一覧にして管理する、従来型の方法です。

 

オンプレミスサーバーが中心となっていた旧来型のIT環境の場合、次から次へと新しいITサービスを投入するというケースはむしろ稀でした。新しいシステムを１種類社内に導入する際は、要件定義から始まり、システムのサイジング、社内の通信トラフィックの負荷状況等、実運用に載せるまで数ヶ月から数年の期間を有していました。導入したシステムは数年単位、場合によっては数十年単位で活用することを前提としていました。

 

この際のIT資産の管理は、Excel台帳で十分だったのです。何故なら、１度導入が済んでしまうと、ハードウェアのスペックやIPアドレスなどはほぼ変えることなく運用されます。一度購入してしまうと、土地の場所も、建物も変わらず、老朽化が起こった箇所だけ修繕する「不動産管理」のイメージに近いでしょう。

 

ところが、時代が変わりました。利便性が極めて高く、業務に即使えるようなSaaS群が、まるでスーパーマーケットであらゆる食材が売られているかのごとく、ネット上に数多存在する時代です。SaaSに申し込んで、利用開始ボタンを押せば、その日からすぐにサービスを活用できるのです。ハードウェアのメンテナンスも不要。OSのアップデートも必要ない。ただ利用するだけでよいSaaSの利便性に気づいた企業は、どんどんSaaSを利用します。そして、従来型の管理方法を用いて、Excel管理台帳に利用しているSaaSをどんどん追加していくのです。

 

ところが、SaaSの利用が増えれば増えるほど、今度は違う問題に直面します。「あまりにも多くなりすぎて、SaaSの管理をやりきれない」という問題です。「このSaaSの利用ーは？権限は？退職者は削除した？」というID管理の問題から「このSaaSにはMFAの設定を施したが、このSaaSにはMFAを施していたか？」などの認証管理の問題。「外部への共有設定はどう設定不備によって、機密情報などを外部に公開していないか？などの運用上の設定不備の問題などです。

 

そして、社内で利用されるSaaSが増えれば増えるほど、従来型のExcel管理台帳管理とは相容れないことに気づき、「もはや管理は事実上不可能」と匙を投げ、旧来型のExcel管理台帳には、利用中のSaaSの種類と、利用開始日だけが残ります。初期導入時に入力した利用ID数は、もはやその数を正確に追うことができず、更新されずに放置されてしまうのです。これを「SaaSスプロール（SaaSの蔓延・乱立）」といいます。組織内で把握しきれないほどSaaSが増殖し、管理不能になる状態となるのです。

 

利便性を優先する従業員心理とルールの乖離

 

さらに、利便性の追求のもと、本来であればスピード感をもって導入可能な点にメリットのあるSaaSの利用について、「承認フロー」という旧来型の社内制度が足かせになることがあります。

 

特に、競争が激化している中でスピードを優先するような部署や、ビジネスを少しでも前に、早めに進めたいと考える、優秀な社員にとってみたら、いちいち承認フローを通して利用するタイムラグよりも「とりあえず自分のクレジットカードでもいいから早く使いたい」という動機が先にたち、会社からの許可を得ずにして使ってしまう、というシャドーITを生み出すことにも繋がります。このようなことが複数箇所で同時多発的に起こると、会社の至る所にシャドーITが存在する、という極めて危険な状態になるのです。

 

なお、先の話にも繋がることですが、旧来型の承認フローは、導入時のチェック機能としてどのようなSaaSが使われるのか、ということを会社として把握できるため、一定の効果はありますが、その後の運用が適切なのかをチェックするものではありません。そのため、利用者がプランを自動的にアップグレード（またはダウングレード）したとしても、それを把握することができない点に注意が必要です。

 

シャドーITの解消は、会社のセキュリティ対策として極めて重要な対策の一つです。対策を進めるにあたり、利用状況の可視化、ガイドラインの策定、公認SaaSツールの整備をする等、シャドーITを出さないための仕組みについて解説します。

 

利用状況の可視化とガイドラインの策定

 

シャドーITを解消するための最も有効な手段は「利用状況の可視化」に尽きます。セキュリティの大原則である「見えないものは守れない」に基づき、まずは利用実態を可視化します。可視化の方法としては２種類あります。「システムツールの利用」と「社内ヒアリング（アンケート）」です。

 

「システムツールの利用」は、すでに運用がなされている前提ではありますが、既存環境で利用しているツール類を積極的に活用して、シャドーITを把握する方法です。たとえば、ネットワークの出入り口にあるFirewallやUTM（統合脅威管理）が、Webアプリケーションログを取得できるものであれば、どのSaaSを利用しているのかを把握することができます。Proxyサーバーを介して社外ネットワークにアクセスする方法を利用している場合はProxyサーバーのログを確認し、そこからSaaSの利用状況を確認することもできるでしょう。

 

エンドポイント端末に、IT統合資産管理ツールが導入されている場合は、そこからWebアクセスのログを抽出し、SaaSの利用状況を確認することもできます。EDRが導入されている場合、外部のIPアドレスやWebアプリケーションのアクセス状況が確認できます。

 

CASBやSASE等が導入されている場合は、すでにアクセスされているSaaSの状況は実態として捕捉されていることでしょう。

 

それぞれ取得したログ情報から、会社標準SaaSを引くことで、シャドーITが見つかります。

 

取得したログ情報 ー 会社標準SaaS ＝ シャドーIT

（UTM、Proxy、IT資産管理ツール等）

 

このようなツールが導入されていない場合、あるいはエンドポイントデバイスとしてのシャドーITの実態を調査するには、社員ヒアリング（アンケート）によって情報を入手します。気をつけるべきは、誠実に答えてくださる社員の皆様を咎めることはしない、と会社として約束することです。

 

シャドーITを使っている社員の皆様には、その利用の背景があるはずです。決して咎めることなく、今後、より社員の皆様に働きやすい環境を整えていく、という前提の上にたち、業務利用の背景（何故、そのSaaSを使っているのか等）や、どのように業務で利用しているのか、を確認します。

 

また、シャドーITを防ぐに当たっては、社員向けにガイドラインを作成した上で、そのガイドラインに基づいた社員教育を行うことが重要です。シャドーITを意識したことがなかった社員も中にはいることでしょう。業務効率や生産性向上のためにと、良かれと思って利用している社員もいるかもしれません。

 

そのような状況の中で、IT資産の利活用に関する一定の基準を設け、会社として使用が許可されているITツール（SaaS含む）、使ってはいけないITツール（SaaSや私用端末、私用USBメモリ等）を明確に定義し、全社員にその内容を水平展開するために、セキュリティ教育のような形で認識を統一するのが望ましいでしょう。

 

なお、ガイドラインの展開に当たっては、会社のトップ（社長）や情報セキュリティ役員（CISO）から伝えることで、組織としての本気度を伝えることができます。

 

従業員のニーズを汲み取った代替案の提示

 

シャドーITが生まれる問題の真意は、会社のことを大切にしている仕事熱心な社員が、より仕事を進めやすくしたり、自宅に帰ってまでも仕事をしようとする、会社にとっては戦力となる優秀な社員が多いのです。

 

そのような仕事熱心な社員のマインドを「シャドーITになるから使ってはいけません」といった、禁止事項を羅列するよりも、シャドーITを生み出さないように、会社として「便利なものは積極的に使って構わない」という前提で、特にシャドーITをすでに利用している社員の声に耳を傾けるべく、対話ベースで意見を集約するのが望ましいでしょう。

 

会社として、サンクションIT（会社公認SaaSツール）等を公開するのも効果的です。社内で利用するイントラネット環境内に、「これなら使っていいですよ」という公認SaaSツールを開示することで、社員の皆様が探す手間や、利用申請の手間を省くことができます。

会社が把握できていない「シャドーIT」は、それを放置してしまうと、組織のガバナンスに直結する情報事故の危険性をはらむ、極めて危険なリスクを腹に抱えて、事業経営をすることになります。

 

また、Excel台帳や承認フロー等、人の努力で成立するような旧来型の管理形態は、SaaS利用数が増えれば増えるほど、社員数が増えれば増えるほど、運用そのものの崩壊を招いたり、スピードを重視する社員の足かせになる、という別のリスクをはらみます。

 

シャドーITを解消するための方法として、まずは利用状況を可視化することも述べました。ただし、この方法も人海戦術の域から抜けることができていません。

 

次号では、ITテクノロジーを活用し、上述した課題を人海戦術ではなく、SaaSの設定不備等を自動で検知・修正したり、シャドーITを自動的に見つける等の役割を果たす、「SSPM（SaaS Security Posture Management）」について解説します。