あなたは大丈夫？ リスクだらけの『シャドーIT』とは

シャドーITとは、企業が管理する情報システムとは別に、社員が無断で業務に私物のパソコンやスマートフォンなどの端末を利用したり、ドロップボックスやGoogleドライブなどのネットサービスを使用することをいう。近年は、企業の管理把握と運用ポリシーの厳守を前提に、個人所有端末の利用を認めるBYOD（Bring Your Own Device）が注目され、トレンドになっているが、シャドーITは隠れてやることから「勝手BYOD」ともいわれる。

たとえば、業務メールを私物のスマートフォンで処理したり、仕事の資料を個人管理のクラウドストレージサービスにあげて自宅作業できるようにしたりとか。来年のアメリカ大統領選出馬を目指すヒラリー・クリントンが、国務長官在任中の公務に個人アカウントを使用していたことから支持率を大きく下げているが、似たようなことをした覚えがある人も少なくはないはずだ。実際、アンケートをとると、半数近い人が無断でデータも持ち出した経験があり、そのことに罪悪感を覚えない割合は全体の３割を占める。個人的な利益のためでなく、仕事のため、会社やクライアントのためにしているという意識が強いからだろう。

しかし、それではあまりに情報漏えいに対する意識が低いと言わざるを得ない。まずは、情報漏えいの原因の70％以上が管理ミスと誤操作で、続く20％が紛失と盗難であることをいま一度見直そう。一般に、個人所有のモバイル端末は利便性に優れて効率も上がるが、会社支給のものと比べてセキュリティレベルが低いことが多く、知らずにマルウェアに感染して、悪意ある第三者の手に仕事のファイルを渡していることがある。また、オンラインストレージなど無料のウェブサービスもセキュリティー対策に難のある場合が多く、しばしば行われる機能変更に気付かず、公開範囲などの設定を変更し忘れることがある。安易に便利さに飛びついて、そのメリットよりはるかに大きなリスクを引き受けるなんてことのないようにしよう。