使える! 情シス三段用語辞典35
「シャドーIT」


常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。ジョーシスでは数々のIT用語を三段階で説明します。


一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明


取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

一段目 ITの知識がある人向け 「シャドーIT」の意味

「シャドーIT(Shadow IT)」とは、従業員が所属する企業や団体の許可を受けていない、私的な機器やクラウドサービスを勝手に業務で使用していることをいう。


シャドーITを行う従業員が所属する企業や団体が、適切なセキュリティ対策を施していなかったり、シャドーITの存在を知らなかったりすると、セキュリティ上で大きなリスクが生じる可能性が高まる。


シャドーITでは、私的な機器を会社に持ってきていない場合でも安全ではない。


例えば、家で仕事をするために業務上の重要なファイルを持ち帰ったり、メールで送って個人のPCで作業した場合、もし自宅のパソコンがウイルスに感染していれば、会社の大切な情報が外部に漏えいする危険性がある。また、間違ってSNS(ソーシャル・ネットワーキング・サービス)などで、他人に大切なデータを送ったり、公開をしたりすれば機密情報の漏えいにつながる。


このように、シャドーITは会社のセキュリティ対策を考える上で非常に重要になるが、現状では私物の機器の持込みを黙認している会社は少なくない。私的な機器でも会社が許可し、適切な運用がなされているものは「BYOD(Bring Your Own Device:個人所有の機器の業務利用)」といい、セキュリティ面での問題はないとされる。

二段目 ITが苦手な経営者向け

社長の会社では、会社が支給したPCやタブレット端末、スマートフォン以外に私物を持ち込んで使っている従業員はいませんか?


え、けっこういる? それは会社で「BYOD(Bring Your Own Device:個人所有の機器の業務利用)」を導入して使っている機器ですか? もしそうでなければ、会社が把握していない私物です。


それは「シャドーIT」といってセキュリティ上で大きな問題のある状態なのです。


もしかすると、社員が、その機器に業務上大切な情報を入れて、家に持ち帰っていたり、会社の知らないクラウドサービスにアップしたりしているかもしれません。いや、その可能性は高いでしょう。


そうであれば、会社の大事な業務情報や機密情報が、知らないところで、個人管理されていることになります。そして、それは情報漏えいなど、セキュリティ事故を引き起こす要因につながります。


そして、もし会社を辞める人間が、そのままその機器を使い続けたら情報はどこに持ち出されてしまうか分からないのです。


従業員に私物の機器を使わせるならば、「BYOD」として、会社がその存在を把握し、しっかり対策を行った上で使用を許可することです。そうしないと「影」、つまり「会社が見えないIT機器」という危険な存在になってしまうのです。ご注意ください。

三段目 小学生向け

みなさんのお父さんやお母さんは、会社で仕事をする時にパソコンを使います。それは、会社がいろいろなチェックを行って、安全に利用できるようにした上で使うことを許可した「安全パソコン」です。


そのわけを話します。お父さんやお母さんは、仕事で使う大切なデータをパソコンで扱います。ところが、今は悪い人たちがいて、そのパソコンから大切なデータを盗もうとするのです。


そんなことがないように、会社は「安全管理が厳重にされた『安全パソコン』だけを使うように」とお父さんやお母さんに命令します。つまり、会社が許可したパソコンでなければ使ってはダメなのです。


ところが、会社に勤めている人の中には「この『安全パソコン』は使いにくい! だから、自分が家で使っている『個人パソコン』を使おう!」と勝手に決めて、会社に無断で使う人がいます。


この会社にだまって勝手に使う『個人パソコン』のことを「シャドーIT(あい・てぃー)」といいます。


パソコンだけではありません。タブレットやスマートフォン(スマホ)も、会社は、悪い人たちに悪用されないようにチェックした「安全タブレット」や「安全スマホ」を渡してくれます。


なぜなら、タブレットやスマホにも会社の大事なデータがたくさん入るからです。それが悪い人たちに渡っては会社としては困ってしまうのです。


ところが「使いにくい! 私は自分のスマホで仕事する!」と勝手に自分のスマホで仕事をしてしまう人がやっぱりいます。これも会社が管理していない「シャドーIT」なのです。


会社がキチンと管理をしていないシャドーITを使う人が多くなると、会社の大切なデータが盗まれる確率が高くなります。だから、会社は「安全パソコン」などの「会社が認めたものだけを仕事に使いなさい」と、シャドーITを使う人に厳しく命令をしなければいけないのです。


みなさんは学校でちゃんと決められたものだけを持ち込むようにしましょうね。

この記事は株式会社パシフィックネットが運営していたWebメディア「ジョーシス」に 掲載されていた記事を転載したものです。
2017年2月14日掲載