シャドーITとは何ですか？

企業のIT部門が把握・管理していない状態で、従業員が独自に業務に使用しているITサービスやデバイスのこと。便利だが情報漏洩のリスクがある

シャドーITのポイントは？

個人のクラウドストレージ、チャットアプリ、フリーのWebサービスなどが典型例。テレワークの普及で私物デバイスの業務利用が増え、シャドーITのリスクが高まっている。情報漏洩、コンプライアンス違反、セキュリティインシデントの原因になりうる。一方的に禁止するのではなく、安全な代替サービスを用意することが対策の鍵

【しゃどーあいてぃー】

シャドーIT とは？

💡 会社が知らないところで使われている「影のIT」

📌 このページのポイント

個人のクラウドストレージ、チャットアプリ、フリーのWebサービスなどが典型例
テレワークの普及で私物デバイスの業務利用が増え、シャドーITのリスクが高まっている
情報漏洩、コンプライアンス違反、セキュリティインシデントの原因になりうる
一方的に禁止するのではなく、安全な代替サービスを用意することが対策の鍵

シャドーITのイメージ

ひよこ

シャドーITって具体的にどういうこと？

ペンギン先生

たとえば、会社の承認を得ずに個人のGoogleドライブに業務ファイルをアップロードしたり、LINEで仕事のやり取りをしたりすること。便利だから悪気なくやりがちだけど、IT部門からすると管理外のリスクなんだ

ひよこ

なんでそれが問題なの？

ペンギン先生

個人アカウントに会社のデータが入っていると、退職時にデータが持ち出されたり、アカウントが乗っ取られて情報が漏洩するリスクがあるよ。あとGDPRのような法規制に引っかかる場合もあるね

ひよこ

でも会社のツールが使いにくいから仕方なくない？

ペンギン先生

まさにそこがポイントで、シャドーITが発生する原因は「公式ツールが不便」なことが多いんだ。だから対策として禁止するだけじゃなく、使いやすい公式ツールを整備する方が効果的だよ

ひよこ

企業はどうやってシャドーITを把握するの？

ペンギン先生

CASBというクラウドの利用状況を監視するツールを使ったり、ネットワークのトラフィックを分析して未許可のサービスへのアクセスを検出したりするよ。最近はSASE（Secure Access Service Edge）のようなゼロトラスト型のソリューションで一元管理する方向に進んでるね

まとめ：ざっくりこれだけ覚えればOK！

「シャドーIT」って出てきたら「会社に無断で使っているITツールやサービス」と思えればだいたいOK！

📖 おまけ：英語の意味

「Shadow IT」＝影のIT

💬 「Shadow（影）」のように、IT部門の目に見えないところで使われるITという意味だよ

← 用語集にもどる