Jomo Jomo

シャドーIT調査で発覚した未管理SaaS 47件

経理部門が独断でクラウド会計サービスを導入したことをきっかけに、全社のシャドーIT調査を実施し、未管理SaaS 47件を発見・対策した事例をひとり情シスの視点で解説します。

状況:経理部が勝手にクラウド会計サービスを契約していた

ある日、経理部長から「クラウド会計ソフトの請求書がクレジットカード明細に上がっているが、これは何か」と社長に問い合わせがありました。確認すると、経理部の担当者が上長の承認なく、個人のメールアドレスでクラウド会計サービスに会社の経理データを入力して使用していたことが判明しました。

これは典型的な「シャドーIT」です。IT部門の管理・承認を経ずに、社員が独自にITサービスを導入・利用している状態を指します。この問題をきっかけに、社長から「全社のシャドーITを調査せよ」という指示が出ました。

⚠️ 注意

シャドーITの最大のリスクは「情報漏洩」です。会社のデータが管理外のクラウドサービスに保管されている場合、そのサービスのセキュリティレベルは不明であり、サービスの終了やアカウントの乗っ取りによってデータが流出する恐れがあります。また、退職者がアカウントを持ち出し、そこに保管された会社のデータにアクセスし続けるリスクもあります。

調査フェーズ:シャドーITの全容を把握する

ステップ1:調査方法の選定

シャドーITの調査には、以下の複数のアプローチを組み合わせます。

方法1:社員アンケート

全社員に「業務で使用しているWebサービス・アプリケーション」のアンケートを実施します。

📋 具体例

アンケート項目例:
1. 業務で使用しているWebサービス・クラウドサービスをすべて挙げてください
2. そのサービスに会社のデータ(顧客情報、社内文書等)を保存していますか?
3. 利用開始時にIT担当の承認を受けましたか?
4. ログインに使用しているメールアドレスは会社のものですか?個人のものですか?
5. 費用は会社負担ですか?個人負担ですか?

注意:アンケートは「犯人探し」ではなく「現状把握」が目的であることを明確に伝えてください。処罰をちらつかせると正直な回答が得られなくなります。

方法2:ネットワークトラフィックの分析

ファイアウォールやUTMのログを分析し、社内からアクセスしているクラウドサービスのドメインを洗い出します。

方法3:経費精算・クレジットカード明細の確認

経理部と協力し、過去1年間の経費精算と法人クレジットカード明細からSaaS関連の支払いを抽出します。

方法4:ブラウザ拡張・SSO認証ログの確認

M365やGoogle WorkspaceのSSO(シングルサインオン)認証ログから、社員がOAuth認証で連携しているサードパーティアプリを確認します。

💡 ポイント

ひとり情シスの視点では、完璧な調査を目指す必要はありません。まずはアンケートと経費明細の確認で大枠を把握し、ファイアウォールのログ分析は時間があれば追加で行う程度で十分です。「100%の把握」は不可能ですが、「主要なシャドーITの70%を把握する」だけでも大きな前進です。

ステップ2:調査結果の集計と分類

調査の結果、合計47件の未管理SaaSが発見されました。部門ごとの内訳は以下の通りです。

  • 営業部(18件):CRMツール、名刺管理、Web会議、ファイル共有、チャットツール等
  • 経理部(8件):クラウド会計、経費精算、請求書作成、電子契約等
  • 開発部(12件):GitHub、CI/CDツール、プロジェクト管理、コミュニケーションツール等
  • 総務部(5件):勤怠管理、福利厚生、社内Wiki等
  • 全社横断(4件):翻訳ツール、AIチャット、ファイル変換、スクリーンショットツール等

ステップ3:リスク分類

発見された47件のSaaSを、リスクレベルに応じて以下の3段階に分類します。

高リスク(即座に対応が必要):12件

  • 会社の機密情報(顧客データ、経理データ等)が保管されているサービス
  • 個人アカウント(個人メールアドレス)で利用されているサービス
  • セキュリティ認証(ISO 27001等)を取得していないサービス
  • 無料プランで利用されており、データの取り扱いポリシーが不明なサービス

中リスク(計画的に対応):20件

  • 業務データの一部が保管されているが、会社アカウントで利用されているサービス
  • 他社の類似サービスと重複しているサービス

低リスク(管理台帳に登録して監視):15件

  • 個人の生産性向上ツール(翻訳、画像変換等)で、会社データの保管がないサービス

📋 具体例

高リスクの具体例:
・営業部が個人Gmailで登録したCRMに顧客情報500件を保管 → 即座にデータをエクスポートし、会社管理のCRMに移行。個人アカウントを削除
・経理担当が個人アカウントで使用していたクラウド会計に決算データを保管 → 会社アカウントに切り替え、管理者権限をIT担当に付与
・開発部が無料プランのファイル共有サービスにソースコードを保管 → 会社管理のGitHub Organizationに移行

対策フェーズ:ルール策定と環境整備

ステップ4:SaaS利用ポリシーの策定

シャドーITを根本的に防止するために、SaaS利用に関するポリシーを策定します。

ポリシーの主要項目

  • 利用申請ルール:新しいSaaSの利用にはIT担当の事前承認が必要。申請フォーム(Googleフォーム等)を用意
  • アカウント管理:SaaSのアカウントは必ず会社のメールアドレスで作成。個人メールでの登録は禁止
  • データ保管ルール:顧客情報や機密情報をSaaSに保管する場合は、セキュリティ評価を必須とする
  • 退職時の対応:退職者のSaaSアカウントの無効化・削除手順を明確化
  • 費用管理:SaaSの契約・支払いはIT担当または経理を通す。個人のクレジットカードでの支払いは禁止

⚠️ 注意

ポリシーが厳しすぎると、社員がポリシーを無視してシャドーITを続けるか、そもそも業務効率が低下します。「すべてを禁止する」のではなく、「必要なものは正しい手続きで使えるようにする」姿勢が重要です。社員がシャドーITに走る理由の多くは「会社が提供するツールが不便」「申請手続きが面倒」です。この根本原因を解消しなければ、ポリシーだけでは問題は解決しません。

ステップ5:承認済みSaaS一覧(ホワイトリスト)の作成

調査で発見されたSaaSのうち、業務に有用と判断されたものを「承認済みSaaS」として公式に認定します。

📋 具体例

承認済みSaaS一覧(例):
・コミュニケーション:Microsoft Teams(全社標準)
・ファイル共有:SharePoint Online / OneDrive for Business(全社標準)
・プロジェクト管理:Backlog(開発部)
・CRM:Salesforce(営業部)
・経費精算:楽楽精算(経理部)
・名刺管理:Sansan(営業部)
・Web会議:Microsoft Teams / Zoom(全社)

この一覧は社内ポータルに掲載し、社員が「どのツールを使えばよいか」を迷わないようにします。

ステップ6:CASB(Cloud Access Security Broker)の検討

将来的に、CASBの導入を検討します。CASBは社員のクラウドサービス利用を可視化・制御するセキュリティソリューションです。

  • Microsoft Defender for Cloud Apps:M365 E5ライセンスに含まれる。M365環境との親和性が高い
  • Netskope:業界をリードするCASB製品。詳細なポリシー制御が可能
  • Cisco Umbrella:DNS層でのセキュリティ。比較的低コストで導入可能

💡 ポイント

CASBの導入は予算的にハードルが高い場合もあります。ひとり情シスの現場では、まずはM365のセキュリティ機能(条件付きアクセス、MCASの基本機能)を活用し、ファイアウォールのURLフィルタリングで明らかに危険なサービスをブロックする程度から始めるのが現実的です。完璧なシャドーIT対策を目指すよりも、「社員が正しいツールを便利に使える環境」を提供することが最大の予防策です。

SaaS管理台帳の運用

管理台帳に記録する項目

  • サービス名とURL
  • 利用部門と利用者数
  • 契約形態(月額/年額、フリー/有料)
  • 契約更新日
  • 管理者アカウント情報
  • 保管データの種類(機密度)
  • 二要素認証の有無
  • SLAとデータバックアップの有無

この台帳をExcelまたはSharePointリストで作成し、四半期ごとに棚卸しを実施します。

まとめ

  • シャドーITはどの企業にも存在する問題であり、「ゼロにする」よりも「把握して管理する」ことが重要
  • 調査はアンケート・経費明細・ネットワークログの3方向から実施する
  • 発見されたSaaSはリスクレベルで分類し、優先度をつけて対応する
  • 厳しすぎるポリシーは逆効果。社員が正しく使える環境を整えることが最大の予防策
  • SaaS管理台帳を作成し、定期的な棚卸しで継続的に管理する