シャドーIT対策
シャドーITとは
シャドーITとは、情報システム部門(情シス)の承認や管理を受けずに、従業員が独自にIT機器やクラウドサービスを業務利用することです。具体的には、個人のDropboxアカウントに業務ファイルを保存する、部門の判断でChatworkを契約する、個人スマホで業務メールを受信するなどの行為が該当します。
シャドーITが発生する背景
シャドーITは従業員の悪意から生まれるものではなく、多くの場合は業務効率化の意図から発生します。
- 公式ツールの不便さ:会社提供のツールが使いにくい、遅い
- 承認プロセスの煩雑さ:新しいツールの導入申請に時間がかかりすぎる
- リモートワークの普及:自宅での作業環境を自分で整える必要性
- 部門の独自判断:IT部門に相談せず部門予算でSaaSを契約
- 無料サービスの手軽さ:個人アカウントで無料利用できるクラウドサービスの普及
シャドーITのリスク
| リスクカテゴリ | 具体的なリスク | 影響度 |
|---|---|---|
| 情報漏洩 | 管理外のサービスに業務データが保存され、退職時に回収不能 | 高 |
| コンプライアンス違反 | 個人情報が海外サーバーに保管され、データ保護法に抵触 | 高 |
| アカウント管理不能 | 退職者のアカウントが放置され、不正アクセスの温床に | 高 |
| マルウェア感染 | セキュリティが不十分なアプリからのマルウェア侵入 | 中 |
| データの分散 | 業務データが複数のサービスに散在し、管理・検索が困難 | 中 |
| ライセンス違反 | 無料版の業務利用が利用規約に違反する場合がある | 中 |
| コスト浪費 | 同じ機能のSaaSが部門ごとにバラバラに契約され重複課金 | 低 |
⚠️ 注意
シャドーITの中でも特に危険なのは、個人のクラウドストレージ(Dropbox、Googleドライブ個人版等)に業務データを保存するケースです。退職時にデータの回収ができず、個人アカウントのセキュリティ設定も管理できません。また、個人アカウントがハッキングされた場合、業務データが漏洩するリスクがあります。
CASB(Cloud Access Security Broker)概要
CASBは、企業と複数のクラウドサービスの間に位置し、セキュリティポリシーを適用するクラウドセキュリティ仲介サービスです。シャドーITの可視化と制御に有効なソリューションです。
CASBの4つの柱
| 機能 | 説明 | シャドーIT対策での役割 |
|---|---|---|
| 可視性(Visibility) | 利用されているクラウドサービスの検出・一覧化 | 未承認SaaSの発見 |
| コンプライアンス(Compliance) | データ保護規制への準拠状況の監視 | 規制違反の検知 |
| データセキュリティ(Data Security) | DLP、暗号化、アクセス制御の適用 | 機密データの保護 |
| 脅威防御(Threat Protection) | 異常なアクティビティの検知・ブロック | 不正アクセスの防止 |
主なCASB製品:
- Microsoft Defender for Cloud Apps(旧Microsoft Cloud App Security):Microsoft 365 E5に含まれる
- Netskope:クラウドセキュリティ分野のリーダー企業
- Zscaler:SASEソリューションの一部としてCASB機能を提供
ポイント:中小企業でCASBを専用製品として導入するのはコスト的に厳しいケースが多いです。しかし、Microsoft 365 Business PremiumにはMicrosoft Defender for Cloud Appsの一部機能(Cloud Discovery)が含まれています。まずはこの機能でシャドーITの可視化から始め、対策の必要性を経営層に数字で示しましょう。
SaaS利用ルールの策定
シャドーIT対策の基本は、ルールの策定と周知です。禁止一辺倒ではなく、従業員のニーズに応える仕組みを作ることが重要です。
SaaS利用ポリシーに含めるべき項目
- 利用可能なSaaSリスト:組織で承認されたSaaSの一覧(ホワイトリスト)
- 禁止行為の明確化:個人アカウントでの業務データ保存禁止、無断契約禁止
- 新規SaaS利用の申請手順:利用したいSaaSがある場合の申請フロー
- データの取り扱い基準:機密情報をSaaSに保存する際のルール
- 退職時の処理手順:SaaSアカウントの無効化と引継ぎ手順
- 違反時の対応:ルール違反が発覚した場合の対処方針
📋 具体例
SaaS利用ポリシーの記載例:
第3条(SaaS利用の原則)
業務に使用するクラウドサービスは、情報システム担当者が承認した「承認済みSaaS一覧」に記載されたサービスのみを使用すること。一覧にないサービスを利用したい場合は、「SaaS利用申請書」を提出し、セキュリティ評価後に承認を得ること。
第4条(個人アカウントの利用禁止)
業務データの保存・共有に、個人で契約したクラウドサービスのアカウントを使用してはならない。やむを得ず一時的に個人アカウントを使用した場合は、速やかに業務用アカウントにデータを移行し、個人アカウントからデータを削除すること。
SaaS利用申請フロー
新規SaaSの利用申請フローを整備することで、シャドーITの発生を抑制しつつ、業務に必要なツールの迅速な導入を実現します。
申請フローの設計
- 申請:利用者がSaaS利用申請書を提出(サービス名、利用目的、対象ユーザー、扱うデータの種類)
- セキュリティ評価:情シス担当がセキュリティチェックリストに基づき評価
- 提供元企業の信頼性(ISO 27001、SOC2等の認証取得状況)
- データの保管場所(国内/海外)
- 暗号化の有無(通信中・保管時)
- SSO/SCIM対応
- 契約終了時のデータエクスポート/削除の保証
- SLA(稼働率保証)
- コスト評価:既存SaaSとの機能重複確認、費用対効果の検討
- 承認:情シス担当→上長→経営層の承認フロー(金額に応じた承認権限)
- 導入:アカウント作成、SSO設定、利用者への操作説明
- 台帳登録:SaaS台帳への追加と契約更新カレンダーの登録
ひとり情シスの視点:申請フローが複雑すぎると「面倒だから勝手に使おう」とシャドーITを助長します。申請フォームはGoogleフォームやMicrosoft Formsで簡素化し、3営業日以内に回答することを目標にしましょう。軽微なSaaS(無料の個人利用ツール的なもの)と重要なSaaS(業務データを扱うもの)で評価レベルを分けるのも有効です。
定期棚卸し
SaaS棚卸しは、一度実施して終わりではなく、定期的に繰り返すことが重要です。
棚卸しの実施サイクル
| 頻度 | 対象 | 確認内容 |
|---|---|---|
| 毎月 | ライセンス数 | 未使用ライセンスの確認、退職者アカウントの残存チェック |
| 四半期 | 利用状況 | 各SaaSのアクティブユーザー数、利用頻度の確認 |
| 半年 | セキュリティ | SaaSのセキュリティ設定の見直し、新たなシャドーITの調査 |
| 年1回 | 全体レビュー | SaaS一覧の見直し、コスト最適化、契約条件の交渉 |
シャドーIT検出の手法
- ネットワークログ分析:ファイアウォールやプロキシのログから未承認SaaSへのアクセスを検出
- Entra IDのサインインログ:OAuth認可を与えたサードパーティアプリの一覧を確認
- CASB(Cloud Discovery):Microsoft Defender for Cloud AppsのシャドーIT検出機能
- ブラウザ拡張機能の監視:Chrome拡張やEdgeアドオンの中にデータ送信するものがないか確認
- 経費精算の定期チェック:SaaS関連の経費申請を定期的にレビュー
📋 具体例
四半期棚卸しレポートの構成例:
- SaaS一覧(現状):承認済みSaaS25種、新規追加2種、廃止1種
- コストサマリ:月額総コスト ¥385,000(前期比+¥15,000)
- ライセンス利用率:Salesforce 85%、Slack 92%、Zoom 45%(要見直し)
- シャドーIT検出:営業部でCanva個人版の利用を3件検出→承認済みSaaSへの切り替え推奨
- セキュリティ状況:SSO未連携のSaaS 5種→うち2種のSSO設定を完了
- 推奨アクション:Zoomのライセンス数を30→20に削減(年間¥120,000削減見込み)
ひとり情シスの視点:シャドーIT対策は「取り締まり」ではなく「環境整備」のアプローチが効果的です。従業員がシャドーITに頼る理由を理解し、公式ツールの改善や新しいSaaSの迅速な承認で対応しましょう。定期的な棚卸し結果を経営層に報告することで、IT投資の予算確保にもつなげられます。
✅ 完了済み