あなたの会社は大丈夫!?裏ではびこるシャドーIT
シャドーITと言う言葉を聞いたことがあるでしょうか。もしも、あなたが企業のIT部門担当者ならきっと頭を悩まさせている問題でしょう。
シャドーITとは、企業のセキュリティーポリシーを無視した行為が従業員にはびこることをいいます。例えば、私物であるスマートフォンの業務利用や許可されていないWEBサービスの利用のことです。
シャドーITというのはいかにも和製英語のように見えるかもしれませんが立派に海外でも通用する言葉(Shadow IT)になっているほどです。
つまり世界中の企業を脅かす問題となっているというわけです。
従業員の悪気のない行為が企業を脅かす
こんな経験はないでしょうか。仕事がたまりにたまって、業務時間はおろか残業しても終電までに到底仕事が終わらない。やりたくないけど仕事を自宅に持ち帰って続きをしようと思った時、会社が許可しているWEBサービスでは、社外からデータを取り出せない。
そこで、たまたま見つけたクラウドストレージサービスが利用できたのでファイルをクラウドサービスに預けて自宅で仕事をした。
または、得意先回りで得た情報を忘れては困るので、個人のスマートフォンの個人のメールアドレスから会社のメールアドレスに情報を送信した。
このような、やっている側として悪意は全くなく、許可されていないWEBサービスの利用や私物スマートフォンの利用することよって、企業の極秘情報が流出や漏洩するといった最悪の事態になりかねません。
それは、もしも、たまたま見つけたクラウドストレージサービスが実はデータを公開する設定だったとしたら?もしも、顧客情報を送信した私物のスマートフォンを紛失したら?そんなことになったら目も当てられません。
このようなシャドーITには常にリスクがつきまとうので、企業のIT担当者は頭を悩ましています。
セキュリティーポリシーを厳しくすると余計に悪化する
シャドーITについて頭を悩ませる企業のトップやIT担当者がまず考えるのはセキュリティーポリシーの強化でしょう。
しかし、それは多くの場合、逆効果にしかなりません。セキュリティーポリシーを厳しくすればするほど、業務の生産性は落ち、従業員のモチベーションは下がります。
そして、さらに見つかりにくいシャドーITへと発展していくのです。
では、セキュリティーポリシーを厳しくせずにシャドーITを無くす方法はあるのでしょうか?
業務のニーズを把握し、着地点を探そう
むやみにセキュリティーポリシーを厳しくしても意味がないのは説明したとおりです。
では、一体どのように対応すれば良いのでしょうか。
企業のインフラやITの担当者は、日々セキュリティーポリシーを遵守することに忙殺されがちで、実際の業務にはどのようなニーズがあるかを検討することは二の次になっている事が多いようです。
しかし、ビジネスを円滑に回していくためには、ある程度の柔軟性が必要な場面があります。
ビジネスの担当者に対して、いかにセキュリティやITに関して教育を行ったとしても、それが業務として不便をしいている、効率が悪くなっている場面においては、シャドーITが発生する土壌が醸成されている考えられます。
IT担当者は、セキュリティーポリシーを強化しながらも、ビジネスの要件について常にアンテナを広げておく必要があります。
例えば、スマートフォンの持ち込みを許可した方がビジネスが円滑に進むのであれば、逆にどのような制限をつけれれば、私物のスマートフォンを業務に使用できるか考えるべきですし、業務について必要なサービスの要件を収集して、数あるウェブサービスからビジネスの要件に合致したセキュアなサービスを選択する必要があります。
ITの発達は日常生活にまで入り込んでいますので、会社と個人の境目が昔よりも曖昧で、不可分な物となってきています。これをきっちり線引きをするのは難しいので、許容できる方法を見つける事が先決なのです。
全て禁止ではなく共存していく方法を検討することが重要
シャドーITは、従業員に悪意がなく情報が漏洩や流出のリスクが存在し、それが実際発生した場合には、会社にとっても従業員にとっても悲劇です。
そうかといって、全てをセキュリティーポリシーで禁止したとしても、全てを完全に監視しきれるはずがありません。
ですので、シャドーITによる損害が発生する前に会社としてBYODを認めることや、利用可能なWebサービスを指定する、新しいサービスの利用などに対して前向きに検討するなどの対応を進めることが重要です。