シャドーIT
シャドーITとは?
「シャドーIT」とは、企業の従業員が、会社の管理下にないIT機器を業務活動に利用する行為や状態を指します。私有端末などの業務活用を表す用語としてはBYOD(Bring Your Own Device)がありますが、BYODが企業の許可および主体的な管理を前提としているのに対し、シャドーITは企業側の許可なしに、あるいは利用に関するルールが設けられていない状況でのIT利用を意味することから、情報漏えいなどにつながる新たな経営リスクとして問題視されています。
私有端末の業務利用に高まるリスク
禁止や黙認よりルールを決めて管理を
昨今、「シャドーIT」のセキュリティーリスクが特に懸念されているのが、スマートフォンやタブレット端末などのスマートデバイスです。通話だけでなく、メールの送受信や文書の閲覧・編集、アプリケーションの稼働など多目的に使えるスマートデバイスは、パソコンと同等の機能を備える上に携帯性に優れ、いつでもどこででもネットワークに接続可能。生産性向上への意識が高いビジネスパーソンにとって、使い慣れた“私物”のスマートデバイスを会社の仕事でもフルに活用したいと考えるのは極めて自然な流れでしょう。
そうした私有端末の業務利用を、企業が有効なビジネスツールとして認識し、主体的に管理した上で、これを従業員に進んで活用させるのが先述のBYODの考え方です。一般社団法人日本スマートフォンセキュリティ協会は、BYODを「リスクの認識をした上で、個人所有のスマートフォンの業務利用について組織として意思決定を行い、実際に業務を行うこと」と定義しています。この表現の一部(下線部)を、意味を逆にして入れ替えてみるとどうでしょう。「リスクを認識することなく、個人所有のスマートフォンの業務利用について組織として意思決定もしないまま、実際に業務を行うこと」――まさにシャドーITの状態にほかなりません。
しかし現実にはまだ、前述のようなケースが多いのではないでしょうか。私有端末の業務利用について、会社が明確な方針を示さないまま社員がなし崩しに使っていたり、禁止する建前をとりつつ、見て見ぬふりをしていたり……。いずれにせよ、会社の方針とは関係なく、業務に私有端末を利用するビジネスパーソンは増えていますし、仮に会社が全面禁止にして、業務用のスマートデバイスを一括貸与する方式をとったとしても、社員個々が携帯する“私物”の利用を完全に制限することはできません。逆に会社支給の端末を業務外の私的利用に持ち出して、情報流出や盗難の被害を招くおそれもあります。シャドーITを介した情報漏えいやセキュリティー被害などのリスクは、依然として残されるわけです。
リスクを減らすという意味では、やみくもに利用を禁止して企業側の“管理区域外”に追いやってしまうより、利用に関する規定やしくみを整備・構築した上で許可し、利用を可視化したほうが有利でしょう。情報端末の高度化が進むにつれて、管理面での合理性を重視し、BYODを導入する企業が増えていくことは想像に難くありません。
用語の基本的な意味、具体的な業務に関する解説や事例などが豊富に掲載されています。掲載用語数は1,400以上、毎月新しい用語を掲載。基礎知識の習得に、課題解決のヒントに、すべてのビジネスパーソンをサポートする人事辞典です。
