企業の管理下にないツールやサービスが、現場の独断で業務に利用されている「シャドーIT」。IT管理者にとって長年の頭痛の種となっているこの問題は、コロナ禍での在宅勤務の拡大によってさらに深刻さを増した。しかし、シャドーITに手を出す社員のほとんどは、悪意ではなく生産性を向上させたいがためにそれを使っているはずだ。ハイブリッドワークの世界を迎えようとしている今、企業はシャドーITとどう付き合えばいいのか。対策に向けた考え方とソリューションを追う。
（取材・文／岩田晃久、日高 彰、齋藤秀平）

NRIセキュアテクノロジーズ
現場を交えたルール作りが肝要

　セキュリティ専門サービス事業者のNRIセキュアテクノロジーズには、シャドーIT対応の引き合いが継続的に寄せられている。同社クラウドセキュリティ事業部の境文也・シニアセキュリティコンサルタントは、リモートワークの普及や、データのやりとりにおいてクラウドストレージが主流になってきたこと、各クラウドサービスの接続が容易になったことなど、IT環境の変化がシャドーIT増加の要因として挙げる。
 
　境シニアセキュリティコンサルタントは、シャドーITが生まれる理由として、機密情報の持ち出しといった内部不正の手段として使われるケースと、社員が業務効率化を図るために使用するケースを挙げる。「後者の場合は、社員に悪意があるわけではなく、生産性の向上などビジネスを推進する手段として利用している。企業側はシャドーIT対策をする際、どういった目的で社員が利用しているのか知ることが重要だ」と語る。

　企業側は、業務利用を認めるクラウドサービスやデバイスを明確にして、社員に周知するのが重要となる。その際、厳格なルールにし過ぎると、社員から不満が出たり、情報システム部門の運用負荷が増えるといった課題も生まれる。そのため「各部門のニーズをヒアリングするなどして、ルール作りをするのが大切」（境シニアセキュリティコンサルタント）。「例えば、データをクラウドでやり取りする際に、取引先との関係もありダウンロード先のクラウドサービスを限定するのは難しいが、アップロード先は社内で一つのサービスに限定する。これだけでも（情シス部門の）運用負荷の軽減になる」（同）。最近では、このように社員の要望を取り入れて、従来よりも柔軟なルール作りをする企業が増えているとしている。

　シャドーITで多いのは、許可されていないSaaSを利用するケースだ。そのセキュリティ対策としては、CASB（Cloud Access Security Broker、キャスビー）が有効だとされる。CASBには、利用しているサービスとAPI連携して操作やログインの情報を集約して検知する「API型」▽通信経路上で検知する「プロキシ型」▽集約したログをもとに検知する「ログ分析型」といった種類があるが、境シニアセキュリティコンサルタントは「CASBは製品により対応できるSaaSの種類が異なるため、対応できるSaaSがどれだけあるのかを把握するのが重要となる。加えて、可視化をメインにする場合はAPI型やログ型を、よりクラウドに寄せた対策を施したい場合はプロキシ型といったように、目的を明確にして選定する必要がある」とアドバイスする。

　企業の各部門がパブリッククラウドを許可なく使用するケースもシャドーITの一つだとされる。パブリッククラウドの場合、設定ミスによる情報漏えいが多いため、CSPM（Cloud Security Posture Management）を活用し、設定ミスがないかを速やかに把握し、その後、利用されているパブリッククラウドの利用の許可などを含めた取り扱いを検討するべきだとしている。

　個人のデバイスから企業の契約するクラウドサービスに接続する際は、IDaaSを用いてクラウドサービスへの入り口を一つにし、接続元のデバイスの条件を把握することで対策できる。また、情報の搾取を目的としたシャドーITには、ユーザーの行動を分析し、異常行動が起きた際に検知するUEBA（User and Entity Behavior Analytics）が有効だという。

　これからシャドーIT対策をする企業には「社内でどういったクラウドサービスやデバイスが利用されているのか、CASBで調べたり、社員へのヒアリングを行うなどして、現状把握をするのが先決だ。その上で、社内のルール作りやセキュリティ製品の導入、社員への教育を、段階を踏んで施していく必要がある」と境シニアセキュリティコンサルタントは見解を述べた。