あなたは「シャドーIT」という言葉をご存知でしょうか?
クラウドを活用している中小企業では無視できない、情報漏えいにつながる新たなリスクとして問題視されています。
経営者が知っておくべき企業に襲いかかる「シャドーIT」の脅威と対策についてご紹介します。
「シャドーIT」とは?
自宅に仕事を持ち帰りたいと考え、クラウドストレージやメールを使って、自宅のパソコンに業務用のデータを送ったことはありませんか?
シャドーITとは、企業内で許可されていない私物のパソコンやタブレット端末・各種クラウドサービスなどを仕事上で使うことをいいます。
BoxやAmazonといったクラウドサービスの普及とともに、使い慣れたデバイスやサービスを個人の判断で自由に利用してしまうことのリスクを表現する言葉としてよく用いられるようになりました。
「シャドーIT」にはどんなリスクが?
- 自宅で仕事をするときのリスクとは
- 私物のパソコンやタブレット端末は、会社で支給されるものよりセキュリティレベルが低いことがあります。
その分マルウェアに感染する危険性が高くなり、自宅のパソコンがデータを勝手にデータを外部に漏えいさせてしまう可能性があります。
会社に私物を持ち込んでいるわけではないので気づきにくいですが、仕事のファイルが悪意ある第三者の手に渡ってしまう恐れがあります。
- 私物のスマートフォンやタブレット端末を紛失してしまうおそれ
- スマートデバイスから会社のデータを閲覧や保存をした後、端末自体を紛失してしまうこともあります。
第三者の手に渡ってしまった場合、悪用されたりインターネット上に公開されてしまう恐れがあります。
こうして流出してしまったデータが機密情報だった場合は、経営に大きなダメージを与えることになります。
- 社内のデータをごっそり持ち出されることも…
- クラウドについてある程度の知識を持っている社員なら、私物のパソコンやタブレット端末などにファイルをごっそり持っていくこともあり得ます。
例えば退職前の社員がこうした悪質な行為を働けば、企業にとってかなりの実害になってしまうでしょう。
「シャドーIT」はどう対策すればいいのか?
従来の一般的な中小企業では無線LANのセキュリティは、社内から社外に出ていく電波に注目し、悪意ある第三者の侵入を防ぐ対策としてパスワード認証が行われてきました。
しかし、手軽に持ち出せるノートパソコンやスマートフォンの急激な普及によって、とても管理しきれない範囲で個人のスマートデバイスがオフィス内に持ち込まれています。
外部の人間より、IDやパスワードを知っている社員へ向けての対策が必要です。
IDとパスワードだけでは、それを知っているすべての人のどんな端末からもデータにアクセスできてしまいます。
会社が認めたデバイスのみ業務利用を許可するためには、端末の特定が必要不可欠です。
そこで、デジタル証明書を使ったデバイス認証が注目されています。
認証情報を偽装することが困難でありながら汎用性に優れているというメリットがあります。
デジタル証明書のように、シャドーITの対策にはITに関する豊富な知識が必要になることがあります。
しかし、今後はさらに個人の持つスマートデバイスが増大すると予想され、社内のデータを守るために欠かせません。
まずは社員の業務実態を把握し、社内のセキュリティ対策が万全かどうか、データの管理に対する社員の意識が統一できているかどうかを再確認するなどの対策を取りましょう。
クラウド活用でセキュリティ対策も安心!関連記事はこちら
→セキュリティソフトもクラウド化!今までとの違いとは?
→Windows XPのサポートが終わるとどうなる?クラウド導入で企業に革新を
→クラウド活用のためのセキュリティ対策
