業務連絡はLINEで――企業にひそむ「シャドーIT」の闇
「業務連絡はLINEのグループで済ませる」「Eメールは使わない」――モバイル端末の普及やチャットツールの登場で、ひと昔前なら考えられないような状況がビジネスシーンで起こりつつあります。
個人の端末にダウンロードしたアプリなど、会社から認められていない非公式ITツールの業務利用は「シャドーIT」とも呼ばれ、情報漏えいなどさまざまなセキュリティ事故をもたらすリスクがあるとされます。なぜこうした事態が起きるのか、また、シャドーITによってどのようなリスクが想定されるのかを解説します。
大企業ほどシャドーITが多くなる?
日本の大企業のほとんどは、セキュリティリスクに無関心であるわけではありません。むしろとても敏感で、その対策もきっちりと行っています。その一方で、大企業からの情報漏えいリスクが、たびたびメディアをにぎわせます。いったいなぜでしょうか。
その原因の一端が、シャドーITにある可能性もおおいに考えられます。皮肉なことに「社内セキュリティが厳しすぎる」のかもしれません。例えば、大企業で使われるメールソフトは、セキュリティ対策が強固になされていることがほとんど。しかし、その反面添付ファイルの受信ができない、モバイル端末からチェックできないなどの不便が生じます。 忙しいビジネスパーソンほど、客先回りや現場のチェック、出張などで社外に出ていることが多いもの。社内での利用のみを想定したセキュリティ堅固なITシステムよりも、外出先からでもプロジェクトメンバーとメッセージがやりとりできるチャットアプリやフリーメール、会社の認可外のファイル交換サービスやクラウドサーバーを使うようになるのです。
セキュリティ対策をすればするほど、情報漏えいリスクやサイバー攻撃リスクが高まる――そんな本末転倒な状況が、実際に起きています。
シャドーITで起こるリスク
シャドーITで想定されるリスクとして、一番多いのがなりすましの危険性です。ビジネスパーソンでも、ツイッターやフェイスブック、グーグルのGメールなど、複数のソーシャルメディアやウェブサービスを利用している人が多いでしょうが、こうした人々はパスワードを使いまわしている可能性があります。 パスワードが流出することで、悪意を持った第三者になりすまされて、勝手にツールを利用されたり、情報を抜き取られたりする「なりすまし」のリスクがあります。さらに、この悪意の第三者が、同僚や上司になりすまして「友だち申請」し、業務連絡用のグループチャットに参加するといったリスクもおおいに想定されます。
また、リスクは見知らぬハッカーからのみもたらされるわけではありません。誰でも利用できるウェブサービスでは、退職した社員の参加も考えられます。退職したあとも一友人としてコミュニケーションを図るのは否定されるべきことではありませんが、業務情報にふれられるのは問題です。誰もが円満に退職したわけではない可能性がありますし、ふと魔が差して、以前いた会社の機密情報を、ライバル社や現在の職場に持ち込むことも考えられます。
シャドーITの“黙認”は、情報漏えいの“黙認”と同じ
このように、コンシューマー向けウェブサービスの業務活用には、高い危険性があります。シャドーITを黙認するのは、情報漏えいの黙認と同じこと。しかしその一方で、セキュリティを優先するばかりで融通がきかないシステムでは、ユーザーの使い勝手が悪く、敬遠されるばかりです。
最近では、「情報漏えいやコンプライアンス違反を防ぐための管理・セキュリティ機能」「モバイル対応可などコンシューマー向けサービスに近しい使い勝手のよさ」、さらに「業務に役立つさまざまな機能」を搭載したビジネスチャットも登場しています。シャドーITによるリスクを防ぐためにも、こうしたツールの導入がおすすめです。
参考:
