企業・団体における情報セキュリティ対策やIT資産管理、サイバー攻撃に関する情報などITに関わるさまざまな情報を随時掲載しています。

Sky株式会社

SKYSEA Client View
情報セキュリティ対策
公開日2025.06.27

第25回知らないうちに使われる「シャドーIT」が招くセキュリティリスク

著者:Sky株式会社

知らないうちに使われる「シャドーIT」が招くセキュリティリスク

他社のシステムに侵入する『ペネトレーションテスト』を業務とする筆者が、攻撃者の目線でセキュリティ対策について考えます。

上野 宣

株式会社トライコーダ 代表取締役

上野 宣

奈良先端科学技術大学院大学で情報セキュリティを専攻。2006年に株式会社トライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。

知らないうちに使われるシャドーIT

クラウドサービスの普及によって、かつては組織内のサーバーで管理していた情報も、今ではさまざまな外部のクラウドサービスで扱われることが増えてきました。

特に組織の情報システム部門が把握しないまま、従業員が勝手に使っているクラウドサービスやアプリケーションは「シャドーIT」と呼ばれ、問題となっています。業務の利便性向上を目的とした善意の行動が、思わぬセキュリティリスクを生むことがあります。

代表的なシャドーITの例を以下に挙げます。

  • クラウドストレージサービス
    (Google ドライブ、Dropbox、Microsoft OneDriveなど)
  • SaaS型アプリケーション
    (Notion、Trello、ChatGPTなど)
  • コミュニケーションツール
    (Slack、LINE、Discordなど)
  • VPNサービス
    (無料VPNアプリ、個人契約のVPNなど)
  • プログラム開発環境やAPI
    (GitHub、Google Cloud Platform、Amazon Web Servicesなど)
  • 名刺管理サービス
    (Sansan、Eightなど)

これらのツールは業務効率を向上させる一方で、組織の統制が及ばないIT資産を増やすことや、情報漏洩やサイバー攻撃のリスクを高める要因にもなっています。

シャドーITの甘い

ケース1 クラウドストレージの設定ミス

ある企業の開発チームではプロジェクトの進行をスムーズにするために、独自にクラウドストレージを使用していました。しかし、アクセス権の設定を誤り、機密情報を含むフォルダがインターネット上で公開される事態に。その結果、検索エンジンを通じて第三者がアクセス可能な状態となり、機密データの流出が発覚しました。

ケース2 無料VPNの通信傍受

リモートワーク環境を整えるため、ある従業員が個人的に無料VPNを利用して社内ネットワークにアクセスしていました。しかし、VPNサービスの運営元が不明瞭で、通信が海外のサーバーを経由。その結果、企業の機密情報が外部に漏洩するリスクが高まりました。

ケース3 生成AIによる情報漏洩リスク

ある企業では、従業員が業務効率化のために生成AIを利用。特に、社内文書の要約やメール作成の補助に活用していましたが、ある日、機密情報を含む社外秘の資料をそのまま生成AIに入力してしまいました。

生成AIは入力されたデータを外部のサーバーで処理するため、適切な管理がされていないと、意図せず第三者に情報が漏洩する可能性があります。この事例では、後に機密情報が外部のAIモデルの学習データとして利用された可能性が指摘され、大きな問題となりました。

シャドーITの管理アプローチ

1 シャドーITの可視化

まず、組織内でどのようなITツールが使用されているかを把握する必要があります。そのために、以下の方法が有効です。

  • 従業員アンケートの実施
    どのツールを業務で使用しているかを把握
  • ネットワークトラフィックの監視
    従業員が利用しているクラウドサービスを特定
  • ASM(Attack Surface Management)ツールの導入※1
    外部から見えるシステムやSaaSの調査

2 シャドーITのリスク評価

シャドーITが組織に及ぼすリスクを評価し、適切な対応策を講じます。

  • 組織のデータを扱うツールかどうかをチェック
  • データの外部共有機能の有無を確認
  • 利用規約やプライバシーポリシーを確認し、安全性を判断

3 利用ルールの策定と従業員教育

シャドーITを完全に排除するのは非現実的であるため、一定のルールを設けて適切な利用を促すことが重要です。

  • 許可されたクラウドサービスのリストを作成し、周知する
  • 無許可のツールの使用を防ぐためのポリシーを策定する
  • シャドーITに関するリスクを従業員に教育し、定期的な研修を実施する

4 技術的対策の強化

シャドーITの影響を最小限に抑えるためには、技術的な対策も必要です。

  • ネットワーク制御
    特定のクラウドサービスへのアクセスを制限
  • ID管理と多要素認証(MFA)の適用
    個人アカウントの不正利用を防止
  • CASB(Cloud Access Security Broker)の導入
    クラウドサービスの利用を監視し、ポリシー違反を検知

無理に排除するのではなく共存を

シャドーITは、従業員の善意を基に広がり続けています。しかし、これを無理に排除するのではなく、可視化・管理・制御の3つのステップを通じてリスクを最小限に抑えることが重要です。

そのためにも従業員と対話しながら、安全かつ効率的な業務環境の提供を目指すことが望ましいです。シャドーITを「敵」として扱うのではなく、適切な管理を行うことで、組織の生産性とセキュリティの両立を実現できます。

(「SKYSEA Client View NEWS Vol.102」 2025年5月掲載)

SKYSEA Client View コラムサイト編集部

SKYSEA Client View コラムサイト編集部は、情報セキュリティ対策やサイバー攻撃対策、IT資産管理に関する情報を幅広く発信しています。
「SKYSEA Client View」を開発・販売するSky株式会社には、ITストラテジスト、ネットワークスペシャリスト、情報処理安全確保支援士、情報セキュリティマネジメントなどの資格取得者が多数在籍しており、情報漏洩対策やIT資産の安全な運用管理を支援しています。