社員が業務で使うツールを、IT部門が把握していない——そんな状況が当たり前になっていませんか。社員が勝手に使い始めたクラウドストレージ、個人のスマホからアクセスする会社のメール、申請なしに導入されたSaaSツール。これらをまとめて「シャドーIT」と呼びます。
悪意はなく、むしろ「仕事をもっと効率化したい」という善意から生まれるのがシャドーITの特徴です。だからこそ、禁止するだけでは根絶できず、情シス担当者が見落としやすい落とし穴になっています。
この記事では、シャドーITが生まれる構造的な理由から、情シス1人でも実践できる可視化・統制の手順、そして社員の反発を生まずに運用できる現実的なルール整備まで、現場目線で解説します。
シャドーITとは?なぜ今これほど問題になっているのか
シャドーIT(Shadow IT)とは、IT部門の知識・承認なしに社員が業務で利用しているクラウドサービス・アプリ・デバイスのことを指します。
代表的なシャドーITの例を挙げると、次のようなものがあります。
・個人のGoogleドライブやDropboxに業務ファイルを保存している
・LINEやWhatsAppで取引先と業務連絡をしている
・ChatGPT等のAIサービスに社内情報を貼り付けて利用している
・会社支給PC以外の私物スマホやタブレットで社内システムにアクセスしている
・ITチームへの申請なしにSaaSツールのトライアルを開始している
これらが問題になっている背景には、クラウドサービスの爆発的な普及があります。以前はソフトウェア導入にIT部門の関与が必須でしたが、今はクレジットカード1枚あれば誰でも即日サービスを使い始められます。コロナ禍以降のリモートワーク普及で、この傾向はさらに加速しました。
ガートナーの調査によると、企業のITセキュリティ部門が把握していないクラウドサービスの数は、把握しているサービス数の10倍以上に上るとされています。中小企業でIT部門が1人体制の場合、この比率はさらに高くなることが容易に想像できます。
シャドーITが引き起こすセキュリティリスク
シャドーITは、IT部門が管理できない「見えないリスク」を組織内に蓄積させます。具体的に何が起きるのかを整理しておきましょう。
・情報漏えい: 無料クラウドストレージのデフォルト設定が「公開」になっており、社内の機密資料が誰でも閲覧できる状態になってしまうケース
・マルウェア感染の経路: IT部門が脆弱性を把握していない野良SaaSを踏み台にした攻撃。アップデートが適用されないまま放置されたソフトウェアは格好の攻撃対象です
・不正アクセスの見落とし: 管理外のサービスはSIEMやログ監視の対象外になるため、不正アクセスがあっても検知できない
・コンプライアンス違反: 個人情報保護法・GDPR等の規制上、どこにどのデータが保存されているかを把握する義務がある。管理外サービスへのデータ流出は違反に直結する
・退職者によるデータ持ち出し: 退職後もアクセス権が残るサービスが存在し、情報の持ち出しに気づかない
シャドーITを可視化する方法(まず敵を知る)
禁止令を出す前に、まず「社内でどのサービスがどれだけ使われているか」を把握することが先決です。把握もせず禁止しても、アンダーグラウンドに潜るだけです。
1. プロキシ・DNSログから検知する
社内ネットワークを経由したインターネットアクセスであれば、プロキシサーバーやUTM(統合脅威管理)のログに記録が残ります。ドメインのアクセス履歴を集計するだけで、社員がよく利用している外部サービスの全体像をつかめます。
オープンソースのSquid(プロキシ)や、多くのUTMに付属するURLフィルタリングのログ機能で取得できます。まずは1週間分のDNSクエリログを集計してみましょう。
# DNSクエリログ集計の例(Squidプロキシ) # アクセス先ドメインを集計して多い順に表示 awk '{print $7}' /var/log/squid/access.log | \ grep -oP '(?<=://)([^/]+)' | \ sort | uniq -c | sort -rn | head -30
2. アンケート・ヒアリングで洗い出す
ログで拾えないのが、社内ネットワークを介さないアクセス(社員の私物スマホのモバイル回線など)です。これは技術的な検知が難しいため、部門ごとのヒアリングが有効です。
「業務で使っているツールを教えてください(正直に回答しても責めません)」という形で匿名アンケートを実施すると、思わぬサービスが浮かび上がることがあります。咎めない姿勢が前提条件です。
3. クラウドアクセスセキュリティブローカー(CASB)の活用
CASB(Cloud Access Security Broker)は、クラウドサービスの利用を可視化・制御するためのセキュリティソリューションです。「どの社員が」「どのサービスを」「どれだけ使っているか」をリアルタイムで把握できます。
中小企業向けには月額数万円から利用できる製品も登場しています。ただし予算の制約がある場合は、まずプロキシ・DNSログの活用から始め、必要性が明確になってからCASBを検討するのが現実的です。
情シス1人でもできるシャドーIT統制の手順
可視化によって「何が使われているか」がわかったら、次は統制の仕組みを整えます。いきなり全面禁止するのではなく、リスクレベルに応じた段階的な対応が鍵です。
1. 「公認サービスリスト」を整備する
会社として公式に承認したサービスを一覧化した「公認サービスリスト」を作り、社内共有します。ここに載っているサービスは使ってよい、という明確な基準を設けることで、社員の不安と情シスの管理負荷を同時に軽減できます。
公認サービスリストに含めるべき情報は次のとおりです。
・サービス名・URL: 正規のドメインを明記する(フィッシング対策も兼ねる)
・用途・利用可能な業務範囲: 「社内資料の共有はNG、スケジュール共有はOK」など条件を明示
・データ格納制限: 個人情報・機密情報の保存可否
・承認者・承認日: 誰がいつ承認したかの記録
Googleスプレッドシートやノーション(Notion)でシンプルに管理するだけで十分です。形式より「存在すること」が重要です。
2. 申請・承認フローを整備する
新しいサービスを使いたい社員が、情シスに申請→承認を得る仕組みを作ります。このフローが面倒すぎると、社員はそれを回避するためにシャドーITに戻ります。「48時間以内に承認または代替案提示」のような応答速度の基準を設けると信頼感が生まれます。
フォームはGoogleフォームやMicrosoftフォームで十分です。必要な情報は「サービス名・用途・扱うデータの種類・申請者部署」の4点に絞ると、社員が記入しやすくなります。
3. 私物デバイス(BYOD)ポリシーを策定する
BYOD(Bring Your Own Device:私物デバイスの業務利用)は、シャドーITの中でも特に管理が難しい領域です。私物デバイスに対して会社側が強い制御をかけることにはプライバシー上の制約があります。
現実的なBYODポリシーの骨格として、以下の点を文書化することをお勧めします。
・利用許可する業務範囲: メール・スケジュール確認はOK、社内ファイルサーバーへのアクセスはNG、など
・必須のセキュリティ設定: 画面ロック設定・OSの最新化・会社提供VPN経由でのアクセス
・紛失・盗難時の対応義務: 速やかに情シスへ報告し、リモートワイプを許容すること
・退職時のデータ消去: 業務データの削除確認フロー
BYODを全面禁止するのか、条件付きで許可するのかは組織の判断ですが、禁止する場合でも「なぜ禁止なのか」を説明できる状態にしておくことが大切です。
4. 定期的な棚卸しを実施する
公認サービスリストは、作って終わりではありません。SaaSは買収・サービス終了・セキュリティ事故が頻繁に起きるため、少なくとも年1回は全サービスの棚卸しを行いましょう。
棚卸しのチェック項目です。
・現在も使われているか: 使われていないサービスのアカウントは削除する(退職者アカウントの放置防止)
・セキュリティ事故や重大な脆弱性は報告されていないか: ベンダーのセキュリティブログや公式SNSを確認
・契約状況・データ保存先の変更はないか: 買収などでデータの保存国が変わる場合がある
シャドーITを生む職場環境を改善する
シャドーITの根本原因は「公式ツールが使いにくい」「承認フローが遅すぎる」「ITチームが怖くて相談できない」という職場環境にあることが多いです。技術的な統制だけで解決しようとすると、社員とITチームの対立が深まるだけです。
定期的な情シス×現場の意見交換会を設けることで、現場がどんな業務課題を抱えているかを把握しやすくなります。「こんな問題があるなら、公認の代替ツールをこちらで探しますよ」と提案できれば、シャドーITの動機を先回りして摘み取れます。
Linuxのコマンド操作やサーバー管理の基礎については、姉妹サイトLinuxMaster.JPで詳しく解説しています。ネットワークログの取得・分析に必要なLinuxスキルを合わせて身につけることで、シャドーITの検知精度が大きく向上します。
よくある誤解と注意点
「禁止すれば解決する」は誤り
禁止令だけでは、社員は見えないところでツールを使い続けます。むしろモグリが増え、可視性が下がります。禁止と同時に「公認の代替手段」を提示することがセットです。
「クラウドサービスは全部危ない」は誤り
適切に設定・管理されたクラウドサービスは、オンプレミスの自社サーバーより高いセキュリティ水準を持つことも多いです。大切なのはサービスの種別ではなく、「把握して管理できているかどうか」です。
「シャドーITは情シスの責任」とは言い切れない
シャドーITを生む根本には、経営判断・予算配分・組織文化の問題があります。情シス1人で全ての原因を解決することはできません。経営層を巻き込み、BYODポリシーや情報管理規程を会社ルールとして整備することが、根本的な解決への道です。
ChatGPT等のAIサービスへのデータ投稿には特に注意
生成AIサービスへの入力内容が学習データとして利用される可能性があります。個人情報・営業機密・顧客情報の入力は規程で明確に禁止し、利用ガイドラインを整備しておきましょう。
本記事のまとめ
| 課題 | 対策 | 優先度 |
|---|---|---|
| 使われているサービスが把握できていない | プロキシ・DNSログ集計 + 部門ヒアリング | 高(まず着手) |
| 承認フローがなく野良SaaSが増える | 申請フォーム + 公認サービスリスト整備 | 高 |
| 私物デバイスの管理ができていない | BYODポリシー文書化 + セキュリティ要件の明示 | 中 |
| 退職者のアカウントが残存している | 定期棚卸し(年1回以上)でアカウント削除 | 高 |
| AIサービスへの機密情報投稿 | 利用ガイドライン整備 + 禁止データの明示 | 中〜高 |
シャドーITは「社員が悪い」問題ではありません。「公式の手段が使いにくい」「申請が面倒」という構造的な問題が根本にあります。禁止と統制だけでなく、現場が使いやすい公認ツールを整備し、ITチームへの相談ハードルを下げることで、シャドーITを長期的に減らしていくことができます。
シャドーITの管理、どこから手をつければいいか迷っていませんか?
情シス1人体制でもできるセキュリティ管理の実践ノウハウを、メルマガで定期的にお届けしています。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント