皆さん、こんにちは。今回は、シャドーITについてご紹介します。シャドーITとは、企業や組織が許可していないデバイスやシステム、クラウドサービスを従業員が使用することを指します。これにより情報漏えいやアカウントの乗っ取りなどのセキュリティ事故が発生する可能性があります。Sky株式会社では、デバイスやクラウドサービスの使用状況を把握するシステムの導入やガイドラインの策定、啓蒙活動を行い、未許可のデバイスやサービスを使用しなくても効率的に業務ができる環境を整えています。
はじめに
昨今、クラウドサービスの利用増加により「シャドーIT」という用語を耳にする機会が増えてきました。
シャドーITとは企業・組織が許可していないデバイスやシステム、クラウドサービスなどを従業員が使用することです。多くの企業で利用されていると言われており、放置しておくと情報漏えいやアカウントの乗っ取り、社内への侵入など、情報セキュリティ事故を引き起こす可能性があります。
シャドーITの被害
シャドーITの被害事例としては、情報通信会社での顧客情報流出、病院での患者情報が誤って公開された事例や、 地方自治体で個人情報が流出した事例などがあります。これらの事例は、セキュリティ対策が不十分なクラウドサービスや公共Wi-Fiの利用、私物端末の紛失などが原因で、情報が第三者に漏洩したり、不正アクセスを受けたりする被害が発生しました。
弊社での取り組み
使用しているデバイスやクラウドサービスを把握できるシステムを導入しています。これにより従業員がどのようなシステムを利用しているか確認ができます。
また、ガイドラインの策定と啓蒙活動を定期的に行うことで、どのような損害が出るのか、事故が発生した場合にどのような責任が問われるかなどを学習することができます。
さらに未許可のデバイスやサービスを使用しなくても効率的に業務ができる環境を整えています。開発業務では様々なクラウドサービスを利用する必要があり、単に禁止するだけでは業務効率の低下を招いてしまいます。社内で利用可能なチャットやオンラインストレージ、
翻訳やAIエージェントなどの導入を進め、安全に利用できる環境を整えています。
最後に
サイバーセキュリティは日々進化し続けており、情報システム部ではこれらの他にも定期的な啓蒙活動や研修を通し、社員の皆様の更なるセキュリティリテラシー向上の取り組みを行っています。