アプリをダウンロードするとき、「利用規約」や「プライバシーポリシー」をよく読まずにチェックしてしまう人が多いように、ITの現場でも同じようなことが起こっています。社員がIT部門の許可なく、自分でツールやサービスを使い始めてしまうことがあるのです。このような行動から生まれるのが「シャドーIT」と呼ばれる問題です。これは、見えにくいけれど大きなセキュリティリスクやコンプライアンス違反につながる可能性があります。2016年にCisco社が行った調査では、IT部門の約80%の社員がシャドーITを使っていたことが報告されました。しかし、社員の意識が高まったことで、この数字はこの10年で大きく減少しました。それでも、最近ではITの購入や導入がIT部門ではなく、各部門(ビジネスユニット)で行われるケースが増えています。Gartner社によると、IT購入の74%がIT部門以外の関与を受けているそうです。そのため、シャドーITの利用は再び増加傾向にあります。さらに2025年現在では、「シャドーAI」と呼ばれる新しい問題も出てきています。これは、AIツールを無断で使うことによるセキュリティ上の大きな懸念となっています。このあとで、シャドーITのリスクと、それを防ぐための対策について詳しくご紹介します。大切なソフトウェア資産を守るために、ぜひご確認ください。
シャドーITとは何でしょうか?
「シャドーIT」とは、会社の正式な許可を得ずに使われているITシステム、デバイス、ソフトウェア、サービスなどのことを指します。つまり、IT部門が管理していない、または認めていない技術を社員が独自に使っている状態です。
多くの場合、社員が仕事を効率よく進めたいと考えたり、IT部門の対応が遅いと感じたりして、自分でツールを導入することで発生します。
HP Wolf Securityの調査によると、パンデミックの間に76%のIT担当者が「セキュリティが後回しになっていた」と感じており、18~24歳の社員の31%がセキュリティ対策を避ける方法を探したことがあると答えています。特に若い世代では、54%が「セキュリティよりも締切を守ることを優先する」と答えています。
つまり、仕事の効率を重視するあまり、正式なルールを守らずにツールを使ってしまうことが、シャドーITの原因になっているのです。
シャドーITの例:実はとても身近な問題
シャドーITは、思っている以上によくあることです。以下は、よく見られるシャドーITの例です:
🔹 クラウドストレージサービス:
社員が自分のDropbox、Googleドライブ、OneDriveなどの個人アカウントを使って会社の書類を共有すること。これは会社が用意した公式のサービスを使わずに行われます。
🔹 プロジェクト管理ツール:
チームがTrello(トレロ)、Asana(アサナ)、Monday.comなどをIT部門に相談せずに使い始めることで、プロジェクトの情報がバラバラになったり、セキュリティのリスクが生じたりします。
🔹 コミュニケーションアプリ:
WhatsAppやSlackなど、会社が許可していないチャットアプリを使って、社内の重要な会話をすること。2018年のNextPlaneの調査では、回答者の67%がIT部門に認められていないツールを使っていたことがわかっています。
🔹 SaaSアプリケーション:
特定の業務のために、部署ごとに勝手にソフトウェア(SaaS)を契約して使うケース。2023年のCapterraの調査によると、中小企業のシャドーITの69%がSaaSやクラウドサービスによるものでした。
🔹 シャドーAI:
AIツールが広く使われるようになったことで、社員やチームがIT部門に知らせずAIツールを使うケースが増えています。これもデータセキュリティ上のリスクになります。
🔹 個人のデバイス:
自分のノートパソコンやスマートフォンを、会社の仕事に使ってしまうこと。これも、セキュリティ設定や管理が不十分なため、危険を伴います。
このように、シャドーITは日常の中で簡単に起きる問題です。
隠れたリスク:なぜシャドーITが問題なのか
シャドーITは、社員が仕事を効率よく進めたい、すぐに課題を解決したいという“良い意図”から始まることが多いです。しかし、その結果は非常に危険なものになる可能性があります。
2024年のForbesの記事で、ブライアン・ロビンソン氏は「シャドーITは社員のキャリアにはプラスでも、会社にはマイナス」と述べています。以下は、シャドーITに隠された主なリスクです:
🔹 セキュリティの弱さ
許可されていないソフトウェアには、必要なセキュリティパッチや設定がされていないことが多く、サイバー攻撃を受けやすくなります。
🔹 データの消失や流出
管理されていないツールにデータが分散すると、どこに情報があるか分からなくなり、保護も難しくなります。
🔹 法規制の違反
個人情報などの取り扱いが厳しく求められる業界では、ルール違反があると高額な罰金を受ける可能性があります。データの場所が分からなければ、正しく管理していることを証明するのも不可能です。
🔹 コストの増加
同じようなサービスへの二重契約や、使われていないソフトのライセンス料、さらには情報漏えいなどによる損害で、ITコストが無駄に増えることがあります。2023年の複数の調査では、企業が未使用・使いすぎのソフトウェアにより、平均で年間1,800万ドル(約27億円)を無駄にしていたという結果が出ています。
🔹 業務の非効率化
使うツールがバラバラだと、情報が部門ごとに分断されたり、システム連携が難しくなったりして、チーム間の協力や全体の生産性が下がってしまいます。
🔹 サポートや保守が受けられない
承認されていないアプリに問題が発生しても、IT部門が内容を把握していなければ対応ができません。これが業務の停止や社員のストレスにつながります。
このように、シャドーITは気づかないうちに会社に大きな影響を与えるリスクを抱えています。
コントロールを取り戻す:シャドーIT対策のためのしっかりとしたポリシー作り
良いニュースがあります。シャドーITは解決できない問題ではありません。その存在を認め、積極的に対策を講じることで、企業は自社のソフトウェア資産をしっかりと管理できるようになります。そのためには、明確な「シャドーIT対策ポリシー」を作ることが重要です。以下は、その進め方です:
🔹 教育とコミュニケーション
ただ「シャドーITは禁止」と言うのではなく、なぜそれが危険なのかを社員に理解してもらいましょう。また、社員がIT部門に気軽に相談できるような、オープンな環境を作ることが大切です。
🔹 社員のニーズを把握する
各部門と話をして、現在どんなツールを使っているのか、どんな課題があるのかを理解しましょう。そうすることで、IT部門が事前に安全で適切なツールを提案できます。
🔹 明確なルールを作る
どんなソフトウェアの使用がOKで、どれがNGかをポリシーで明確に示しましょう。また、新しいソフトを使いたいときの申請方法や承認の基準もわかりやすく定めておきましょう。
🔹 安全な代替ツールの提供
社員が使いやすい、公式に認められた代替ツールを用意しましょう。たとえば、個人のクラウドストレージを使っている場合は、それに負けない便利さと機能を持つ企業向けのクラウドサービスを提供することが大切です。
🔹 定期的な監査と見直し
定期的にソフトウェアの使用状況を確認し、シャドーITポリシーも最新の技術動向に合わせて更新していきましょう。
🔹 協力体制を作る
IT部門は「制限する存在」ではなく「助ける存在」として、各部署と協力して最適で安全なツール選びをサポートする立場になりましょう。
これらの取り組みを行うことで、シャドーITのリスクをチャンスに変えることができます。また、OpenLMの「Annapurnaリリース」を活用すれば、シャドーITの抑制だけでなく、クラウド、ドングル、指名ユーザー、ブラウザベース、ネットワーク型など、さまざまなライセンスの使用状況を一括で把握・最適化することができます。結果として、無駄なITコストを削減し、業務の効率アップにつながります。
シャドーIT対策ポリシーを作りたい方は、ぜひこちらのフォームからご相談ください。専門スタッフが対応いたします。
