Eビジネスを推進するORANGEシリーズ

ORANGE POS
お役立ち資料ダウンロード ニュースレター登録

シャドーITが横行する背景に「ひとり情シス」あり?中堅企業のIT人手不足とシャドーITの関連性をデルが調査

会社に無許可で私物のパソコンやスマートフォンを業務利用する「シャドーIT」は、情報化社会でどのようにIT技術と向き合っていくべきかを考えさせる問題です。
シャドーITこそ世の中のデジタル化を支え、リードしているとする意見もあります。また、シャドーITは現代日本の中小企業が抱える「ひとり情シス」問題とつながっているという指摘もあります。

シャドーITとは何なのかという解説から、デル株式会社が公表したアンケート結果までをまとめました。

【目次】

シャドーITとは

シャドーITは、会社支給ではない個人のパソコンやスマートフォン、タブレットを無許可で業務に利用することをいいます。
もっともかんたんな例でいえば、客先とのメールを個人のスマートフォンでやり取りする、社外秘の書類を仕事のためにタブレットで共有して自宅へ持ち帰るなどといった行動が挙げられるでしょう。
シャドーITは、時と場所を選ばずにスピーディな業務を実現するためには便利です。しかし会社や上司の許可を得ずにおこなっていることと、情報漏洩のリスクが高まることから問題視する声もけして小さくありません。

シャドーITと一緒におさえておきたいキーワード「BYOD」と「BYOA」そして「CYOD」

シャドーITという単語とともに登場するキーワードに「BYOD」や「BYOA」があります。
これは、会社が許可して私物のIT機器を用いること、あるいはその状態をさします。

BYOD(私物端末利用)

BYODは、「bring your own device」つまり私物端末利用の頭文字をとったものです。これは「BYOB(bring your own bottle 酒類は各自持参)」というパーティ用語をもじったものといわれています。
シャドーITは、会社の許可なしに私物の端末を業務に使うことをいいますが、BYODは会社に許可を得ている状況下で私物の端末を使うことを意味します。
これは、会社と社員の双方にメリットとデメリットがあります。

会社のメリットは、コストの削減です。通信費の一部を負担したとしても、パソコンやスマートフォンの現物支給よりは費用を安くおさえられるため、会社はBYODというかたちで私物利用を推奨します。
社員のメリットは、私物の端末と会社の端末の複数台を持ち歩く不便さから解き放たれるという点、そして通信費用の補助があります。日本は特に端末代金や通信料金が割高なため、通信費の一部が会社から控除されることに魅力を感じる人は多いかもしれません。

しかしこれらのメリットの一方で、デメリットもあります。
私物を使うことで仕事とプライベートの線引きがあいまいになり、セクハラやパワハラを招いたり、私用メールと仕事のメールを取りちがえるなどのケアレスミスが生じやすくなったりするおそれがあります。

また、何も対策を講じないまま私物端末の利用を許可しただけでは、情報漏洩のリスクを下げることはできません。
専用アプリケーションのインストールや、使用ルールを明確に定めるなど、利用における制度づくりも併せておこなう必要があります。

BYOA

BYOAは「bring your own access」あるいは「bring your own application」の頭文字をとったものです。
会社の許可を得て、社内ネットワーク環境下ではないクラウドサービスやアプリケーションを業務に用いることを意味します。
いくつか例を挙げてみましょう。

  • スマートフォンのカメラ機能で書類を撮影、クラウドサービスにアップロード
  • SNSのメッセンジャー機能を使って業務連絡
  • クラウドに資料を保存して私物のタブレットで閲覧する

日常的に何気なくおこなっているような作業ばかりですが、これらが代表的なBYOAです。

CYOD

CYODは、「choose your own device」つまり企業などが業務に使用できる端末を何種類か用意して、従業員が任意の端末を選んで使うことをいいます。
端末の購入代金や通信料は原則として会社が支払いますが、会社が認めた範囲内であればその端末を私的に利用できることもあります。
一度しっかり制度を整えてしまえば、従業員の満足度とセキュリティ保持を両立しやすいため、BYODとシャドーITの中間的な施策といえるかもしれません。

シャドーITとBYOD、BYOAの違いは会社が許可しているかどうか:リスクは同等

これらのアクションは、会社の許可を得ていないと「シャドーIT」、会社の方針のひとつとして実施していると「BYOD」、「BYOA」となります。
つまり、おこなっている作業には違いがありません。そのため、何らかの対策を講じていない場合は「シャドーIT」もBYOD(BYOA)も、情報漏洩やトラブルに関しては同等のリスクをはらんでいるといえます。
すでに私物端末の利用を許可しているという事業者、企業は、自社のセキュリティ体制に抜け穴や甘い部分がないかどうか、定期的にチェックをしておく必要があるかもしれません。

シャドーITで利用されやすいのはLINEをはじめとしたSNSツール

シャドーITの温床になりやすいのは、LINEをはじめとしたSNSです。
業務連絡をLINEでやりとりすることは、社内で制度が整備されていれば問題はありませんが会社内におけるルールや取り決めが曖昧なまま使われていると、LINEで扱うべきではない機密性の高い情報がやり取りされて流出したり社員ユーザーの「なりすまし」によって悪意ある第三者に社内データを盗まれたりする危険性が高まります。

シャドーITによるセキュリティ事故の可能性1. SNSでの情報公開

シャドーITで懸念されるセキュリティ事故の1つに、SNSでの情報公開があります。
私物のスマホを使っていると、個人のアカウントに紐づいたFacebookやTwitterのアプリが入っていることも。ここに仕事上で得た機密情報を投稿することは、たとえ故意ではないとしても重大な情報漏洩事故になってしまいます。
とはいえ、私物機器を用いる場合はすべてのSNSを禁止してしまうわけにもいきません。社員一人一人がコンプライアンスを保守できるよう、研修を取り入れるなど長期的な対策が必要になるでしょう。

シャドーITによるセキュリティ事故の可能性2. 不正ログインやなりすまし

本人たちのあずかり知らぬところで、社員のLINEやチャットワーク、SkypeのIDがのっとられ、なりすましてログインされてしまうリスクもあります。
なりすましは、本人や同じグループにログインしている社員が気づかないことも多く、おかしいと思った時にはすでに多くの情報を抜き取られた後だったというケースもあります。
スレッド式のチャットやテレビ会議ができる便利なツールは数多くあります。しかしこれらを利用するにあたっては、利用する社員全員が一定レベル以上の知識を有して使うべきといえるでしょう。

シャドーITによるセキュリティ事故の可能性3. 社員の不正行為

情報セキュリティに対する違反は、過失によるものとそうではないものに大きく分けることができます。社員が故意におこなうセキュリティ違反に対するリスクは、会社支給の端末より私物の端末の方が大きいといえるでしょう。

シャドーITは人材不足の深刻化により増加?デルが指摘

デル株式会社(日本法人)は、シャドーITの増加についてIT人材不足の深刻化を挙げ、その根拠となるデータを発表しました。
デルは、2018年12月〜2019年1月にかけて、計3回、中堅・中小企業868社(従業員数100〜1,000人未満)を対象に「IT利用動向に関するアンケート」を実施しています。このアンケートの最新結果により、社内にIT担当者が1人以下という企業は全体の38%にのぼることが分かりました。この数字は、前年の7ポイント増とされています。

さらに、IT担当者が不在と回答した企業も18%、つまり全体の2割を占めていました。
デルは、中小企業におけるこうしたIT人材の不足がシャドーITを増加させていると指摘しています。IT部門の業務が多忙になることによって、事業部門への対応や情報機器の進化にともなった連絡システムの見直しなどが難しくなるためです。

この傾向は、特に従業員の規模が300名未満の企業でよく起こっているとデルは伝えています。300名未満の企業のおよそ6割が、IT部門の人員不足あるいは担当者が業務の忙殺状態にあるとしました。また従業員100〜200人未満の企業では、そのIT担当のおよそ7割がほかの業務との兼務型であり、充分にIT関連業務に時間を充てられない環境ということも明らかになっています。

参考:https://blog.dell.com/ja-jp/it-investment-trend-survey-2019/

ひとり情シスと離職のスパイラルが企業のITリテラシーを低下させる

IT担当の人材不足できかれるのが「ひとり情シス」という言葉です。
これは、1人の情報システム担当者が社内のIT関連業務をすべて引き受けざるを得ない状況を意味しています。
いうまでもなくひとり情シスという状態は、該当社員を著しく疲弊させてしまいます。そのため、離職率も高くなりがちというのがデルによるアンケートの結果にあらわれました。
IT担当者の離職率は21%(全体の5分の1)で、離職者のうち32%は担当者が1人という状況下での離職でした。1人であるIT担当が離職すると、新たな人材を確保できるまではIT担当が不在あるいは、総務などが兼務せざるを得ません。ひとり情シスを超えた「ゼロ情シス」という状態です。

ひとり情シスからの離職

兼務型担当(ゼロ情シス)の多忙化

離職

引き継ぎが充分でない現場への新たな人材投入

ひとり情シス化

離職と兼務型への引き継ぎ

このような負のスパイラルに陥ると、IT担当は常に逼迫した状況下での労働を強いられることになり、稼働率が著しく低下します。それにより企業全体のIT部門が滞り、制度化されていないままのIT活用「シャドーIT」が横行してしまう結果となるのです。

なお、IT分野は、一般的に高いスキルを有している人材ほど転職する傾向にあります。優秀な人材は高い給与や活躍の場を提供できる大企業に流入し、中小企業はITに特化した社員を獲得しづらいという点も考慮にいれておくべきでしょう。

デルが提唱:シャドーITへの対策

IT部門における人材不足とひとり情シスや離職の増加により、シャドーITは今後もますます活発に、増加していくでしょう。
こうしたシャドーITの増加が、実はデジタル化を推進しているとデルはコメントしています。そのため、シャドーITを企業が公式に支援することによって、働きやすい環境と企業の成長が見込めるとしています。
シャドーITへの対策としてデルが提唱しているのは、次の6つです。

  1. ビジネスの変化に即したIaaS環境
  2. データ共有と保護に関するSaaSの整備
  3. シャドーITチェックリストの活用
  4. セキュリティー投資額別ソリューションマップ
  5. クラウド型デジタルワークスペース
  6. アプリ内製化を支援するソリューションテンプレート

シャドーIT対策「ビジネスの変化に即したIaaS環境」

IaaSはクラウドコンピューティングのひとつです。
仮想化技術を用いて、インターネット経由でCPUやメモリ、ストレージといったITインフラをオンデマンド提供できる技術、またその環境をさします。
高速で変化していくビジネスの今のあり方に合わせた環境を整えることで、シャドーITをさらに安全で使いやすいものにしていきます。

シャドーIT対策「データ共有と保護に関するSaaSの整備」

SaaSは、ソフトウェアの中でもクラウドで提供されるものを意味します。
従来型のインストールして使用するソフトウェアではなく、ベンダー(プロバイダ)が稼働させ、ネットワーク経由でユーザーが使用する、その整備と活用がシャドーITの利用を後押しします。

シャドーIT対策「シャドーITチェックリストの活用」

米国マイクロソフトは、早くも2016年8月の時点で、企業がクラウド利用時のセキュリティ状況を自己評価できる「セキュリティチェックシート」を公開しています。
シャドーITにおいても、リスクを正しく把握して自社の状況を客観的にそして定期的に分析していることが重要になるでしょう。

シャドーIT対策「セキュリティー投資額別ソリューションマップ」

シャドーITにおいて、限りある予算をどのようにセキュリティに反映させていくか、それを明らかにすることで、合理的な運用が可能になります。

シャドーIT対策「クラウド型デジタルワークスペース」

テレワークや在宅ワーク、時差通勤など、働き方改革におけるさまざまなワークスタイルが提唱されている今、クラウド型のデジタルワークスペース構築は重要なポイントといえます。

シャドーIT対策「アプリ内製化を支援するソリューションテンプレート」

専門性の高い部門は内製化することでコスト削減を実現できますが、シャドーIT対策においてもそれは同様です。アプリ内製化の支援を受けることで、それぞれの企業に合ったシャドーITのあり方、運用の仕方をも構築していけるでしょう。

まとめ

スマホの2台持ちから解放される一方、コンプライアンスの徹底やセキュリティについての認識を新たにしなければならないシャドーIT。対策を講じることで、企業の成長を促す一助になることでしょう。

POSシステムの機能や導入に関するご相談は
お気軽にお問い合わせください。

フォームからお問い合わせ お問い合わせフォームへ

お電話でお問い合わせ電話受付: 平日 9:30 - 18:30 03-6432-0346