大企業の3割に広がる「シャドーIT」 見過ごすIT部門の言い分

ボスコ・テクノロジーズの調査により、大企業の約3割が未承認のITツール「シャドーIT」を利用している実態が明らかになった。多くの企業がシャドーITの危険性を認識しているにもかかわらず、見過ごしている理由とは。

[後藤大地，有限会社オングス]

　ボスコ・テクノロジーズは2025年9月10日、大企業におけるシャドーITの実態を明らかにする調査結果を発表した。同調査は従業員数1000人以上の大企業に所属する情報システム担当者108人を対象とている。

　結果として、大企業の約3割で承認されていないITツールの利用が確認され、9割を超える回答者がセキュリティの危険を認識していることが明らかとなった。多くの企業がシャドーITの危険性を認識しているにもかかわらず、見過ごしている理由とは。

シャドーITが見過ごされるワケ

　調査において、まず「承認されていないツールの利用が見受けられるか」という質問に対し、「はい」と答えたのは29.6％であった。「いいえ」が55.6％、「把握していない」が14.8％となっている。

　利用されているツールの種類は、「無料クラウドストレージ（『Googleドライブ』『Dropbox無料版』など）」が59.4％で多く、「オンライン会議ツール（『Zoom』無料版、『Google Meet』など）」が50.0％、「チャット／コミュニケーションツール（『LINE』『WhatsApp』『Slack』無料版など）」が46.9％と続いた。その他、「ファイル共有サービス（『WeTransfer』など）」（43.8％）や「プロジェクト管理・コラボレーションツール（『Trello』『Asana』無料版など）」（31.2％）も挙げられている。

　未承認ツールへの対応方針については、「原則禁止だが例外的に認めている」が43.8％、「条件付きで公認している」が40.6％となり、一定の制約を設けつつも事業部門での利用が容認されている実態が浮かび上がった。その理由としては、「代替となる社内システムの提供が間に合っていない」（53.3％）や「業務効率の低下を避けたい」（50.0％）が多く、「部門ごとに必要なツールの違い」（36.7％）や「承認プロセスの負担」（33.3％）を背景とする回答も目立った。自由記述では「利用部門の業務効率化につながる」「顧客の要請による」といった声も寄せられている。

　セキュリティ面において、93.8％が未承認ツールの利用に「危険を感じている」と回答した。「非常に感じる」が34.4％、「やや感じる」が59.4％となり、「あまり感じない」と答えたのは6.2％にとどまった。懸念されるリスクとしては「不正アクセス」が73.3％、「機密情報の外部流出」が70.0％、「マルウェア感染」が53.3％と高い割合を占め、「アカウント乗っ取り」（40.0％）や「データ消失」（36.7％）なども指摘されている。

　未承認ツール利用が発生する原因としては、「承認済みツールの機能不足」が68.8％と多く、「使いづらさ」「アクセス権限管理の負担」「ITリテラシーの差」などがそれぞれ37.5％で並んだ。その他、「セキュリティポリシーの形骸化」（31.2％）や「特権ID・パスワード管理の負担」（28.1％）も要因として挙がっている。

　抑制策については、「シングルサインオンの導入」が51.6％と多く、「セキュリティレベルに応じた制限」（48.4％）や「従業員向け教育プログラム」（48.4％）が続いた。その他、「パスワードレス認証の導入」（38.7％）、「アクセスログの管理」（35.5％）、「定期的なセキュリティ診断」（32.3％）なども選ばれており、複数のアプローチを組み合わせる必要性が示されている。

　今回の調査結果から、大企業におけるシャドーITの利用は一部にとどまらず、業務効率化とセキュリティ確保の両立という課題を抱えている実態が明らかになった。特に社内で提供されるツールの機能不足が原因となり、従業員が外部のサービスを選択する傾向が強いことが確認されている。今後はシングルサインオンや特権ID管理などの技術的対策に加え、教育や承認プロセスの改善といった組織的取り組みが求められている。