シャドーITとはこれでおさらば!? 企業をむしばむ無断使用ツールを「断捨離」する3つのステップ：連載・“シャドーIT”との向き合い方（1/3 ページ）

[遠藤宗正（デジタルアーツ），ITmedia]

	連載「“シャドーIT”との向き合い方」目次
第1回	日本企業をひそかに襲う「シャドーIT」の脅威
第2回	勝手ツールが企業にもたらす“悲劇”
第3回	シャドーIT問題を増長させる“2つの勢力”
第4回	シャドーITを「断捨離」する方法

　企業が管理していないITツールを仕事で“勝手”に使うこと。こうした行為は「シャドーIT」とも呼ばれ、企業に情報漏えいなどさまざまなリスクをもたらす可能性があるとされている。本連載では過去3回にわたってシャドーITの実態や発見方法について紹介してきたが、最終回となる本記事では、より具体的な対処法を紹介したい。

　まずおさらいしておくと、第1回ではシャドーITの代表例について説明し、第2回では仮想ケースを用いて「シャドーIT」が引き起こす問題について紹介した。また、第3回では「ニュータイプ社員」「インフラの重力に魂を縛られた人々」という2つのキーワードを用い、シャドーITを発見するためのチェックポイントを紹介した。

　今回は、チェックポイントに基づきシャドーITを発見／対策する具体的な方法について解説しよう。ついては、身の回りの不要なものを断つ「断捨離」の考え方でも用いられる「着眼・着手・着地」の流れに沿って説明し、本連載を締めくくりたい。

シャドーITを断つための「着眼・着手・着地」

着眼：まず、知る

　まず大切なのは、会社非公認のITツールが社内でどれくらい使われているか知ることだ。以下が、社内に潜むシャドーITを発見するための代表的な注意点である。

1. 企業が管理しているITインフラやセキュリティポリシーの運用だけで問題を把握しようとしないこと
2. ポリシーに縛られた業務実態と従業員ニーズの間にあるギャップを理解し、従業員が「どのように業務を進めたいか」を理解すること

　1つ目のポイントで重要なのは、会社が支給していない端末からの社内リソースに対するアクセスや、許可していないWebサービスの利用状況を調べることだ。そのためには、社内ネットワークのアクセスログなどから

• 資産管理ツールなどに登録されていない端末から社内システムへのアクセス数／アクセス先（社内イントラやメールサーバ、ファイルサーバなど）
• 許可していないWebサービス（コミュニケーションツールやクラウドストレージなど）へのアクセス数

――を調べればおおよその現状を把握できるだろう。

　2つ目のチェックポイントで重要なのは、従業員のニーズや問題意識を知ることだ。これはネットワークの利用状況などから定量的に調べることが難しいため、社内アンケートなどを実施するのがいいだろう。以下にアンケート項目の一例を挙げてみよう。

• 社外からどのような社内システムにアクセスしている／アクセスしたいか
• どのようなWebサービスを業務で利用している／利用したいか
• 無料Webサービスの危険性を理解して利用しているか
• 会社端末や業務情報をどれくらいの頻度で社外に持ち出しているか
• 社内システムにアクセスしている個人端末に、ウイルス対策ソフトを導入しているか