シャドーITとはこれでおさらば!? 企業をむしばむ無断使用ツールを「断捨離」する3つのステップ：連載・“シャドーIT”との向き合い方（2/3 ページ）

[遠藤宗正（デジタルアーツ），ITmedia]

着手：次に、決める

　シャドーITの実態が把握できたら、次のステップはポリシーを決めることだ。

ニュータイプ社員は次から次へと代替手段を見つけ出し……（写真はイメージです）

　会社支給でないITツールの利用をどこまで禁止／許可するかは、業務効率との兼ね合いで考える必要がある。ただし忘れてはならないのは、自身の情報リテラシーが高いと信じ込んでいる従業員（＝「ニュータイプ社員」）は、ツールの利用をいくら禁止しても“代替手段”を見つけ出してしまうことだ。

　BYOD（私物端末の業務利用）導入に向けたガイドラインは、CSAJ（一般社団法人コンピュータソフトウェア協会）やMDM（モバイルデバイス管理）ツールベンダーなどが公開しているので、ポリシーを策定する際は参考になるだろう。また、テレワークや業務データ社外持ち出しのガイドラインも厚生労働省やIPA（独立行政法人 情報処理推進機構）が公開しているので、こちらも参考にしてみてほしい。

　一方、「Webサービス利用」に関するガイドラインは公開されているものがほとんどなく、各社が手探りでポリシーを策定しなければならないのが現状だ。

　常に増え続け、運用ポリシーが突然変わることもある無料Webサービスを社内の誰が管理すべきかは難しいポイントだ。また、それらのツールを企業が従業員よりも早く発見し、対策を講じるための手間は計り知れない。したがって、Webサービスの利用に関するリスク対策については専用ソフトに任せてしまうのも1つの手だと言えるだろう。

着地：最後に、実現する

　社員のWebサービス利用に関するセキュリティ対策として、広く使われているツールの1つが「Webフィルタリングソフト」だ。こうしたソフトを提供しているメーカーは国内外に複数あるが、以下では製品選定時に気を付けておきたいポイントを紹介しよう。

　Webフィルタリングソフトを選ぶうえでまず重要なのは、あやしげなWebサイトへのアクセスを禁じるためのDB（データベース）の精度だ。せっかくWebフィルタリングソフトを導入しても精度が悪ければ使いものにならないので、これは当然だと言える。

　また、がんじがらめにフィルタリングをかけてしまうと、社員の業務効率が下がってしまう可能性がある。それを防ぐためには「柔軟な設定ができること」が重要だ。

　例えば“Facebook内の企業ページ”について考えてみよう。Webフィルタリングソフトによっては、広報部門だけにコメント投稿や写真アップロードを許可し、他の一般社員は閲覧のみ許可したり――といった設定ができる。ちなみに当社が提供しているWebフィルタリング製品の「i-FILTER」もこうした設定が行えるので、参考になれば幸いである。

Webサービスの利用を機能単位で制御できる

　ちなみにi-FILTERの場合、Webサービスの機能ごとに情報漏えいリスクを定義し、DBを日々更新しているため、無料Webサービスの仕様がいきなり変わっても迅速に対応できるようになっている点も紹介しておきたい。

　最後に、BYODとデータの持ち出しについても対処法を紹介しよう。