シャドーIT（Shadow IT）

会社が把握していないIT機器やサービスの利用のこと

簡単な説明

シャドーITってのは、会社に内緒で勝手にITツール使っちゃうこと。
便利だけど、情報漏れたりウイルス入ったりして超キケン。
ちゃんと会社のルール守って使おうねって話！

由来

「シャドーIT（Shadow IT）」は、直訳すると「影のIT」です。
これは企業や組織の情報システム部門が管理していないIT機器やクラウドサービス、アプリなどを従業員が独自に使っている状態を指します。

この言葉が使われるようになった背景には、クラウドサービスやスマートフォン、無料ツールの普及があります。たとえば、GoogleドライブやLINEなど、個人でもすぐに使えるITツールが増えたことで、企業の許可なしに使われるケースが増加しました。

具体的な説明

シャドーITとは、企業が公式に導入・管理していないIT機器やサービスを、従業員が勝手に仕事で使うことです。
例えば、会社のファイル共有システムを使わず、個人のGoogleドライブやUSBメモリでデータをやり取りすることなどが該当します。

たとえば、営業担当者が会社の承認なしにLINEで顧客と連絡をとっていたとします。これは便利に思えるかもしれませんが、個人情報の漏えいやウイルス感染などのセキュリティリスクが高くなります。企業としても、どこでどんな情報が扱われているか把握できず、管理不能な状態になります。

情報セキュリティ管理の観点から、シャドーITはリスクマネジメントの対象となります。
ISO/IEC 27001などの国際標準においては、資産管理（Asset Management）やアクセス制御（Access Control）が規定されており、シャドーITの発生はこれらの統制を損なう要因です。
さらに、SaaS（Software as a Service）の普及により、企業内の利用実態と管理体制とのギャップが拡大しています。

実験・観察手法と結論

ある企業にて、従業員の利用しているITサービスを調査したところ、正式に認可されていないクラウドサービスが20種類以上使われていることがわかりました。
情報漏えいリスク評価を行った結果、全体の25%が高リスクと判定され、会社はそれらの使用を停止し、代替手段の導入を実施しました。
このことから、シャドーITの実態調査と制御は情報セキュリティ対策の重要な一環であることが確認されました。

例文

「佐藤さんが、会社の許可を得ずにDropboxで資料を共有していたけど、それはシャドーITになるから注意が必要です。」

疑問

Q: なぜシャドーITが問題になるのですか？

A: 情報漏えいやウイルス感染など、企業のセキュリティ対策の外でITが使われるため、重大なリスクが発生するからです。

Q: 全てのシャドーITが悪いのでしょうか？

A: 便利な場合もありますが、企業の管理外で使われることでリスクが高まるため、原則として避けるべきです。

Q: どのようなツールがシャドーITになりやすいですか？

A: 個人のクラウドストレージ（Google Drive、Dropbox）、メッセージアプリ（LINE、Slackの個人アカウント）などが代表的です。

Q: シャドーITを防ぐにはどうすればよいですか？

A: 社内で必要なツールを整備し、従業員に正しい利用ルールを周知・教育することが有効です。

理解度を確認する問題

次のうち、シャドーITに該当するものはどれか。

ア. 会社が契約したクラウドストレージを使って業務ファイルを共有する
イ. 情報システム部が承認した社内ツールでチャットを行う
ウ. 個人のDropboxを使って業務ファイルを共有する
エ. 社内ポータルサイトから業務報告を提出する

正解：ウ

関連論文や参考URL

「The Impact of Shadow IT on Enterprise Security」（2018, Journal of Information Security）

この研究では、約100社の企業におけるシャドーITの実態を調査し、企業内で使用されていたITツールのうち約30%が管理外であったことが報告されています。
結論として、セキュリティポリシーの不備と従業員教育の不足が、シャドーITを助長する要因であることが示されました。

まとめ

シャドーITとは、会社が把握していないIT機器やサービスを社員が勝手に使うことです。
情報漏えいやウイルス感染などの重大なリスクがあります。
企業はツールの整備とルールの周知で防止することが重要です。