シャドーITとは

シャドーITとは、会社のIT部門が把握・承認していないITサービスやデバイスを従業員が業務に利用することです。個人のGoogleドライブに業務ファイルをアップロードする、無料のチャットツールで顧客とやり取りする、私物のUSBメモリにデータをコピーする——これらはすべてシャドーITに該当します。

ガートナーの調査によれば、企業のSaaS利用のうち約30〜40%はIT部門が把握していないとされています。中小企業ではIT管理体制が手薄なため、この割合はさらに高い可能性があります。

よくあるシャドーITの具体例

カテゴリ具体例リスクレベル
ファイル共有個人Googleドライブ、Dropbox無料版での業務ファイル共有
コミュニケーション個人LINEでの業務連絡、WhatsAppでの顧客やり取り
プロジェクト管理個人契約のTrello、Notion、Asanaの業務利用
AI・翻訳ChatGPT無料版に機密情報を入力、DeepLで社外秘文書を翻訳
デバイス私物スマホでの業務メール閲覧、USBメモリの持ち込み
開発ツール個人GitHubリポジトリにソースコードを保管

特に近年問題になっているのが生成AIへの機密情報入力です。社員が善意で業務効率化のためにChatGPT無料版を使い、そこに顧客データや契約内容を入力してしまうケースが増えています。

シャドーITの4つのリスク

① 情報漏洩

会社が管理していないサービスには、セキュリティポリシーが適用されません。個人アカウントのサービスは退職後もアクセス可能であり、退職者が業務データを持ち出すリスクがあります。また、無料サービスは広告表示やデータ収集を行うものが多く、機密情報が第三者に渡る可能性もあります。

② コンプライアンス違反

個人情報保護法やGDPRの対象となるデータを、セキュリティ基準を満たさないサービスに保管することは法令違反に該当する可能性があります。「知らなかった」は免責にはなりません。

③ データの散逸

業務データが個人アカウントに分散していると、引き継ぎが困難になります。担当者の退職・異動時に、どのサービスにどのデータがあるかわからなくなり、業務が停滞する原因になります。

④ コスト増大

同じ目的のツールを部門ごとにバラバラに契約していると、ボリュームディスカウントが効かず、全社で見れば不必要なコストが発生します。

シャドーIT対策の5ステップ

  1. 現状の可視化 — 全社員にアンケートを実施し、業務で使っているWebサービス・アプリを洗い出す。クレジットカード明細・経費精算データからも抽出する
  2. SaaS利用ポリシーの策定 — 「会社が承認したSaaS以外は業務利用禁止」というルールを明文化。申請・承認フローを整備する
  3. 承認済みSaaSの代替提供 — 禁止するだけでは形骸化する。社員がシャドーITに頼る理由(業務に必要な機能が公式ツールにない)を理解し、正規の代替手段を提供する
  4. 技術的なコントロール — 条件付きアクセス(Entra ID)でアクセスを制御、DLP(データ損失防止)ポリシーで機密データの持ち出しを検知、CASB(Cloud Access Security Broker)でSaaS利用を可視化
  5. 定期的な棚卸しと教育 — 年に2回以上のSaaS棚卸しを実施。セキュリティ研修でシャドーITのリスクを啓発する

SaaS管理に使えるツール

ツール概要対象規模
Microsoft Defender for Cloud AppsM365連携のCASB。SaaS利用の可視化・制御50名〜
Microsoft Entra ID 条件付きアクセス承認済みデバイス・場所からのみアクセスを許可30名〜
スプレッドシート管理SaaS台帳を手動管理(小規模向け)〜30名

Microsoft 365 Business Premiumを利用している場合、Defender for Cloud Appsの基本機能は追加コストなしで利用できます。まずはここから始めるのが費用対効果の高い選択です。

💡 BTNコンサルティングのSaaS管理支援

情シス365では、SaaSの棚卸しから利用ポリシー策定、技術的なアクセス制御の設定までワンストップで支援します。「何を使っているかわからない」状態からご相談ください。
→ 情シス365の詳細を見る

まとめ

シャドーITは悪意から生まれるものではなく、多くの場合「業務を効率化したい」という社員の善意が出発点です。禁止だけでなく、正規の代替手段を提供しつつ、技術的なコントロールで安全を担保する——この両輪が対策の鍵です。