感染症の流行の関係で、リモートワークが急増しました。
それに伴い急増したのが、BYOD/BYOAとシャドーITです。
どちらも、「私的な電子端末/サービスなどを、業務に利用すること」を指しますが、セキュリティの視点では大きな違いがあります。
本日は、それぞれの内容とリスクなどについてお話してまいります。

BYOD/BYOAとは？

どういうもの?

BYOD (Bring Your Own Device)	織のIT部門の許諾を得て従業員の私的な電子端末を、業務に利用すること
BYOA （Bring Your Own Application）	組織のIT部門の許諾を得て、組織外部のクラウドサービスを利用すること

メリット

組織側　…　端末を新たに購入したり、メンテナンスを行うコストを削減できる
従業員側　…　使い慣れた端末で効率的に仕事を進められる。

デメリット

・組織の営業秘密や、顧客情報などが私的端末に保存されてしまい、不正な持ち出しにつながる可能性あり
・BYOD/BYOAの範囲を理解していない場合、シャドーITが発生してしまうリスクあり

では次に、シャドーITとはどういうものか、そしてどのような危険性があるのかご説明してまいります。

シャドーITとは

どのような状態を指す？

シャドーITとは、組織から業務のために支給しているものではない私的な「電子端末」「ネットワーク」「アプリケーション」「クラウドなどのウェブサービス」「アカウント」などをIT部門の許可を得ずに利用することです。
よく勘違いされてしまうのですが、上司/部門が許可していたとしても、IT部門が承知していないものは、シャドーITです。
IT部門が認知/承認していないということは、セキュリティ対策が未実施であり、極めて危険な状態である、といえます。
　　

危険性

①マルウェア感染や情報漏洩のリスク

組織が管理している端末・ネットワークは、ウイルス対策ソフト・サービスに加入するなどして、外部の攻撃者に対して対策を取っています。
しかし、私的な端末については、どの程度の対策を取っているのか保証されません。
そのため、組織の公式の情報資産と比較して、マルウェア感染のリスクが高いと言えます。

②情報漏洩のリスク

私的な情報資産を業務に利用すると、以下のような漏洩リスクが発生します。

端末を紛失すること　…　
紛失のリスク自体は、組織のものでも自分のものでもあります。
ただ、組織の端末であれば、組織主導で遠隔で端末を初期化したり、アカウントを停止することで組織の資産の漏洩を防ぐことができます。が、私的な端末の場合はそれができません。また、組織から貸与されたものであれば、紛失を報告する義務に気づきやすいのですが、紛失したものが私的な端末である場合、組織に報告が来ない…なんてこともあるかもしれませんね。

コミュニケーションツールや、SNSでの誤爆　…　
業務に利用するツールと、私的に利用するツールが同じ端末に入っていると、誤爆の可能性が高まります。

クラウドサービスへの侵入　…　
私的なクラウドサービスは、正しく設定をされているかわかりません。
実際、ある組織の職員が、私的なクラウドサービスを長年業務に利用していたところ、設定を誤ってしまったために、顧客情報に誰でもアクセス可能な状態だった…なんてこともありました。

上記では「意図せずうっかり発生してしまうリスク」をご紹介しましたが、シャドーITが横行している組織は、悪意ある内部の人間にとって、とても好都合である、ということも問題です。
シャドーITが横行していれば、それに紛れて悪意のある内部者は、容易に情報を持ち出すことが可能です。
2024年1月に公開された独立行政法人情報処理推進機構の「情報セキュリティ10大脅威 2024 [組織]」の3位は、「内部不正による情報漏えい等の被害」です。

なぜ発生してしまうのか？

①生産性アップ、業務効率化のため

現場で業務をしている際に、「お、このサービス便利だな」と見つけたものを使ってしまう…
というのはよくあるパターンです。
こういったケースの場合、ご本人はそのサービスを利用することがシャドーIT、すなわち組織の望まざることである、ということを意識していない可能性が高いです。

②リモートワーク

昨今はリモートワークが急増したことで、社内にいれば必要なかったものが必要になり、結果シャドーITが発生してしまうこともあるでしょう。
例えばコミュニケーションであれば、社内であれば内線電話で済みましたが、リモートの場合はそうもいかず、私的なスマートフォンのコミュニケーションツールを使ってしまうかもしれません。
あるいはデータの持ち出しのために、許可されていないUSBメモリなどを利用して、業務用のデータを持ってかる…なんてこともあるかもしれませんね。

対策

①環境づくり

許可しているものの一覧を作り周知します。
業務上必要なアプリは調査対策の上、許可することとします。

②教育

シャドーITの危険性・禁止されていることを周知徹底します。
上述しましたが、シャドーITが発生するきっかけは、「よりよく仕事をしたい」という気持ちであり、そもそも許可を得ないITの利用が危険であることを知らないケースが多いのです。

③システム面で制御する

それぞれ対策には費用が掛かりますが、①②は抑止でしかないところ、③は事実上シャドーITを禁止状態に近づけることができます。

「組織で貸与している端末でしか、組織が契約している情報資産、ITサービスに接続できないようにする」
「モニタリング、ログの収拾を行い、組織が許可していないサービスを利用していないか監視し、違反があった場合は都度対応する」
などは、有効な対策です。

さいごに

業務効率・生産性・可用性とセキュリティの問題は業務上いつでも付きまといます。
ただ、セキュリティの問題・安全性を軽んじることは事故につながりますし、その場合決定的に業務効率・生産性を落とすことになりかねません。
組織外のデバイス/サービスも、正しく利用しさえすれば、組織/従業員側のメリットとすることができますので、健全にBYOD/BYOAとして利用していきたいものですね。