ざっくりとシャドーIT
- 企業が把握していないITツール
- 従業員や部門が独自に使っている
- 企業全体のセキュリティに影響
シャドーITとは、企業が知らない内部のITリスクです。
概要説明
シャドーITとは、企業が正式には認めていないIT端末やソフトウェアである。なぜならば、これらは従業員や部門が独自に導入しているから。例えば、無料のファイル共有サービスを使っている場合など。そして、これらの行為は企業全体のセキュリティに影響を与える可能性がある。つまり、管理されていないITリソースがリスクを生む。だから、企業はこれに対する対策が必要である。
職業職種
営業担当者
営業担当者は、顧客管理のために非公式なアプリを使うことがある。なぜなら、公式のシステムより使いやすいか、特定の機能があるから。例えば、無料のCRMツール。
エンジニア
エンジニアは、開発作業を効率化するために独自のソフトウェアを導入することがある。なぜなら、公式に提供されているツールに不足があるから。例えば、コード共有サービス。
人事担当者
人事担当者は、採用活動で非公式なデータベースを使うことがある。なぜなら、既存のシステムが使いにくいか、特定の機能が欲しいから。例えば、独自のスプレッドシート。
シャドーITの名前の由来は、企業が「影(シャドー)」のように把握していないIT活動を指すからです。
シャドーITの代表例
Slack
Slackは、シャドーITで有名である。なぜなら、多くの企業で公式には採用されていないが、従業員が便利だと感じて個別に使用しているから。例えば、非公式なプロジェクトのコミュニケーション。
Dropbox
Dropboxは、シャドーITで名高い存在である。なぜなら、ファイル共有が簡単で、従業員が個人的に使用してしまうケースが多いから。例えば、業務関連のドキュメントの非公式な共有。
LINE WORKS
LINE WORKSは、シャドーITで世間に知られている。なぜなら、日本国内で多くの企業がLINEを公式に使っていない中で、従業員が独自に業務で使用しているから。例えば、非公式な業務連絡。
手順例
以下は、シャドーITを安全に使う手順です。調査と評価
最初に、使用するソフトウェアやサービスが安全かどうか調査する。なぜなら、セキュリティリスクを避けるため。例えば、製品のレビューを読む。
上司やIT部門に相談
次に、上司やIT部門に使用の承認を得る。なぜなら、企業全体のセキュリティに影響が出る可能性があるから。例えば、メールで使用許可を求める。
公式なガイドラインを確認
公式なガイドラインやポリシーを確認する。なぜなら、ルールを守ることが大事だから。例えば、社内のITポリシー文書を読む。
データのバックアップ
重要なデータは必ずバックアップを取る。なぜなら、データロスのリスクを減らすため。例えば、クラウドストレージにコピーを保存する。
定期的な更新と監査
ソフトウェアは定期的に更新し、使用状況を監査する。なぜなら、セキュリティを維持するため。例えば、最新バージョンに更新する。
類似語
ローグIT
ローグITは、シャドーITの類似語である。なぜなら、企業が管理していないITリソースを指す言葉で、意味が近いから。例えば、非公式なデータベースやアプリ。
非公式IT
非公式ITは、シャドーITの類似語である。なぜなら、企業が公式には認めていないIT活動を指すから。例えば、個人が業務で使用するスマホアプリ。
アンダーグラウンドIT
アンダーグラウンドITは、シャドーITの類似語である。なぜなら、企業の「地下」で行われるIT活動を指すから。例えば、部門が独自に開発したツール。
反対語
公式
公式は、シャドーITの反対語である。なぜなら、企業が正式に認めて管理しているITリソースを指すから。例えば、会社が提供するメールシステム。
承認済み
承認済みは、シャドーITの反対語である。なぜなら、企業の管理側が承認しているITリソースを指すから。例えば、会社の公式なデータベース。
セキュア
セキュアは、シャドーITの反対語である。なぜなら、セキュリティがしっかりと確保されているITリソースを指すから。例えば、暗号化されたストレージ。
シャドーITの注意点
シャドーITを使用する時の注意点はセキュリティである。なぜならば、不正アクセスやデータ漏洩のリスクが高いからだ。例えば、パスワードが弱いと簡単に侵入される。そして、企業全体のセキュリティに影響を及ぼす可能性がある。だから、必ず承認を得てから使用する。
シャドーITとローグITは、間違えやすいので注意しましょう。
シャドーITは、企業が把握していないITリソースです。
一方、ローグITは、企業のポリシーに反するITリソースです。
コメント