シャドーIT

こんにちは。shingouです。

みなさんはシャドーITという言葉を聞いたことがありますでしょうか？

調査会社IDC JapanではシャドーITの定義を、「企業が業務において、私物端末の使用を許可しない状況で、従業員が使用するケース、もしくは BYOD 利用規定を定めないで使用するケースのことである。」としています。
要は無許可の個人所有端末（サービス）の業務利用のことです。

少し前からはBYOD（Bring Your Own Device）に加えBYOA（Bring Your Own Application）といったものも増加していますが、BYODやBYOAは企業が利用規定を制定して許可した上での個人利用で、セキュリティのリスクも考慮された（はず）上での利用ですので、企業としては問題がありません。（リスクを考えると問題が無いわけではないのですが・・・）

しかし、企業側の認知しないところでの個人所有端末（サービス）の利用、いわゆるシャドーITが昨今モバイル端末の発展と共に増えてきており、本人も意図しない形での情報漏えいにより、会社の存続すら危ぶまれるといったことが他人事ではなくなってきています。

A.C.Planetでは外部からの記憶端末の持ち込みや無許可の外部サービスの利用は認められていませんが、顧客情報はもちろん、様々な情報を扱う会社ですので、シャドーITのリスク対策は万全にしておく必要があります。

ただ、社内規定を厳しくしても、社内ネットワークをいかに堅牢にしても、ソーシャルメディアを利用した意図しない機密の漏えい等は防ぎようがありません。

物理的な対策というよりは、スタッフ全員での意識の共有が、最終的には一番重要なことなのかもしれません。