社員が会社の許可なく業務で使用する「シャドーIT」が問題となっています。ここでは、シャドーITの定義や利用例、考えられているリスクを解説しています。さらに、解決策として挙げられている「データレスクライアント」についてもまとめています。
近年、テレワークやクラウドサービスを取り入れる企業が増えてきています。それに伴い、社員が業務効率化を目的として、個人のデバイスや会社から許可を得ていないアプリを業務に利用するケースも増加しています。このような「シャドーIT(Shadow IT)」は、情報が漏えいしてしまうリスクや、セキュリティ統制が困難になる問題を内包しています。これらの問題への対策のために、シャドーITの実態と危険性を把握することが必要です。
「シャドーIT」は、企業が正式に使用を許可していないシステムやアプリ、クラウドサービスを従業員が独自に利用することと定義されています。さまざまな例が見られますが、代表的な例としては、「Google Drive」や「LINE」「Slack」の私的な利用などが挙げられています。
このように、許可されていないアプリやシステムを利用してしまう理由は、社内システムの使い勝手の悪さ、煩雑な承認手続き、現場主導の柔軟な業務対応などが挙げられています。
会社で許可していないアプリやシステムを使用した場合、業務は行いやすくなるかもしれません。しかしその反面、さまざまなリスクがあります。
次に、シャドーITのリスクについて解説していきます。
上記のようなシャドーITに関する問題を解決する方法として、データレスクライアントがあります。
これは、機器内には業務データを一切保存せずに、クラウドや仮想環境上で処理や表示を行う仕組みです。利用者が使用している端末にはデータが残らないので、端末の紛失や盗難の場合でも、情報が漏洩してしまう可能性を少なくできます。
またデータレスクライアントは、社内だけでなくテレワークでも同じ環境で利用できます。
データレスクライアントの実例には、仮想デスクトップ(VDI)やクラウドPCなどが挙げられます。このような仕組みを導入することによって、データを物理的に持ち出せないようにできます。さらに、クラウドサービスの利用状況についてもログで一元管理できるので、承認されていないアプリを使用した場合にも検知でき、トラブルが発生する前に対応できます。
このように、データレスクライアントの採用で、「組織のガバナンス強化」と「社員の利便性向上」を両立できます。
データレスクライアントを導入する際には、さまざまな注意点があります。ここでは、その注意点をを解説していきますので、実際に導入を行う際に参考にしてください。以下にて3つのポイントをご紹介します。
こちらの記事では、「シャドーIT」と「データレスクライアント」について解説しました。
シャドーITは、現場が利便性を求める中で自然発生しますが、企業にとってさまざまなリスクを高めることになります。ここでデータレスクライアントの採用によって、リスクを根本からの抑制が可能であることに加え、業務の生産性も確保できます。
以上のように、今後の企業IT環境では、使いやすさと守る仕組みの2点を両立できるアプローチが求めらていきます。
