2022.01.16 怖い話②「シャドーIT」
怖い話②「シャドーIT」
センター長の中村です。
インターネットが普及し始めた1990年代頃、その利用はホームページの閲覧とEメール。
とっくの昔に死語になった「ネットサーフィン」ですね。
検索エンジン(この言い方も古いかな)だって「Yahoo!JAPAN」一択の時代でした。
ところがご存じのごとく、今はインターネットの利用環境は大きく変わっています。
例えば、
DVDなどの媒体経由が当たり前だったアプリケーションソフトウェアは、媒体不要でサイトからのダウンロードでインストール。
Emailなんて古く感じるほど、多彩になったコミュニケーションツール。
あちらこちらにある公衆Wi-Fi環境。
毎日必ず利用するSNS。
有償無償のクラウドサービス。
メールのアドレスだって制限なく手に入れることができます。
情報収集も発信も、ストレスを感じることなく実現しています。
そして、リモートワーク・テレワークが日常的に当たり前になった現在、企業組織においては「シャドーIT」というリスクを意識する必要があります。
「シャドーIT」とは、従業員が属する企業組織が承認または把握していない、私物のデバイスやソフトウェア、オンラインサービスを利用して業務を行うことです。
例えば、
「GoogleDrive」や「OneDrive」「DropBox」といった個人が無償で利用できるオンラインストレージサービス上に業務で扱うデータを保管して、私物のPCで仕事をする。
個人メールアドレスで取引先と業務データのやり取りをする。
SNSを利用して仕事の情報を共有する。
私物のUSBメモリ等の使用もこれに当たります。
操作ミスやデバイスの不用意な廃棄・紛失、セキュリティが施されていない私物PCのウイルス感染と拡大、そして情報漏洩、情報流出。
隙だらけです。怖いですねー。
ではこれを防ぐためにはどのようにすべきか。その例が次のようになります。
・利用者が勝手な判断をしないように社内規定ルールを明確にすること。
→利用できるソフト、サービスの規定、私物のデバイスの利用制限
・リスクを守るための教育を行い、周知徹底すること
→情報セキュリティ勉強会・講習会
・IT資産や情報資産を管理するツールを導入すること
→操作ログの収集、各デバイスの状況把握、禁止行為に対する警告
そして、最も大事なのは情報セキュリティに対する基本方針を経営者が先頭となり企業組織が宣言し、そのもとに「情報セキュリティポリシー」を策定し、周知徹底し、教育すること。
これに尽きると考えています。
当社も「情報セキュリティ委員会」を中心に取り組んでおり、「情報セキュリティマネジメント」の資格取得を目指しています。
ビクビクする必要はありませんが、デジタルツールを利用活用し、DX時代を乗り越えていくためにも、情報セキュリティには目を背けないで取り組むべきですね。
「怖いなー」と感じた方はぜひ、相談してください。
以上です。