シャドーITとSaaSスプロールが急拡大、見えないクラウド利用が新たなリスクに

背景

業務の効率化とDX推進に伴い、従業員が自ら選んだSaaS（クラウドサービス）を業務で利用するケースが急増しています。一方で、情報システム部門が把握・管理していないクラウドサービス、いわゆる「シャドーIT」や「SaaSスプロール」が大きなセキュリティリスクとなっていることが、国内外の各種調査で指摘されています。無料のファイル共有サービス、タスク管理ツール、オンラインストレージ、AI翻訳・チャットサービスなど、多数のSaaSが業務データの保存・共有に利用されており、組織の境界外に機密情報が拡散しやすい状況が生まれています。特に生成AIサービスの普及により、従業員が業務効率化を目的として無断でこれらのツールを利用し、意図せず機密情報を外部に送信するリスクが高まっています。

実態

シャドーITが発生する主な要因は、「公式な申請・導入プロセスが煩雑」「既存システムが使いづらい」「すぐに試したい」といった現場のニーズと、IT部門とのギャップにあります。従業員は、業務資料を自宅PCから参照するために個人用クラウドストレージへアップロードしたり、大容量ファイル送信のために外部の無料サービスを利用したりします。また、ブラウザ拡張機能型のSaaSや、GoogleアカウントやMicrosoftアカウントで簡単にシングルサインオンできるサービスは、導入ハードルが低く、短期間で社内に広がりやすい傾向があります。特に生成AIサービスにおいては、開発者がソースコードやエラーメッセージを貼り付けて解決策を求めたり、営業担当者が顧客情報を含む提案書の作成支援を依頼したりするケースが頻発しています。こうしたサービスの中には、データの保存先が海外データセンターであったり、第三者への再委託が不透明であったり、退会後もデータが長期間保持されるものも存在します。さらに、アカウントの削除・権限の取り消しが徹底されていない場合、退職者の個人アカウント経由で機密情報にアクセスされるリスクも生じます。

影響と対策

シャドーITやSaaSスプロールがもたらす影響は、情報漏えいリスクの増大だけでなく、コンプライアンス違反、インシデント発生時の調査困難化、ライセンス管理の複雑化にも及びます。対策としては、まず「禁止一辺倒」ではなく、業務ニーズを踏まえた上で利用を許可するSaaSを整理し、ホワイトリストとして明文化することが重要です。そのうえで、FortiGateやCheck PointのSWG（セキュアWebゲートウェイ）機能やアプリケーション制御機能を活用し、未承認SaaSへのアクセスを可視化・制御します。さらに、CASB（Cloud Access Security Broker）を導入することで、クラウド上の共有設定や外部公開リンク、過剰権限を継続的に監視し、リスクの高い利用を自動的に検出・是正できます。また、DLP（Data Loss Prevention）機能により、機密データの外部送信を検知・ブロックする仕組みも有効です。情報資産管理の観点から、重要データは必ず社内で認められたストレージ・共有基盤に保存するルールを徹底し、従業員への継続的な教育を行うことも欠かせません。

まとめ

シャドーITは「現場の工夫」の裏返しであり、単純な禁止では解決できません。重要なのは、まず現状を可視化し、リスクを評価したうえで、業務とセキュリティのバランスが取れた公式な利用ルールと技術的統制を整えることです。PSI社では、ネットワーク製品とCASBソリューションを組み合わせ、シャドーITを「見える化」し、安全なクラウド活用を実現するためのご支援を行っています。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp