ノーコード／ローコード開発の拡大で増える「市民開発者」、見えないシャドーITの新形態

背景

業務部門が自らアプリケーションやワークフローを作成できる「ノーコード／ローコード開発プラットフォーム」（Microsoft Power Apps、Google AppSheet、OutSystemsなど）の普及により、いわゆる「市民開発者（Citizen Developer）」が急増しています。これにより、現場のニーズに即した業務アプリをIT部門の手を借りずに短期間で実装できる一方で、セキュリティやガバナンスの観点から新たな課題が生じています。従来のシャドーITは未承認クラウドサービスの利用でしたが、ノーコード／ローコード環境では「未承認アプリケーションそのもの」が社内外のデータにアクセスするため、情報漏えいや過剰権限の拡大、コンプライアンス違反に繋がるリスクが高まっています。特に、セキュリティ知識を持たない業務担当者が開発を行うことで、意図せず機密情報の外部公開や不適切な権限設定が発生する事例が報告されています。

実態

ノーコード／ローコード開発によるセキュリティリスクの具体例として、次のようなケースが報告されています。営業部門の担当者が、顧客管理を効率化するためにノーコードツールで独自の「簡易CRMアプリ」を作成し、内部用のはずが誤って外部公開設定になっていたため、インターネット上から誰でもアクセスできる状態になっていた事例があります。人事部門が従業員アンケートアプリを作成した際、回答データに給与や評価情報などの機微情報を含めたにもかかわらず、アクセス権限を「社内全員」に設定してしまい、本来閲覧権限のない従業員まで閲覧可能になっていた事例も見られます。また、ローコードで作成したワークフローから、SaaS（CRM、会計システム等）のAPIキーを平文でハードコードし、そのままGitHubなどで共有してしまうケースも発生しています。これらは必ずしも悪意によるものではなく、「セキュリティや権限設計を知らない市民開発者」が善意で作ったアプリが結果的にリスクとなるパターンが大半です。調査によれば、従業員の70%以上が何らかの形でノーコード／ローコードツールを使用しているにも関わらず、企業が把握している利用実態は30%程度に留まっているという報告もあります。

影響と対策

ノーコード／ローコードアプリ経由の情報漏えいは、誰が何を作ったのか、どこに公開されているのかをIT部門が把握していないことが多く、被害の特定と再発防止が非常に困難です。対策としては、まずプラットフォームレベルでのガバナンス強化が欠かせません。Microsoft Power Platformや各種ローコード基盤には、環境ごとの権限管理、データ損失防止（DLP）ポリシー、外部接続コネクタの制限などのガバナンス機能が用意されています。これらを適切に設定し、「機密データを扱うアプリは特定環境のみで作成」「外部公開は管理者承認制」「特定SaaSへのアクセスはIT部門管理のサービスアカウント経由のみ」といったルールを徹底することが重要です。また、FortiGateやCheck PointのCASB機能を活用し、ノーコード／ローコードプラットフォームで作成されたアプリ一覧や、そのデータアクセス状況を可視化・監査することも有効です。さらに、市民開発者向けの簡易セキュリティガイドライン（「個人情報を扱う場合はIT部門に事前相談」「公開設定は必ず二重チェック」「APIキーは絶対にハードコードしない」等）を策定し、短時間の研修を行うこともリスク低減に直結します。

まとめ

ノーコード／ローコードはDX推進の強力なエンジンですが、適切なガバナンスなしに拡大すれば「見えないシャドーIT」を爆発的に増やす結果になりかねません。重要なのは、市民開発を禁止するのではなく、「ガードレールを敷いた上で推進する」ことです。PSIでは、CASBによるノーコード／ローコード環境の可視化と、プラットフォーム固有のDLP・権限設定の設計支援、市民開発者向けセキュリティ教育プログラムを組み合わせ、開発スピードとセキュリティを両立する体制構築をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp