is702

私物のスマホやアプリを勝手に仕事で利用していませんか?

2014/09/18
私物のスマホやアプリを勝手に仕事で利用していませんか?

私物のスマホやプライベートで使用するWebメール・オンラインストレージなど、企業が許可していないIT機器やオンラインサービスを勝手に業務に使用する「シャドーIT」が問題になっています。便利だからと安易に取った行動が引き起こす問題を知り、注意したいポイントを理解しましょう。

勝手なIT利用が情報漏えいのリスクに

「シャドーIT」という用語が注目を集めています。これは、企業が許可していない、あるいは利用ルールを定めていないIT機器やオンラインサービスを勝手に業務に使用する行為や状況を指します。私物のパソコンやスマホ、タブレット端末、プライベートで使用しているオンラインサービスを業務に利用するのはシャドーITに含まれます。

使い慣れた端末やオンラインサービスを仕事でも活用し、効率を高めたい気持ちは理解できますが、こうした安易な行動が情報漏えいを招く重大なリスクになります。

トレンドマイクロが2014年6月に業務データを取り扱う従業員1,038人を対象に実施した調査では、外部と業務データをやり取りする際に「オンラインストレージやUSBメモリなどの何らかのツールの使用を勤務先が明示的に禁止している」と回答した従業員は476人に上りました。しかも、そのうちの54.8%は過去1年の間に禁止されているツールを利用したことが明らかになっています。

Q:過去1年間に勤務先で禁止されているツールを利用し、社外と業務データのやりとりをしたことがあるか?(n=476)

便利さの裏にある落とし穴

みなさんは勤務先で次のような行動をとっていませんか。それらの行動で生じるリスクを知っておきましょう。

シーン1

私物のスマホで社内システムにアクセスし、社外秘の売上情報をダウンロードした

シーン2

私物のスマホに企画会議の録音データとホワイトボードの写真データを保存した

小型で持ち運びやすいスマホは、パソコンに比べて盗難・紛失に遭うリスクが高い端末です。スマホが悪意のある第三者の手に渡れば、重要な情報を盗み見られたり、インターネット上に勝手に公開されたりする恐れがあります。

シーン3

個人のメールアドレスに業務用の資料を送信し、自宅で仕事をした

個人のメールアドレスに業務データを送り、自宅のパソコンで作業するのも危険な行為です。自宅のパソコンがウイルスに感染していると、業務データが外部に流出してしまう恐れがあります。

シーン4

業務データを取引先と共有する際にプライベートで使用しているオンラインストレージを使った

オンラインストレージは情報共有に便利ですが、認証用のID/パスワードを悪意のある第三者に漏らしてしまうと、業務データを盗まれてしまう可能性があります。また、無料の個人向けサービスは無保証で提供され、事業者側の過失が原因でデータが流出しても原則として損害を補償してくれないことを覚えておきましょう。

シーン5

私物のパソコンを会社に持ち込んで社内ネットワークに接続した

ウイルスに感染した私物のパソコンを勤務先で使用すれば、ネットワークを通じてすべてのパソコンが脅威にさらされてしまいます。

シーン6

業務にも使用する私物のスマホに開発元不明のアプリをインストールした

不正アプリをインストールしてしまうと、利用者本人の個人情報だけでなく、端末内に保存した取引先の連絡先データ、業務データを盗まれてしまう可能性があります。不正アプリではなくとも、利用者の意識しないところで、データを取得し利用するようなアプリもあります。

仕事でITを安全に活用するための4つのポイント

私物のスマホや個人利用のオンラインサービスを業務で使うことが勤務先で認められている場合、規定のルールを守って活用する選択肢もあります。以下の4つのポイントを確認し、情報漏えいのリスクを回避しましょう。

最新のセキュリティ対策を施す

スマホにもパソコンにも、セキュリティソフトをインストールし、最新の状態で使いましょう。脆弱性を突いた攻撃を防ぐために、OSやソフト、アプリの更新プログラム適用も徹底しましょう。

ID/パスワードを厳重に管理する

不正アクセスを防ぐため、第三者に推測されにくいID/パスワードを設定すること、端末やサービスごとに異なるID/パスワードを設定することを徹底しましょう。また、端末から目を離したり、紛失・盗難に遭ったりした際の不正アクセスを避けるため、WebブラウザにID/パスワードを記憶させたり、ログインしたままの設定にしないことも大切です。

信頼できるサービス、アプリ、ソフトを利用する

オンラインストレージなどを利用する場合、その事業者にデータを預けることになります。事業継続期間やユーザ数、セキュリティポリシー、ユーザの評価を事前確認し、信頼できる事業者を選んでください。スマホアプリはGooglePlayやAppStore、キャリア公式のストアなど信頼できるマーケットからのみインストールしましょう。

スマホの盗難・紛失対策を行う

スマホの情報漏えい対策は必須です。一定時間操作せずにいると、自動でスクリーンロックがかかるよう設定し、第三者に不正操作されるリスクを軽減してください。遠隔で端末をロックしたり、データ消去したりする機能も利用しましょう。

私物のスマホやプライベートで使用するオンラインサービスを業務利用するにあたっては、便利さの裏にある情報漏えいのリスクを理解し、勤務先の定めるルールに従って行動しましょう。