JAPHICマーク取得企業の情報セキュリティ体制は、マーク取得時だけでなく、取得後も強固でなければいけません。
しかし、従業員の不適切な行動により、体制が脆弱化することもあります。
また、従業員による危険な行動の一つに、シャドーITの導入が挙げられます。
今回は、シャドーITの概要や原因、対策などについて解説します。
シャドーITの概要
シャドーITとは、情報セキュリティ担当者などが関知せず従業員が独自に導入したIT機器やシステム、クラウドサービスなどのことをいいます。
このようなIT機器やサービスは、適切に管理されないことが多いです。
また仮に脆弱性が発見されたとしても、対策されない可能性が想定されるため、情報セキュリティ上のリスクとなります。
具体的には、不正アクセスに伴う情報漏えいや、JAPHICマーク取得企業のシステムに対する攻撃といったリスクが高まります。
シャドーITが導入される原因
従業員がシャドーITを導入する原因としては、各従業員が社内のIT環境に不満を抱いていることが挙げられます。
例えばファイルやデータの共有がスムーズにいかない場合、従業員は不満を抱き、独自にIT機器やサービスを導入することがあります。
また、企業がチャットツールの使用を許可しておらず、コミュニケーションが取りづらい場合なども、シャドーITは導入されやすいです。
確かに、シャドーITを導入する方が業務効率はアップするかもしれませんが、前述の通りセキュリティ的には問題が生じます。
そのため、未許可のツールが蔓延している企業では、必ず対策を取らなければいけません。
シャドーITの対策
JAPHICマーク取得企業は、シャドーITの導入を防ぐために、まず従業員が業務を行いやすい環境を整えなければいけません。
具体的には、ヒアリング結果をもとに従業員が必要なツールを洗い出し、法人向けチャットサービスやオンラインストレージサービスの導入を進めます。
また、シャドーITを防ぐには、ガイドラインの策定や従業員教育も必要です。
シャドーITの危険性や禁止事項を示したガイドラインを策定し、従業員教育を行えば、無断でツールを導入する従業員は減少しやすくなります。
まとめ
強固な情報セキュリティ体制を維持しなければいけないJAPHICマーク取得企業にとって、シャドーITはとても厄介な存在です。
しかし、単純に使用を禁止するだけでは、根本的な解決にはなりません。
企業は従業員の気持ちを汲み取り、このようなリスクの高いツールが増加しないように対策を取る必要があります。
もちろん、IT機器やサービスの安全性については、適宜見直すことも大切です。