シャドーITのリスク~あなたの使ってる生成AIは大丈夫?~

シャドーIT

生成AIについてYouTubeでも多く紹介され、これは便利かもと会社で使っている人もいるかもしれません。アイデアの創出から要約、校閲までさまざまな使い方ができ、用途に応じて種類も豊富に出てきました。

そんな生成AIは会社で利用して大丈夫でしょうか?実は使うと危険だったり、使うことを禁止されていたなんてことも。

生成AIに限らず勝手にITツールを使うシャドーITについて紹介します。

シャドーITとは

シャドーITとは、従業員が企業の承認を得ずに個人的に使用するデバイスやソフトウェア、クラウドサービスを指します。

企業が把握していない影のITというところからシャドーITと呼ばれています。

シャドーITは、通常は悪意をもってやっているわけではありません。一般的には社員や部門が、時間的な猶予が無い中で自身の生産性向上やビジネス要件等の課題に対応する際など、こうした障壁を解決するために結果として実施されます。

社員の自律的行動は褒められたことであると一概には言えません。背後にセキュリティリスクが隠れていることが多いためです。

どのような場面がシャドーIT?

セキュリティリスクが隠れているといいましたが、ITツールをただ使うだけでどこにセキュリティリスクがあるというのでしょうか?とりあえずいくつか場面を挙げたいと思います。

適当にツールをインストールする

業務効率化のために出所不明のツールを勝手に社内PCにインストールしている人をよく見かけました。

個人的なクラウドサービスを利用する

最近はインストールが不要なツールを個人的に使っている人も見かけるようになりました。生成AIなどもこの部類に入りますがウェブブラウザ上で利用できます。何も考えずにいろいろと情報を入力しながら利用していると、実はリスクをはらんでいるかもしれません。

個人のLINEを利用する

これもよくありますね。LINEで業務のやり取りを行なっているなんて日常茶飯事です。公開してもいいのかという写真を撮って共有し、企業情報も入力してたりしますよね。

信頼感が高いサービスであると思いますが、万が一にも外部に流出したら。。。

プライベートのメールアドレスを利用している

エクセルなどのデータを会社のメールアドレスから添付して個人のメールアドレスに送ってプライベートのPCで仕事を持ち帰って作業することが目的ですね。

業務情報がメール内にもありますが、作業するために管理されていないPC上にも存在する状態となります。どんどんコピーされていってますね。

ただ、リモートワークができるようになって減っているかもしれません。

個人のUSBメモリを利用

知らないうちに個人のUSBを業務情報の受け渡しに利用されているかもしれません。それが自家用車や公共交通機関を経由して別の場所にある現場や仕事の持ち帰りのために自宅に持ち運ばれてる可能性があります。

スマートフォンを社内PCに接続

スマートフォンの充電のために何気なくPCと接続しているかもしれません。データバックアップが勝手に始まったとか騒いでる人を見たことがあります。

クラウドストレージサービスの利用

個人で契約したクラウドストレージサービスを業務に利用している人がいたりしませんか。他の人との共同作業が便利だとか言ってる人がいました。

危険な公共Wi-Fiの利用

ノートPCやスマートフォンが当たり前になりWi-Fiの普及が進みました。公共Wi-Fiや店舗が用意するWi-Fi、企業が社内向けに設置するWi-Fiなどありとあらゆるところを電波が飛んでいる時代になりました。

リモートワークが普及したことで自宅だけでなくホテルやカフェ、移動中などに公共Wi-Fiにつないで社内へログインする人は多いと思います。パスワードなしで使えるものもあって便利ですよね。

シャドーITが及ぼす影響について

事例を挙げましたが、普段やっているよ?っていう人もいるのではないかと思います。それぞれがどのような影響を及ぼすのか確認していきます。一つの事例が複数の影響に関与していることもあります。

セキュリティリスク

セキュリティリスク
    【該当場面】
  • 適当にツールをインストールする
  • 個人のUSBメモリを利用
  • スマートフォンを社内PCに接続
  • 危険な公共Wi-Fiの利用

出所不明のソフトウェア、脆弱性のある状態のツールなどからマルウェアへの感染の危険性があります。

また、接続したUSBメモリやスマートフォンがウィルスに感染していた場合は、PCに接続した際に感染が拡大するリスクがあります。

会社としては何が使われているか把握できていないため、使っている人が気にしないとセキュリティホールになる可能性が高まります。

情報漏洩

情報漏洩
    【該当場面】
  • 個人のLINEを利用する
  • プライベートのメールアドレスを利用している
  • 個人のUSBメモリを利用
  • クラウドストレージサービスの利用

プライベートで利用しているスマートフォン、USBデバイス、クラウドストレージからの情報漏洩も企業に甚大な被害を与えます。スマートフォンやUSBデバイスでは、紛失による漏洩がありますが、個人所有のため紛失に気づかない、または紛失したことを報告しない場合が考えられます。

メールやストレージがクラウドのような社外に保管される場合、サイバー攻撃によるデータ漏洩の懸念があります。しかも個人で脅威に感じている人は多くないと考えられ、何のデータをそこに保管しており、何が流出したかを把握できない場合が多いです。

また、クラウドストレージサービスでは公開設定もあったりするため、無条件公開になっていたなどアカウントの設定が誤っていて情報漏洩していたといった可能性もあります。

いつの間にか流出していたという可能性を秘めており、会社として把握できていないと考えると恐ろしいですね。

生成AIの不都合な利用も情報漏洩の危険があります。それは生成AIが学習に利用されるという特性があるからです。事例は後ほど紹介します。

コンプライアンス違反

コンプライアンス違反

コンプライアンスは経済活動において最も注意すべき点の一つであります。

    【該当場面】
  • 適当にツールをインストールする
  • クラウドストレージサービスの利用

クラウド上に上げてはいけないと顧客との間で合意をしていたものがクラウド上に上がっていたなんてことがあったら、契約違反として社会的制裁を受けるかもしれません。

生産性を高めるための無償ツール(OSS)についても何でも自由に使って良いというわけではなく、一定の条件においての使用が許諾されているものが多いです。ライセンス違反を指摘されたり、訴えられて損害賠償請求されるリスクもあります。

互換性がない

    【該当場面】
  • 適当にツールをインストールする
  • 個人的なクラウドサービスを利用する

それぞれの社員がそれぞれのツールを使っていた場合、他のツールとの連携がとれなかったり、他の人がアクセスできなかったりするリスクがあります。

同じツールを使っていないので使い方などの質問をしても回答を得られない可能性が高いです。無駄な作業が発生し、結果的に生産性が下がってしまうかもしれません。

ほかのリスクに比べるとましだと思うかもしれませんが、現場では混乱が生じる危険性が高いです。特に引継ぎ時や部署の統廃合、システムの入れ替えなどを含むDX施策などの障壁にもなります。

理由

シャドーITとなりうる場面とその影響について紹介しました。個人のやり方だけで企業活動の存続にも影響が出る可能性をはらんでいましたね。ではなぜそのようなものを使うようになってしまうのでしょうか。

環境の進化

民間企業が提供するITツールが進化し、無料で使いやすいWebサイトやアプリケーションが多く登場しました。生成AIもそうです。会社で購入しないと使えないものではなく、個人でアカウントを作成したり契約しWebブラウザ上で使えてしまいます。金額も個人向けプランが用意されていたり、無料でもある程度利用できたりします。

リモートワークの普及

コロナ禍から急にリモートワークが普及しました。それにより多くの人が職場以外の自宅や移動中などあらゆる場所から社内にアクセスできるようになりました。

オフィス外での業務の効率を上げるために、社員が独断で新しいITツールを導入し利用するためです。

何気なく

スマートフォンの充電なんかが典型的な例ですが、自宅では当たり前にやっていることが会社でもでてしまうという場合です。USBメモリも家では普通に使っている人も多い身近なものです。

会社ではダメなことをしっかり理解しておく必要があります。

不便・不満

企業側のIT環境の整備が微妙で不満を持っていることが考えられます。

また、先に述べた通り個人でも便利なツールを簡単に使えるようになりました。業務特有の便利な機能や、お気に入りの機能が人によってそれぞれあり自分にとって都合の良いように使おうとします。

IT系の会社であればあるほど優秀な方が先進的なツールを使いたがってましたね。組織が提供するツールよりも効率的で使い勝手の良いツールを求めるからです。特に、これらのツールがパフォーマンスを向上させたり、プロセスを合理化したりするように見える場合、従業員は長期的なリスクよりも目先の生産性向上を優先することが多いです。

コミュニケーションツールも不満が出やすい分野です。社内ではやりやすいけど外出先からだと電話しかできないとなれば、どうしてもLINEなどの無料コミュニケーションツールに流れてしまいます。写真も簡単に共有できますし、グループトークも簡単に作成できます。

対策

日夜変わりゆく社会の中で人々の感情も変化していくことでシャドーITが生まれていくようです。ただ、シャドーITが企業の存続にも影響を与えかねないリスクであることに変わりはありません。どうにかしないといけない所ですが、「シャドーITとならないようにしてください」と一言言ったところで問題が解決するものではありません。対策として以下に挙げますが、進めやすい対策の順となっています。

ガイドラインの策定、教育

ウェブ会議や生成AIにも選択肢があります。それぞれのツールのメリットデメリット、安全性を考慮し、会社として合うものを決めることは重要です。そしてその使い方を定義する必要があります。生成AIに質問してはいけない内容など一定の規約を設けることも必要です。

呼びかけ自体はあまり対策とならないと言ったところですが、教育自体は重要です。まずどのようなものがシャドーITとなり、どのようなリスクがあるのかを知ることが抑止にもつながります。

監視

社員が無許可で何かを使っていないか、社内ネットワークを監視し、不審なアクセスを検知する仕組み、システムを構築することがリスク回避につながります。

例えば社内PCに外部ストレージを挿すとエラーになるように制御している企業も多いと思います。

IT環境の整備

社員の声を聞くことも重要です。なんでもダメだと否定するだけでは社員の生産性が下がり人材流出にもつながりかねません。困り事を減らすための投資は、何もしなかった時のセキュリティ事故にかかる費用より低く抑えられる場合もあります。

例えばチャットツールを導入する場合、LINEのチャット機能より不便なところがないか比較してみると良いでしょう。不便なところがシャドーITの温床になると考えて、セキュリティも担保できるツールを探し出すと社員満足度の向上とセキュリティ向上につながります。もちろん検討することは大変です。

きちんと定義を行い、社員にとって働きやすい職場作りをすることが、何よりもの対策となるでしょう。その上で監視・禁止を行うことがシャドーITの回避につながります。

シャドーITに関連したお話

最後に今まで紹介してきた中の少し世間をにぎわせた事例を紹介します。

生成AIのリスク

生成AIが話題となり、「生成AIを使いこなせなければ、未来はない」などとトップの方が年頭所感しているなと思った人も少なくないのではないかと思います。もちろん便利であり、使いこなすことで生産性からアイデア発掘、新たな事業などつながるものは多いです。しかし、タイトルにもつけましたが使い方について問題ないでしょうか?

生成AI分野はChatGPTを皮切りにClaudeや検索型のPerplexityなど乱立しました。そのほかにも機能に特化したAIも日進月歩で登場しています。

生成AIは学習に利用されるという性質があり、企業の知的財産が流出するという事件もありました。

ニュースでも取り上げられましたが、サムスンのエンジニアが社内機密のソースコードをChatGPTにアップロードし、解決策を問い合わせたものです。学習データとして活用された場合、他のユーザーに情報が提供されてしまう可能性の懸念があるということですね。

また、AmazonではChatGPTの応答がAmazonの内部データと似ている出力を発見したという報道もでています。こちらは社員が流出させたかはわかりませんが、コードなどの機密情報をチャットボットに入力しないよう警告を出しています。

このように企業がガイドラインを定めていない初期の生成AI時代は、個人が自由に使い、生産性アップや便利な反面、情報流出の危機を招いていたという感じですね。大手企業において上記事象があったことで、生成AIの企業における危険性が身近に感じる結果となりました。

WEB会議サービス「Zoom」の脆弱性

リモートワークが普及した際は、コミュニケーションをとるツールが必要になりました。「ウェブ会議だ、Zoomが有名だから使ってみよう。」と適当にアカウントを払いだして無造作に使っていた時もあったのではないでしょうか。実は脆弱性があったなんて有名な話もありますね。

Zoomでは急速に普及した2020年に、Windowsで任意のコードを実行できる脆弱性が報告され、攻撃者がユーザーのデータにアクセスしたり、システムを操作することができる可能性がありました。その他にも、Macでもリモートでのカメラアクセスが可能となる脆弱性も発見されました。

有名なアプリケーションであっても不具合はあり、常に安全なバージョンを使えるように管理、共有が行えることが望ましいです。

まとめ

人は怠惰な生き物です。面倒なことは嫌います。それがシャドーITにつながっていきます。

また、時代の進化も挙げました。目的地に向かうにしても昔は地図を広げて人に聞くしかなかったものが、今はGoogleマップを開いて案内させています。

ぜひ働きやすい職場を目指し、シャドーITのリスクを現状させていってください。

参考リンク

【やじうまPC Watch】Samsung、ChatGPTの社内利用で3件の機密漏洩 - PC Watch

アマゾン社員が業務でChatGPTを利用する事案が発生。「機密情報を共有しないように」と顧問弁護士が注意喚起 | Business Insider Japan

NVD - CVE-2020-6109(Zoomの脆弱性について)

NVD - cve-2019-13450(Zoomの脆弱性について)