情シス・法務から組織を加速させる、ITツール導入審査の心構え
第2回 テレワーク推進により注意すべきシャドーITのリスクと、IT導入時に各部門が果たすべき役割
IT・情報セキュリティ
目次
近時、テレワーク導入の流れが加速するなか、新たなクラウドサービスの活用や、私物端末の業務利用(BYOD:Bring Your Own Device)などITの活用を進める企業が増えています。こうした積極的なITの利用は業務効率やクオリティの向上に寄与する一方、組織内で利用されているITを適切に管理できていないと、情報漏えいやセキュリティなどのリスクが生じえます。
BUSINESS LAWYERSが2020年5月に実施したアンケート 1 では、約4割の企業でIT導入・開発時の審査フローが未整備であり、また十分な審査が行われないまま社員の判断で利用される「シャドーIT」が社内に存在するとする回答も少なくありませんでした。企業は適切なITの利用を促すうえで、どのような審査の体制・方法をとるべきなのでしょうか。
本稿では、セキュリティ対策のコンサルティング等を行う株式会社ラックのセキュリティプロフェッショナルサービス統括部デジタルペンテストサービス部長 兼 サイバー・グリッド・ジャパン シニアリサーチャー 仲上 竜太氏に、IT導入時に各部門が果たすべき役割や、シャドーITの利用を減らすための考え方について伺いました。
個人アカウントでのクラウドサービスの利用がシャドーITとして問題に
従来から企業におけるシャドーITの存在が指摘されていますが、コロナ禍によるテレワーク推進を背景として、現場担当者の独断で新たなIT・サービスが利用されるケースも生じているようです。シャドーITに関する近時の状況を教えてください。
近年、様々なクラウドサービスの利用が一般的になっています。シャドーITにおいては、このクラウドサービスの私的利用が大きな課題となってきています。たとえば、自宅で業務を行うためデータを持ち帰りたい場合に、個人的なアカウントのクラウドストレージにデータをコピーし、自宅でダウンロードして利用するケースなどです。このようなクラウドサービスの私的利用は、企業や組織の機密データの漏えいにつながりえます。
また、スマートフォンやタブレットなど従業員個人の携帯情報端末を会社の無線LANに接続するケースも見受けられます。多くの場合、大きな問題にはなりませんが、組織として管理されていない携帯情報端末を通した、社内ネットワークの侵害の端緒にもなりえます。
さらにBUSINESS LAWYERSによるアンケートをみると、シャドーITとして代表的な、クラウドサービスの利用やPCの持ち込みだけでなく、許可していないものの導入が簡単なソフトウェアのインストールや、緊急性の高いテレワークにあわせて導入されたソフトウェアの利用なども回答されています。インターネットで配布されている手に入れやすいソフトウェアのなかには、悪性の動作をするものも含まれています。そのため入手の仕方やルールについては社内での周知が必要でしょう。
アンケートでは、企業内でIT導入時の審査フローが決められていながらシャドーITが利用されているとする回答がおよそ4分の1にのぼりました。ITの導入検討方法や審査フローについて、担当者はどのような悩みを抱えているのでしょうか。
多くのクラウドサービスは、インターネットに接続していれば簡単に利用できます。そのため、組織内での審査を受けず、私的なアカウントでの利用や許可されていないサービスの利用が可能です。
情報システムやオンラインサービスを扱う従業員であれば、業務での新たなIT・サービスの利用時に必要な審査フローの存在を認識していますが、多くの場合、一般社員にはその存在があまり周知されていないものと思われます。シャドーITによるリスクの啓発や、承認・審査のフローの周知の難しさが担当者の悩みではないかと考えます。
IT・サービスの審査フローに関わる部門とそれぞれの役割
社内で新たに利用されるIT・サービスを審査・承認するうえでのポイントを教えてください。
まずは社内で業務利用が可能な認可したIT(Sanctioned IT)の棚卸しが重要です。どのようなサービスを、どの部門の、誰が、どのぐらい、いくら使用しているかを把握します。また状況に応じて全社的な取り組みとして利用するサービスを統一するなど可能な範囲で管理の一元化とコスト削減を検討します。
シャドーITが蔓延する背景の紹介箇所でも説明したように、審査・承認方法の周知も重要です。シャドーITによるリスク・問題点を啓発し、認可されたITの使用や審査・承認を自発的に行ってもらえるよう周知する努力が必要になります。
たとえば、定期的な情報セキュリティ研修を実施し、未許可のクラウドサービスやSNS、ファイル共有サービスが原因となって起こる情報漏えいなどの事例を提示することは、意識向上の観点で有効です。さらに、社内で利用可能なサービスの一覧や利用方法、新たなクラウドサービスの利用申請フローを従業員が分かりやすいように社内イントラネットなどに掲示を行うことで、適切な利用を促すことができます。
IT・サービスの審査フローにおいて、各部門はどのような役割を果たすべきでしょうか。
IT・サービスの審査・承認時には、リスクマネジメント部門が主要な役割を果たします。IT・サービスの利用によるリスク管理の観点で、どのようなリスクが生じるのか、どのように軽減できるのかを評価し、新たな導入における評価基準を、IT・サービスの有識者とともに策定します。
次に、情報システム部門は実務的な役割を果たします。IT資産管理の観点で、承認されたIT・サービスの管理・利用状況を把握し、適切な利用を促します。
法務部門は、リスクマネジメント部門が実施するIT・サービスの評価基準の策定に参加し、GDPRやCCPAなどのプライバシーや情報保護に関する法律、クラウドサービス事業者の管理体制、係争になった場合の対応などの観点で利用者が確認すべき評価基準を設定します。あわせて、個人情報保護など利用者側が守るべき制約についても基準に盛り込むことで未必の故意による事故の発生を防ぎます。
加えて、定期的にIT・サービスの審査・承認が機能しているかを社内のIT利用実態とあわせて点検することで、リスクマネジメントやコンプライアンスの遵守が保たれているか確認することを推奨します。
また前述のアンケートでは、法務部門やシステム部門、事業部門の間で、審査に関するIT知識や法務知識に関するギャップがあることが課題としてあげられています。事業部門も、ソフトウェアやクラウドサービスの利用にあたっての最低限の契約知識を持つことでより効率的なサービス選定が行えるものと思います。
適切なIT・サービスの利用を積極的に後押しすることがシャドーIT対策に
シャドーIT対策の重要性を社内で共有し、体制や予算を確保するためにはどうすべきでしょうか。
シャドーIT、BYODや私的なクラウドサービスの利用による情報漏えい事故は現実問題として様々な事例が存在します。セキュリティ担当者向けのニュースサイトでは、直近で発生したインシデント(情報システムにまつわる事故)の事例が多数紹介されています。
これらの事例の共有を通して、従業員のシャドーITのリスク意識向上が期待できます。
あわせて、利便性が高く安全なサービスの活用を積極的に推進する姿勢が重要です。多くの場合、新たなIT・サービスは、費用対効果や業務効率向上を目的として利用されます。利便性と安全性を備えた適切なIT・サービスの利用を積極的に後押しすることで、「申請手続きや承認が面倒」「止められそう」といった不安を解消し、業務効率の向上とともにシャドーITの割合を減少させられます。
社内でのITの利用推進へむけた体制構築、人材確保について企業が取り組む際のポイントを教えてください。
情報システムは今やオフィスオートメーションからIT革命を経て、デジタルトランスフォーメーション(DX)の推進へと進んでいます。業務におけるITの活用はますます活発になり、現代の経営ではITを上手く使いこなすことがこれまで以上に求められます。
反面、ITの拡大には現実的な課題として情報漏えいや知的財産の窃取、新たなプライバシーの問題が伴います。ITにまつわるあらたな権利や法知識、制度を常にアップデートし続け、守るべき資産を明確にすることが新たなテクノロジーの活用を適切に進めていくためには重要です。多くの企業で設置が進められているCISO(Chief Information Security Officer=最高情報セキュリティ責任者)など、情報システムの開発・構築・運用だけではなく、ステークホルダーから求められるコンプライアンスやリスクマネジメントを主導的にITに反映する人材が求められています。
さらに、今後はデジタルネイティブと呼ばれる世代が社会の中心となってきます。新たなITツールの活用に自主的に取り組める若手社員を積極的に登用し、社内のIT利活用の活性化をはかることが望ましいでしょう。
今後、ITの業務利用が一層進んでいくと考えられるなか、業務効率化・クオリティ向上と、ガバナンス・セキュリティとを両立していくうえでどのような考えをもつべきでしょうか。
IT・サービスの位置づけが業務効率化から、価値創造にシフトしており、デジタルそのものが資産価値を有する時代となりました。またコロナ禍においては、行政によるテレワーク・リモートワークの推奨により、混乱がみられながらも、新たな生活様式(ニューノーマル)の形として、デジタルワークが常識となりつつあります。
テクノロジー、セキュリティ、コンプライアンスのバランスをとりながら積極的なIT利活用を促進するためには、従業員1人ひとりのリスク意識の向上が欠かせません。同時に、新たなテクノロジーに安全にチャレンジできる環境づくりも、これからのデジタル企業経営に欠かせない取り組みではないかと考えます。
ITを利用した、新たな業務の在り方やチャレンジを実現するために、安全な環境・仕組みを整備する必要があるということですね。本日はありがとうございました。
法務担当者やシステム担当者の方ヘ向け、システム開発の進行や契約時に役立つ解説記事をまとめて掲載しています。
システム開発やDXの推進にあたり事前に知るべき法的観点や、システム開発契約時に留意すべき点などについて説明していますので、あわせてご参考ください。
-
BUSINESS LAWYERS「IT導入の審査・検討時における法務担当者の役割に関するアンケート」(2020年8月19日) ↩︎