お役立ちコラム集

働き方のDXと、ITセキュリティに関するお役立ち情報を発信しています

               【SmartGate HPはコチラ】

タグ: シャドーIT リスク

  • シャドーITとは?なぜ増えているのか──VPNのリスク時代に求められる“安全な業務アクセス”の新常識

    シャドーITとは?なぜ増えているのか──VPNのリスク時代に求められる“安全な業務アクセス”の新常識

    はじめに

    テレワークが一般化した今、企業のIT部門が最も頭を悩ませている課題のひとつが 「シャドーIT」 です。従業員が会社の許可なく利用するクラウドサービスやアプリの総称ですが、その裏には「業務を便利にしたい」という前向きな意図がある場合も多い一方で、情報漏洩のリスクは年々深刻化しています。

    さらに最近では VPNの情報漏洩事例が世界中で報告され、企業が“正規の手段”として提供しているアクセス手段ですら危険になりつつある という現実があります。
    本記事では、シャドーITが注目される理由を整理しつつ、VPNの課題と、それに代わる新しいアプローチとして話題の「セキュアブラウザ」を紹介します。

    シャドーITとは

    シャドーIT(Shadow IT)とは、企業の承認を得ないまま従業員が利用するIT機器・アプリ・クラウドサービスの総称です。
    具体例としては以下のようなものがあります。

    • 個人のGoogleドライブやDropboxに業務ファイルを保存
    • 個人スマホで業務チャットを操作
    • 非公式のタスク管理アプリやSaaSを勝手に利用
    • 情報共有のためにLINEグループを作成

    企業側が把握していない IT 利用が拡散するため、セキュリティ管理が届かず、リスクが急増します。

    なぜ今シャドーITが注目されているのか

    ① テレワークで業務効率化への“個人依存”が進んだ

    在宅勤務環境では「会社のシステムより使いやすいツール」を従業員個人が選びがちです。
    IT部門が環境を統制しきれない結果、ツールが勝手に増殖してしまいます。

    ② SaaSの普及で“誰でもすぐ導入できる”時代に

    SaaSは登録だけで使え、無料プランも多いため、従業員がIT部門を経由せずに業務ツールを導入できる時代になりました。
    利便性の裏返しとして、利用実態が見えないままツールが乱立します。

    ③ 情報漏洩につながるリスクが高まっている

    シャドーITでは以下のような危険が発生します。

    • アカウント共有や弱いパスワードでの利用
    • 権限設定が適切に行われない
    • 個人端末・個人クラウドへのデータ持ち出し
    • ログ管理の欠如でインシデント調査できない

    特に 個人デバイス × 個人クラウド × 無許可SaaS の組み合わせは、企業が最もコントロールできない領域であり、セキュリティリスクの温床になっています。

    VPNの情報漏洩リスクが問題視されている理由

    近年、世界的にVPNの脆弱性や情報漏洩の報告が相次ぎ、「VPNを使っているから安全」という時代は終わりつつあります。

    ① ID/PW が漏れたら“社内ネットワークに丸ごと入れる”

    VPNは「社内ネットワークにトンネル接続」する仕組みのため、
    IDとパスワードが漏れた瞬間に内部ネットワークへ侵入されるリスクが極めて高いという重大な構造的弱点があります。

    特に以下のケースが問題化しています:

    • 端末盗難でVPNクライアントがそのまま利用される
    • フィッシングでIDが奪われる
    • 使い回しパスワードの漏洩

    ZT(ゼロトラスト)と真逆とも言える「入口を通れば自由に内部に入れる」という設計が、攻撃の標的となっています。

    ② VPNアプライアンス自体の脆弱性

    主要ベンダーのVPN製品で
    重大なゼロデイ脆弱性が次々と発見されており、攻撃の温床となっています。

    ③ 帯域負荷・ログ可視化不足

    VPNは“全トラフィックを本社に集約”する方式が多く、

    • 帯域逼迫
    • 通信遅延
    • どのSaaSにアクセスしているかログが取れない

    といった運用課題も目立ちます。
    つまり、シャドーITの監視にも弱いという点が問題です。

    VPN時代の限界を補う “セキュアブラウザ” という新しい解決策

    VPNのリスクとシャドーITの増加という二つの潮流により、
    近年注目されているのが “セキュアブラウザ” です。

    セキュアブラウザとは

    セキュアブラウザとは、
    業務システム・SaaSへのアクセスを、専用ブラウザ経由で強制的に安全化する仕組み です。

    一般的なブラウザ(Chrome, Edge, Safari)とは異なり、

    • コピー&ペースト禁止
    • ダウンロード制御
    • 画面キャプチャ制御
    • URL ルールで許可範囲を限定
    • ログを自動取得
    • 端末側にデータを残さない(リモートレンダリング方式)

    など、情報漏洩を前提としたゼロトラスト型のアクセスが可能になります。

    セキュアブラウザが“VPNより評価される”理由

    VPNと比較した場合、次のメリットが際立ちます。

    • IDが漏れてもデータ持ち出しを防げる(端末に残らない)
    • 内部ネットワークを公開しないため攻撃されにくい
    • SaaS利用のログを取得でき、シャドーITを可視化
    • アクセスできるサービスをブラウザ側で制御可能
    • 帯域を集約しないため高速

    つまり、「許可した業務だけを安全に使わせる」制御を簡単に実現でき、
    シャドーIT対策にも直結します。

    まとめ

    シャドーITは従業員の“業務効率化のための自発的行為”から生まれる一方、
    企業にとっては重大な情報漏洩リスクを伴う課題です。
    さらに、VPN自体の脆弱性や、ID漏洩による侵入事件が増加したことで、
    「社外からのアクセスをどう守るか」というテーマは大きく変わりつつあります。

    その中で、**ゼロトラストの考え方に沿った“セキュアブラウザ”**は、
    シャドーITの抑制、VPN依存からの脱却、安全なSaaS利用など、
    現代の企業が抱える複数の課題を同時に解決できる手段として注目を集めています。

    必要に応じて、SmartGate などの国内向けセキュアブラウザ/アクセス制御ソリューションを比較検討すると、
    より実運用に近い形で最適なアクセス方式を設計できるでしょう。

  • 退職者のスマホからの情報漏洩を防ぐために——企業がいま取るべき現実的な対策とは

    退職者のスマホからの情報漏洩を防ぐために——企業がいま取るべき現実的な対策とは

    近年、企業の情報漏洩リスクの中で密かに増えているのが 「退職者が使用していたスマートフォンからの情報流出」 という問題です。
    DXの浸透により業務の多くがクラウド化され、スマホを使った業務アクセスが一般化している現在、個人所有の端末(BYOD)・貸与端末どちらも情報漏洩の起点になり得ます。

    情報セキュリティの観点では、在職中のアクセス制御やデバイス管理ばかり議論されがちですが、退職プロセスこそが最も脆弱で、かつ攻撃者にも狙われやすいポイント
    この記事では、退職者スマホ由来の情報漏洩リスクの実態、企業が抱えやすい課題、そして実現性の高い対策について体系的に解説します。

    ■ なぜ「退職者のスマホ」が高リスクなのか

    退職時、組織は「アカウント停止」や「退職面談」など表面的なオフボーディングに目がいきがちですが、実際には以下の理由でスマホは危険な入口になっています。

    1. 個人スマホに業務データが残りやすい

    ・LINEやGmailにファイルを送っていた
    ・営業資料を写真で保存していた
    ・ブラウザにパスワードが残っていた
    こうした“シャドーIT的行動”は珍しくありません。

    2. クラウドサービスはアプリが残ると再ログインしやすい

    Google Workspace、Microsoft 365、Salesforceなどはアプリからワンタップで再ログインできてしまうケースがあり、アカウント停止後もキャッシュされている情報が閲覧される可能性があります。

    3. 退職者が悪意なく漏洩を起こすケースも多い

    ・誤って前職のアドレス帳に連絡
    ・古い資料を副業先や再就職先で再利用
    ・退職後も共有フォルダに入れていた
    「意図的ではないが重大な事故」になりやすいのが特徴です。

    4. 悪意を持ったケースは深刻

    競合企業への転職をきっかけに、顧客リスト、取引条件、技術資料を持ち出す問題は実際に発生し続けています。
    “デジタルの持ち出し”はUSBだけでなく、スマホアプリが最大の出口になることを忘れるべきではありません。

    ■ 企業側のよくある問題点

    退職者による漏洩が起きる企業には共通点があります。

    ① BYOD管理が実質「自己管理」になっている

    ・MDMを入れていない
    ・アプリ利用ルールは口頭ベース
    ・削除証跡が残らない
    これでは“企業データが個人スマホに紛れている状態”を把握できません。

    ② アカウント停止のタイミングがバラつく

    退職日当日の停止が徹底されておらず、
    「翌日まで生きていた」「社内手続きが遅れた」などの遅延は日常的に起こります。

    ③ 退職者チェックリストが古い

    スマホ中心の業務に移行しているのに、
    ・ノートPCの返却チェック
    ・入館カードの返却
    など旧来の項目しか存在せず、スマホ関連の確認や制御が抜け落ちているケースが多いです。

    ■ 退職者スマホ漏洩を防ぐ“現実的な”セキュリティ対策

    以下は、実施しやすく効果が高い対策を優先度順にまとめたものです。

    1. 情報へのアクセスを「スマホ内に残さない設計」にする

    最も強力なのは、業務データを端末に保存させない運用です。
    ・クラウド閲覧はセキュアブラウザ経由
    ・キャッシュ禁止
    ・ローカル保存不可
    これにより、端末自体はリスク要因ではなくなります。

    2. アカウント停止の自動化

    ID管理を手動でやっている企業ほど漏洩リスクが高いです。
    ・退職日入力 → 自動でアクセス停止
    ・停止後のログイン試行を検知
    こうしたIAM/IDaaSの活用が有効です。

    3. モバイルアクセスログの可視化

    退職者が最後にどのアプリを利用していたか、機密データにアクセスしていたかを把握できると「漏れている可能性」の判断が一段上がります。

    4. BYOD利用ガイドラインの再構築

    ・保存禁止
    ・持ち出し禁止
    ・カメラ撮影の扱い
    など、スマホ特有のリスクを反映したガイドラインが必要です。

    5. 退職オフボーディングプロセスの標準化

    ・使用アプリの一覧
    ・ID停止の実施証跡
    ・端末から企業データ削除
    これらをテンプレート化し、総務・情シス双方が抜け漏れなく扱えるようにすることで事故発生率が大幅に下がります。

    ■ 最後に:スマホを安全に業務利用するなら「ブラウザ分離」が最適解

    退職者の情報漏洩をゼロに近づけるには、
    “端末側にデータを残さない仕組み”
    が最も効率的で、特にBYOD時代では必須です。

    そのアプローチとして有効なのが セキュアブラウザ です。

    セキュアブラウザを使えば
    ・キャッシュ禁止
    ・コピー禁止
    ・スクショ制御
    ・退職時にただちにアクセス権を無効化
    などの制御が可能になり、退職者スマホ経由の漏洩リスクを根本から下げられます。

    貴社でBYOD・スマホ活用が広がっているなら、
    退職者リスク対策として SmartGate のようなセキュアブラウザ導入は非常に理にかなった選択肢です。