対象試験と出題頻度
この記事では、情報処理技術者試験で問われる「シャドーIT(Shadow IT)」について、IT初心者にもわかりやすく解説します。
対象試験と出題頻度は以下のとおりです。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(覚えておくと有利)
用語の定義
シャドーIT(Shadow IT)とは、一言で言うと「企業や組織の許可を得ずに、従業員が独自の判断で業務に使用しているデバイスやサービス」のことです。
イメージとしては、「会社の目が届かない『影』で使われているIT」というものです。
例えば、会社が許可していない私用スマートフォンで業務メールを確認したり、個人アカウントのクラウドストレージに仕事のファイルを保存したりする行為が該当します。便利だからと悪気なく使っていても、情報漏洩やマルウェア感染などの重大なセキュリティリスクを招く可能性があります。
📊 シャドーITとBYODの違い
| 項目 | シャドーIT | BYOD |
|---|---|---|
| 企業の許可 | 許可なし(無断使用) | 許可あり(承認済み) |
| 管理状況 | IT部門が把握していない | IT部門の管理下にある |
| セキュリティ | 対策が不十分でリスク高 | ポリシーに基づき対策済み |
解説
シャドーITは、テレワークの普及や便利なクラウドサービスの増加に伴い、多くの企業で問題となっています。従業員が「業務を効率化したい」「会社のツールが使いにくい」といった理由で、悪気なく私用デバイスや無料サービスを業務に使ってしまうケースが増えています。
しかし、IT部門が把握していないこれらのシャドーITは、企業にとって深刻なセキュリティリスクとなります。
シャドーITの代表的な例として、以下のようなものがあります。
- 私用デバイスの業務利用:会社の許可なく、私用のスマートフォンやPCで業務メールを確認したり、業務ファイルを編集したりする行為。
- 無許可のクラウドストレージ:Google DriveやDropboxなど、会社が承認していないクラウドサービスに業務ファイルを保存・共有する行為。
- フリーメールの業務利用:GmailやYahoo!メールなど、個人のフリーメールアドレスで業務連絡を行う行為。
- 無許可のチャットツール:LINEや個人アカウントのSlackなど、会社が管理していないツールで業務連絡やファイル共有を行う行為。
- 公共Wi-Fiの利用:カフェや駅などの公共Wi-Fiを使って業務データにアクセスする行為。
💡 なぜシャドーITは脅威なのか?
シャドーITの最大の問題は、IT部門が把握・管理できない点にあります。
把握できていなければ、セキュリティ対策を施すこともできません。その結果、情報漏洩(クラウドの設定ミス、端末紛失など)、マルウェア感染(セキュリティソフト未導入の端末経由)、アカウント乗っ取り(脆弱なパスワード管理)といったリスクが発生します。
また、退職者がシャドーITを利用して機密情報を持ち出す「内部不正」の温床にもなりえます。IPAの「情報セキュリティ10大脅威2025」でも、内部不正による情報漏洩は組織向け脅威の第4位にランクインしています。
シャドーITが広まった背景には、テレワークの急速な普及があります。コロナ禍以降、自宅やカフェなどオフィス以外で仕事をする機会が増え、会社の管理下にないデバイスやサービスを使いやすい環境になりました。
また、Google DriveやDropbox、Slackなど、無料で高機能なツールが増えたことで、従業員が「便利だから」と個人的に導入してしまうケースも増えています。
さらに、企業のIT部門が提供するツールが従業員のニーズに合っていない場合や、セキュリティ教育が不十分な場合も、シャドーITが発生しやすくなります。
シャドーITへの対策
シャドーITを防止するためには、技術的な対策と組織的な対策の両面からアプローチする必要があります。
- IT資産管理ツールの導入:社内ネットワークに接続されたデバイスやインストールされたソフトウェアを可視化し、許可されていないものを検出します。操作ログの取得により、不正なファイル持ち出しなども監視できます。
- MDM(Mobile Device Management)の導入:スマートフォンやタブレットなどのモバイル端末を一元管理し、紛失時のリモートワイプや、業務アプリのみインストール許可といった制御が可能になります。
- CASB(Cloud Access Security Broker)の導入:従業員が利用しているクラウドサービスを可視化し、許可されていないサービスへのアクセスを制御します。
- セキュリティポリシーの策定と周知:シャドーITに関するルールを明確に定め、従業員に周知徹底します。禁止事項だけでなく、「こういう場合はこのツールを使う」という代替手段も示すことが重要です。
- 従業員へのセキュリティ教育:シャドーITのリスクを具体的な事例とともに教育し、セキュリティ意識を高めます。
- 業務ツールの見直し:従業員がシャドーITに走る原因が「会社のツールが使いにくい」場合は、より使いやすいツールの導入を検討します。
⚠️ 実務でのポイント
シャドーITは「禁止」するだけでは解決しません。従業員がシャドーITを使う背景には、業務上の不便さがあることが多いです。
① ルールの明確化と代替手段の提示:「〇〇は禁止」だけでなく「代わりに△△を使ってください」と代替手段を示す
② テレワーク環境の整備:VPNや会社貸与端末など、安全にリモートワークできる環境を整備
③ 定期的な棚卸し:利用されているクラウドサービスやデバイスを定期的に確認し、シャドーITを早期発見
試験ではこう出る!
ITパスポート、情報セキュリティマネジメント、基本情報技術者、応用情報技術者で出題されます。
以下のキーワードとセットで覚えましょう。
【重要キーワード】
- 企業が許可していないデバイス・サービスの業務利用
- IT部門が把握・管理できていない
- 情報漏洩・マルウェア感染のリスク
- BYOD(Bring Your Own Device)との違い
- 内部不正の温床
- 対策:IT資産管理、MDM、CASB、セキュリティ教育
試験問題で「企業が許可していないクラウドサービスやデバイスを、従業員が独自に業務利用すること」や
「IT部門が把握していないITリソースの利用によるセキュリティリスク」といった記述があれば、それは「シャドーIT」に関する記述です。
📊 シャドーITの代表例(試験対策)
| 種類 | 具体例 | リスク |
|---|---|---|
| 私用デバイス | 私用スマホ・PC | 紛失、マルウェア感染 |
| クラウドストレージ | Google Drive、Dropbox | 情報漏洩、不正アクセス |
| フリーメール | Gmail、Yahoo!メール | 誤送信、情報漏洩 |
| チャットツール | LINE、個人Slack | 情報漏洩、なりすまし |
| 公共Wi-Fi | カフェ、駅のWi-Fi | 通信傍受、盗聴 |
📝 IPA試験での出題ポイント
シャドーITは、テレワークの普及に伴い出題頻度が高まっているテーマです。
「企業が許可していない」「IT部門が把握していない」という点が最大の特徴です。
BYODとの違い(BYODは企業が許可・管理している)もよく問われます。
対策として「IT資産管理」「MDM」「CASB」「セキュリティ教育」といった用語も押さえておきましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. シャドーITに関する説明として、最も適切なものはどれでしょうか?
- A. 企業がセキュリティ対策のために導入した、外部から見えない隠れたネットワーク
- B. 企業が許可していないデバイスやサービスを、従業員が独自の判断で業務に利用すること
- C. 企業の許可を得た上で、従業員の私用デバイスを業務に活用する制度
正解と解説を見る
正解:B
解説:
シャドーITとは、企業や組織のIT部門が許可・把握していないデバイスやサービスを、従業員が独自の判断で業務に利用することを指します。例えば、私用スマートフォンでの業務メール確認、個人アカウントのクラウドストレージへの業務ファイル保存、フリーメールでの業務連絡などが該当します。IT部門が管理できないため、情報漏洩やマルウェア感染などのセキュリティリスクを招きます。
選択肢Aの「隠れたネットワーク」はシャドーITの説明ではありません。選択肢Cは「BYOD(Bring Your Own Device)」の説明であり、BYODは企業の許可を得て私用デバイスを業務利用する制度で、シャドーITとは異なります。
