古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

クラウドから新製品情報がごっそり流出? 勝手ツールが企業にもたらす“悲劇”

ITmedia NEWS のロゴ ITmedia NEWS 2014/06/12 ITMedia
クラウドから新製品情報がごっそり流出? 勝手ツールが企業にもたらす“悲劇”: 画像:ITmedia © ITMedia 提供 画像:ITmedia

 企業が管理していないITツールを仕事で“勝手”に使うこと。こうした行為は「シャドーIT」とも呼ばれ、企業に情報漏えいなどさまざまなリスクをもたらす可能性があるとされている。その代表的な脅威は前回の記事で紹介した通りである。

 今回は、シャドーITの代表格ともいえる「ファイル共有ツール」を例にとり、シャドーITが実際に現場でどのような問題を引き起こすのか、仮想ケースをもとに紹介したい。

●気鋭の女子社員・仁美が落ちた“甘い罠”

 仁美は、大手製造業の○×社で営業を担当している入社5年目の社員。最近は重要な顧客を多く任されるようになり、多忙な日々を送っていた。

 順調な仕事ぶりに見える仁美だったが、実は1つの悩みを抱えていた。というのも、○×社は端末管理が厳しく、ノートPCは社外持ち出し禁止。会社支給のスマートフォンは社外持ち出しを許されていたものの、仕事に関する作業ができないようになっていた。

 社内での期待に比例して増える業務量と外出時間。仁美はいつしか「自宅でも仕事をしたい」と考えるようになっていた。そこで、情報システム部門に勤める同期入社の和男に相談する。

仁美 最近、仕事が回らなくてさ。家でも仕事をしたいんだけど、PCを持ち帰る許可がもらえないんだよね。

和男 そりゃ、PCを外出先で紛失して顧客情報を漏えいさせられたら大変だからね。会社に残って仕事すればいいじゃないか。

仁美 終電までに終わらないよ……。毎日タクシーで帰るわけにもいかないし。それじゃ、仕事のファイルをクラウドサービスのDropboxに入れて自宅のPCから仕事してもいいのかな。

和男 ああ、そういう有名なクラウドサービスはウチの会社のルールで利用禁止になっているし、社内のPCからアクセスできないようにしてあるよ。

仁美 えー、それはもはや業務妨害レベルだよ。少しはこっちのことも考えてよ。じゃ、またね。

 あきらめられない仁美はその後、さまざまなクラウドストレージサービスをチェックし続けた。そしてとうとう、新興サービスの「Storage A」(仮称)は社内ネットワークでもアクセスできることを見つけたのだった。

仁美 あ、これ利用できるじゃん。ふふ、うちの情シスもまだまだだな。よし、ここにファイルをアップロードして家で仕事しよう。これで仕事もできるし、タクシー代も浮くし、便利な世の中バンザーイ!

 こうして仁美は、顧客と商談を進めている新製品(半年後に発売予定)に関する情報を、Storage A上に保存し始めた。

●気付かぬ設定、便利さの裏にある“落とし穴”

 その後しばらく、仁美はStorage Aを利用して仕事をこなしていった。結果として深夜残業も減ったため、上司からは仕事ができるようになったと評価されていた。

 そんなある日、○×社に激震が走る。

 新製品の情報が、商談を進めていた顧客名とともにネット上に出回っていたのだ。

 ○×社では急いで犯人探しが行われ、名簿が流出した顧客の担当である仁美が真っ先に疑われた。一方情シス部門もネットワークのアクセス情報から、この時点で情報流出元がStorage Aであることを発見。仁美がそこにアクセスしていた事実を知る。

 こうして、張本人である仁美、上司である佐々木、IT部門から和男の3人で緊急会議が開かれた。

佐々木 仁美、これはどういうことなんだ! わが社の新製品情報はネットに流出してしまうし、顧客はカンカンに怒ってこの商談は流れてしまったぞ。どう責任を取るんだ!

仁美 本当に申し訳ありません。ただ私自身、なぜこのような情報が流出してしまったのか分からないのです。

和男 でも、仁美はStorage Aを使ってたよね。そこに新製品情報も顧客名もアップしてたんだろ?

仁美 確かに使っていたけど、あのサービスでは、他の人から自分のファイルを見られないように設定していたはずだし……。

和男 自分ではそう設定していたかもしれないけど、この手のサービスは機能変更が頻繁にあってね。調べてみると、2週間前の機能変更で、それまで“非公開設定”だったファイルも全公開になっていたらしい。その時にあらためて非公開に設定し直さないといけなかったんだ。

仁美 知らなかった……。

佐々木 とにかく、この問題をどうしてくれるんだ! 仁美、お前にはもう新製品や重要顧客は任せん。そもそも和男、お前ら情シスがしっかり管理してないから悪いんだぞ。俺は上に情シス部門にも責任ありと報告するからな。

仁美 はい。本当に申し訳ありません。

和男 (ふざけんなこのオヤジ……。)原因究明と対策は部に持ち帰って検討します。

●進化の激しいWebサービス、対応が遅れる情シス部門

 今回の事件を踏まえ、情シス部門では原因究明と対策について協議を始めた。和男は情シス部長である岡田に事件のてん末を報告する。

和男 今回の情報流出事故の背景は、あまりにも進化の早いWebサービスの世界に情シスが対応できなかったことにあります。Storage Aはまだ新興サービスにすぎず、われわれも認知していなかったため利用禁止にしていませんでしたし、アクセスログ分析でも特に引っかかっていませんでした。これは、仁美だけの問題とは言い切れません。

岡田 そうか、これがいわゆる「シャドーIT」問題だな。とはいえ、われわれのように少数の情シス部員だけで世界中の新しいWebサービスに目を光らせるわけにもいかんし……。根深い問題だな。

和男 おっしゃる通りです。ひとまずStorage Aは利用禁止リストに加えましたが、世界中の類似サービスを全て把握するのは不可能です。加えて、今後また社員がシャドーITに手を出したとして、こちらで問題として把握することも不可能です。

岡田 もう1つの問題は、こうした個人向けITツールでは頻繁に機能変更があり、ITに詳しいはずの若手社員ですらついていけていないことだな。仁美は別にITオンチではなかったんだろ?

和男 その通りです。彼女は逆にIT利用に積極的でしたし、新しいサービスにも詳しいタイプの社員でした。

岡田 そうだよな。ちょっと上に最終報告をする前に、問題背景と解決策を考えてくれるかね。今週中に頼むよ。

和男 えー、今週中にですか。でも佐々木さんのあの勢いを考えたら仕方ないですね……。分かりました。

 とは言ったものの、和男は1人で机に戻って頭を抱えるのだった。

和男 原因究明はいいとして、解決策を出せと言われても……。雨後のタケノコのように出てくるWebサービスを網羅して対処するのも無理だし、“スピードは完璧さに勝る”なんて創業者が公言してるWebサービスだってあるから機能変更なんて突然だし。正直どうしたらいいか分からないよ。Google先生も解決策は教えてくれないし……。

 このような事件は、どの会社でも起こりうる事態である。

 企業は自社にひそむシャドーIT問題をどのように発見し、いかなる対策を講じればいいのか。次回以降の記事では、事例も含めて社内のシャドーITを見出すチェックポイントとその対策法について触れていきたい。

●著者プロフィール

齋藤亮介(さいとう りょうすけ)

デジタルアーツ株式会社でi-FILTER、i-FILTER ブラウザー&クラウド、m-FILTER、D-SPAのプロダクトマーケティングを担当している。

ITmedia NEWSの関連記事

image beaconimage beaconimage beacon