トレンド情報

シャドウITと意識されないブックマーク機能、潜むリスクと対応方法

企業などの組織活動において、会社が用意したITシステム、機器とは異なる、私物の端末やデバイス、サービスを業務に利用することを「シャドウIT」と呼びます。
DropboxやGoogle ドライブのようにクラウド・サービスが当たり前になった今、無意識のうちのこうしたサービスを会社業務の中でも使ってしまいがちですが、デバイスに限らず、企業が許可してないサービスを利用することをシャドウITといい、今、そのリスクに注目が集まっています。
※本記事は、2018年5月7日に公開された記事を一部再編集しております。

企業のリスクとなるシャドウIT

現在、企業では「BYOD」(Bring Your Own Device)や「BYOA」(Bring Your Own Application)と呼ばれる私物端末やアプリケーション/ソフトウェアの業務利用を許可する施策の導入・検討を進めていますが、すべてを把握できている状況ではありません。

本記事の中では、その中でも特に見落とされがちな、ブラウザの「ブックマーク(お気に入り)」機能について焦点を当てたいと思います。

同一アカウントの管理が当たり前に

実はあまり意識されていませんが、ブラウザのブックマーク機能もシャドウITです。
意識されていない方も多いのではないでしょうか。

どこにリスクが潜んでいるのかを知っておく必要があります。
ブックマーク機能がシャドウITになる恐れがあるのは、使い方が大きく変化していることに起因しています。

以前は、パソコンはパソコン、スマホはスマホとブックマークはそれぞれの端末内で管理していました。端末をまたいで利用することは手間がかかるため、端末をまたいで利用するという概念を持っている人自体が少なかったかもしれません。

ところが、パソコンでブックマークしたものをスマホで見る、あるいはスマホでブックマークしたものをパソコンで見る、といった行為が当たり前に行われるようになっています。

背景は、クラウド・サービスの普及

このような変化には、クラウド・サービスの普及が背景にあります。
パソコンやスマホなど複数の端末を保有している人であれば、GoogleアカウントやApple ID、Microsoftアカウントなどのアカウントを取得していることでしょう。

これらのアカウントを取得すれば、同じアカウントで、一度購入したアプリケーションを再度購入せずに利用できたり、設定情報を引き継げたり、パスワードを保存して端末間で共有できたりするなど様々なメリットを享受できます。

パソコンだとマルウェアに感染することも

Google ChromeやSafari、Microsoft Edgeなど、ブラウザは無意識のうちに同一アカウントでログインした状態で使っているはずです。

そうすることによって、普段はパソコンからアクセスするサイトへ急遽、スマホからアクセスする必要性に迫られたときに、パスワードを共有していて助かったという経験をしたことがある人も多いはずです。非常に分かりやすい、同一アカウントを利用するメリットと言えます。

ブックマーク機能もこの延長線上にあるため、無意識に使いがちですが、ここに大きな落とし穴があります。

同じウェブサイトへのブックマークであっても、表示されたデザインや広告などがスマホとパソコンでアクセスしたときに変化する場合があります。
結果、スマホでアクセスすると何も起こらないウェブサイトであっても、パソコンからアクセスするとマルウェアに感染するような仕組みを埋め込むことができてしまいます。

ウェブサイトそのものは安全であっても、そこで表示されるウェブ広告経由でマルウェアに感染させられたり、フィッシングサイトへ誘導させられたりする可能性もあります。

こうしたリスクは意外と知られていません。

見過ごしやすいからこそのリスク

ブラウザはパソコンでもスマホでも当たり前に使うアプリケーションであり、ウェブサイトの閲覧はもとより、業務システムへのアクセスなどに必須です。
その標準機能として備わっているブックマーク機能と、アカウント連携によるブックマークの共有はその手軽さゆえ、シャドウITであることが見過ごされがちであり、そのカジュアルさがリスクを増大させる可能性を秘めています。

特に業務用のスマホとPCと私有環境でアカウントを分けており、自分はセキュリティ意識が高いと思って、業務用のスマホで情報収集に勤しみ、PCで収集した情報を使って資料などを作成している方は要注意です。

ブックマークは信頼性の高いサイドに限定する

ブックマークの共有機能がシャドウITの当たると認識すること。これが何より大事です。
この認識が注意を払うことへと繋がります。

具体的に何に注意をしたらいいかといいますと、会社のネットワークがフィルタリングを導入しているなら、外出先で閲覧せずに会社に戻ってから確認すること。あるいは、ブックマークは信頼性の高いサイトに限ることです。

個人のサイトではなく、企業や技術系メディアに掲載されている情報を探してブックマークするというのが具体的な対応策になります。このほかにも、内容に関係のない広告が多いサイトしか見つからない場合はブックマークせずに、画面をキャプチャしたり、本文をコピーしたりして、メールで内容を送付するのも手です。

USBメモリのようなデバイスや、アプリケーションなどはシャドウITとして認識しやすいですが、ブラウザのブックマーク機能とその共有は、あまりにも便利過ぎて、当たり前になっているために見過ごしがちです。
ぜひ、これを機会に意識してみてください。

シャドウITなど情報漏えい等の内部からのリスクを防ぐサービス
リスクインテリジェンスサービスの報告レポートサンプルはこちら

この記事を書いた人

デジタルリスクラボ編集部
デジタルリスクラボ編集部の研究員が更新。
今の時代に沿った新しいリスクの解決メディア。