【現役情シスにアンケート】あなたの会社では「シャドーIT」対策に取り組んでいる?
情報システム担当者(情シス)の中で、セキュリティリスクの問題でしばしば話題となるシャドーIT。これは「情報システム部門などが使用許可を出していない、あるいは関知せずに従業員や部門が独自に導入・利用するIT機器やクラウドサービスなど」です。シャドーITになりやすいものとしては、クラウドサービスやメッセージアプリ(チャットツール)などがあります。情報漏洩のリスクがあるため、対策を講じる必要があります。
シャドーITの対策の現状を探るべく調査を実施
今回、シャドーIT対策を講じている企業がどの程度存在しているかを探るため、情シスとして働いている方に対して「社内でシャドーIT対策をしているか」のアンケートを実施しました。アンケートはインターネットリサーチツールである「Freeasy」により行い、一般企業や行政機関などで情シスとして働いている方を対象として、大企業・中小企業を区別せずに実施しました。アンケート実施日は2024年7月10日で、回答者数は316人でした。
アンケート結果:あなたは社内の「シャドーIT」対策をしていますか?
情シス316名に対して実施したアンケートの結果は、上のグラフの通りでした。「シャドーIT対策をしている」と答えたのは145名(全体の約45.9%)、「していない」と答えたのは135名(全体の約42.7%)、「そもそも存在していない」と答えたのは36名(全体の約11.4%)でした。
あわせて、「シャドーIT対策をしている」と答えた人に具体的な対策を聞いてみました。上位5位は以下の通りです。
|
対策 |
有効回答数 |
|
社内規定・ガイドライン策定 |
22 |
|
調査 |
16 |
|
セキュリティの強化・アップデート |
5 |
|
監視 |
4 |
|
システム導入 |
3 |
1位は「社内規定・ガイドライン策定」(22名)でした。社内でシャドーITに関する取り扱いを規定したり、ガイドラインを策定したりすることで、対策を講じているようです。
このほか、実際に「従業員のPCなどを調査する」といった対策や、「セキュリティ強化・アップデート」「監視」「システムの導入」などの対策を講じているところが多いようです。その他、「社員教育」「管理者権限の設定によりダウンロードできないようにする」といった回答もありました。
コロナ禍でのシャドーITの状況はどうだった?
シャドーITの問題は昔から存在していましたが、それが顕在化したのは、新型コロナウイルスの感染拡大時期です。IPA(独立行政法人 情報処理推進機構)が2020年11月に行った調査によれば、従業員101人以上のユーザー企業の14.5%、100人以下のユーザー企業の20.5%が「会社が許可していないソフトウエアやクラウドサービスなど(つまりシャドーIT)の業務利用を一時的に『やむを得ず』認め、現在(2020年10月31日時点)も認めている」と回答しています(IPA「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査 最終報告」より)。2020年10月~11月といえば、新型コロナウイルスの“第3波”の時期であり、各企業ともテレワークが推進されていた頃。やむをえない状況だったとはいえ、シャドーITが「黙認」されていたことがわかります。
また、同調査では会社支給の機器にアプリケーションをインストールする際のルールの有無について確認しています。それによると、大企業では「事前に申請を行って承認されてからインストールする」と答えた一方、中小規模企業では「明確なルールが定められていない」と回答した割合が多くなっていました。
このコロナ禍の調査とCatch On Hubが行ったアンケート調査をもとに読み解くと、新型コロナウイルスが流行していた2020年11月には一定数のシャドーITが存在したものの、新型コロナがほぼ収束した2024年現在、会社の規模に関わらず45.9%の企業が、シャドーITに対し何らかの対策を講じるようになってきていることがわかります。現在もテレワークを取り入れている企業も多い(東京都「テレワーク実施率調査結果 2月」)ことを考えると、シャドーIT対策は以前に比べて進んでいるものと推測できます。
半数近くの企業でシャドーIT対策をしている背景に「テレワーク」の存在
コロナ禍にはシャドーITを一時的に容認した企業も一定数あったとはいえ、新型コロナウイルスが収束に向かった現在、約45.9%の企業がシャドーIT対策を講じています。その背景には、上でも触れたテレワークの存在があるものと思われます。
テレワークは、物理的に情シスの目が届かない働き方であるため、必然的に情シスが関知しないサービスを利用する従業員が増える可能性があります。その結果、従業員が自分の裁量でクラウドサービスなどに機密情報を保存してしまい、情報漏洩のリスクが高まってしまいます。よくある例としては、クラウド上にアップしたデータの閲覧権限を、誤って関係者以外の意図しない人物でも閲覧できるように設定してしまうミスです。これにより、外部に情報漏洩してしまうのです。
情報漏洩のリスクを避けるためには、アンケート結果にもある通り、社内規定を定めることが重要です。例えばクラウドサービスであれば、閲覧権限の設定ルールを決め、設定時には必ず確認するよう従業員に周知させることが求められます。同時に従業員研修を実施し、従業員のセキュリティリスクへの意識を高めることが必要です。
従業員の働きやすさを軸にセキュリティ対策を
ところで現在、働き方の多様性を認める企業が増えてきています。そのため、従来のように従業員が全員オフィスに出勤して働くのではなく、テレワークなどを駆使した新しい働き方が増えてきています。そのような状況では、シャドーITを根絶するのではなく、ある程度許容する姿勢も重要です。そのためには、セキュリティの強化が求められます。例えば、これまでの「境界型セキュリティ(ネットワークの内と外を「境界」で分けて考え、ネットワークの外にあるリスクから防御するアプローチ)」ではなく、「ゼロトラスト(社内・社外を区別せず、従来よりも厳格なユーザー認証やネットワーク監視などのセキュリティ対策を講じること)」を対策として実施していくことが考えられます。
とはいえ、ゼロトラストによる対策もメリットばかりではなく、セキュリティ強化にコストが掛かったり、ログイン認証を厳しくしたためにログインに手間が掛かってしまったりするなど、いくつかデメリットも存在します。情シスには難しい対応が迫られますが、会社の従業員が働きやすい環境を構築することが情シスの仕事である、という原点に立ち返って対策を考えていく必要があります。
通信回線の変更を検討する際、様々な通信速度のプランがあるため頭を悩ましていないでしょうか?1G、5Gなどプロバイダによって異なりますが、よくよく見ると「最大」「理論値」という言葉がついています。なぜそのような表記をしているのでしょうか。それはその回線が「ベストエフォート型」だからです。
本記事ではベストエフォート型の回線の基礎知識について、ギャランティ型との違いやより有効に使うための対策とともに解説します。
ベストエフォート型とは
ユウキ
アヤカさん、最近通信回線の変更を検討しているんですが、プランによって通信速度が異なるので迷っています。特に「最大」「理論値」という言葉がよく見られるんですが、これはどういう意味なのでしょうか?
アヤカ
それは「ベストエフォート型」という回線の特性を示しているわ。ベストエフォート型は「最善の努力」という意味で、通信速度の保証がないサービスを指すの。一般社団法人日本インターネットプロバイダー協会(JAIPA)はこういった記載をしてるわ。
本来高価な専用線を多数の人の共用を前提として提供することで、保証はしないものの実用的な速度とのバランスを考慮しながら安価な価格で提供するのがベストエフォート回線のサービスです。
ユウキ
通信速度の保証がないってどういうことですか?
アヤカ
例えば、インターネット回線の広告で「1ギガ(Gbps)」や「10ギガ(Gbps)」という表示があるでしょう。これは技術規格上の最大速度を示していて、実際の通信速度は多くの要因によって変動することがあるのよ。
ユウキ
なるほど、それってどんな要因があるんですか?
アヤカ
主な要因は以下の通りよ。
|
要因 |
説明 |
|
リソースの限界 |
ルーターやスイッチなどのネットワーク機器は、一定のリソース(メモリ、帯域幅など)を持っています。これらのリソースが飽和すると、新しいデータパケットを処理できず、破棄することがあります。 |
|
エラーの発生 |
ネットワーク上での物理的な障害や機器の故障・外部からの攻撃などの要因によりエラーが発生する場合があり、データの伝送が中断されることがあります。 |
|
再送の制限 |
データパケットが失われた場合、再送を行うことで伝送を試みることが可能です。しかしベストエフォート型の通信では、再送の回数や時間に制限があるため、ある程度以上の再送を行わないことが一般的です。 |
|
プロトコルの特性 |
ベストエフォート型の通信でよく使用されるTCP/IPプロトコルは、データの伝送を保証する機能を持っていますが、それでも一定の条件下ではデータの伝送を保証できない場合があります。 |
ユウキ
なるほど~。それに対して通信速度が保証されるようなサービスはあるんですか?
アヤカ
それがギャランティ型よ。ギャランティ型は通信速度や通信品質に一定の保証を持つサービスなの。契約した通信速度や品質を保証するから、安定した通信が期待できるわ。ただベストエフォート型に比べて料金が高いの。専用回線の設置や運用が必要だから、初期費用やランニングコストがかかるのよ。
ベストエフォート型の採用が多い理由
ユウキ
それならなぜ多くの通信サービスはベストエフォート型が提供されているんですか?
アヤカ
それは利用料金の低さが大きな理由よ。ギャランティ型は専用回線の設置や運用が必要だからコストが高くなるの。一方、ベストエフォート型は多くの人が共用することを前提としているから安価に提供できるの。小規模な企業やスタートアップでは、ベストエフォート型の利用が一般的よ。高い通信品質や帯域幅が必要とされない場合、ベストエフォート型の回線で十分。でも、金融機関や医療機関のように高い通信の安全性や信頼性が求められる業種では、ギャランティ型などの専用回線や高品質な通信サービスが選択されることが多いわ。
ベストエフォート型回線を快適に利用するためには?
ユウキ
アヤカさん、ベストエフォート型の通信速度をより快適にする方法はないですか?
IPoE方式の採用
アヤカ
まず、IPoE方式の採用を考えることができるわ。IPoE方式はイーサネット(LANケーブルなど)上でIPパケットを転送する技術よ。従来のPPPoE方式方式だと、通信量が増加すると終端装置が混雑して通信速度が遅くなる可能性があったの。IPoE方式だと終端装置を使用せずに直接インターネットへ接続するから混雑が起こりにくくなるわ。IPv6の普及に伴って、多くのプロバイダがこの方式を採用しているのよ。
ユウキ
IPv6って何ですか?
アヤカ
IPv6は、インターネットの通信を制御するための新しいプロトコルよ。IPv4と比べて、セキュリティ機能が高度で、通信の効率も向上しているの。
周辺機器の見直し
ユウキ
なるほど。他にもありますか?
アヤカ
通信速度に影響を与える要因として、使用しているネットワーク機器の性能も考慮する必要があるわ。たとえば古いルーターやスイッチを使用していると、データの処理速度が遅くなることがあるの。特に無線LANルーターは、規格によって最大通信速度が異なるから、それに合わせて選ぶことが大切よ。
|
無線LAN規格 |
最大通信速度 |
周波数帯 |
|
IEEE 802.11ax (Wi-Fi6) |
9.6Gbps |
2.4GHz/5GHz |
|
IEEE 802.11ac (Wi-Fi5) |
6.9Gbps |
5GHz |
|
IEEE 802.11n (Wi-Fi4) |
600Mbps |
2.4GHz/5GHz |
|
IEEE 802.11g |
54Mbps |
2.4GHz |
|
IEEE 802.11b |
11Mbps |
2.4GHz |
|
IEEE 802.11a |
54Mbps |
5GHz |
ユウキ
通信速度が最大1Gbpsの回線を使っても無線LANの規格がWi-Fi4だと、600Mbps以上の速度は出ないってことですよね?
アヤカ
その通りよ。1Gbpsの回線をフルに活用するためには、Wi-Fi5やWi-Fi6みたいな新しい規格のルーターが必要になるわ。
ユウキ
なるほど~。それとLANケーブルも気をつけたほうが良いんですか…?
アヤカ
LANケーブルは「カテゴリ」という規格で分類されていて、それぞれのカテゴリによって最大通信速度が異なるのよ。
|
ケーブルのカテゴリ |
最大通信速度 |
|
CAT8 |
40Gbps |
|
CAT7A |
10Gbps |
|
CAT7 |
10Gbps |
|
CAT6A |
10Gbps |
|
CAT6 |
1Gbps |
|
CAT5e |
1Gbps |
|
CAT5 |
100Mbps |
ユウキ
こんなにも違うんですね!じゃあ、快適な通信速度を求めるなら、どのカテゴリのケーブルを使ったらいいですか?
アヤカ
小規模なオフィスでの利用を考えるなら、CAT5e以上のケーブルを選ぶと良いわ。
まずは通信速度を計測してみる
多くの通信回線はベストエフォート型のため、いかに快適に利用するかが重要です。まずは実際に通信速度を計測してみましょう。あきらかに速度が遅い場合、対策を取る必要があります。無線LANルーターやスイッチの性能が古い場合は変更を検討しましょう。
通信環境についてお悩みの場合は、ぜひお問い合わせください。御社のお悩みを解消いたします。
