企業のセキュリティ対策において最も弱点となるのは、実はテクノロジーではなく「人」です。サイバーセキュリティクラウドの調査によれば、セキュリティインシデントの原因の第2位が人為的ミスで27.3%も占めており、情報システム部門(情シス)担当者にとって深刻な課題となっています[1]。本記事では、企業セキュリティを脅かす「社員のうっかりミス」と「シャドーIT」の実態、そして効果的な対策について解説します。
## 社員のうっかりミスが招く3大セキュリティリスク
企業のセキュリティを脅かす社員のうっかりミスには、主に以下の3つが挙げられます。これらのミスがどのようなセキュリティ問題を引き起こすのか、詳しく見ていきましょう。
### パスワードの使い回しによるセキュリティホール
企業の情報システムにおける重大な脆弱点の一つが「パスワードの使い回し」です。トレンドマイクロの調査によると、83.3%のユーザーが同じパスワードを複数サイトで使用していると回答しています[1]。
特に危険なのは、個人のSNSアカウントと業務用の社内アカウントのパスワードが重複しているケースです。たとえば、社員が私的に利用している動画配信サイトから情報が漏洩し、その流出パスワードを悪用した攻撃者により、社内ネットワークへ侵入される被害が発生したケースもあります[1]。
パスワードの使い回しによる「パスワードリスト攻撃」では、1つのサービスで流出したパスワードを使って、他のサービスへの不正ログインが試みられます。ある大手運輸会社での事例では、約3万件のアカウントへの攻撃のうち約10%で不正ログインに成功したという報告もあります[19]。
### メールの誤送信による個人情報漏洩
株式会社イード刊行の「日本情報漏えい年鑑2020」によれば、2020年の情報漏洩件数は514件で、うち誤送信などのメールの操作ミスが原因の情報漏洩は58件(11.3%)と、不正アクセスに次いで2番目に多くなっています[2]。
メール誤送信の代表的な例として、ToやCc、Bccなどに無関係な宛先を入れることによる情報漏洩があります。ある企業では、従業員が10名の顧客に案内メールを送付する際、保存してあったテンプレートを活用したことから900名以上の無関係な宛先がBccに入ったまま気づかずに送信してしまう事故が発生しました[2]。
### デバイス紛失によるデータ漏洩リスク
スマートフォンやパソコンなどのデバイス紛失も、情報漏洩の大きなリスク要因です。業務用携帯として使用するスマホの紛失は、個人の業務だけでなく、組織全体の信用に影響を及ぼす可能性があります[3]。
実際に2022年12月には兵庫県尼崎市の市役所職員が職場の会食でスマホを紛失し、紛失した当人は減給1カ月の懲戒処分を、管理監督者2人は口頭厳重注意を受けるという事例もあります[3]。
スマホを紛失した際、最も懸念されるのは情報漏えいです。MDM(Mobile Device Management)を利用すれば、紛失したデバイスを遠隔からロックすることができ、不正なアクセスを未然に防ぐことができます[3]。
## シャドーITとは?その定義と危険性
### シャドーITの基本概念
シャドーITとは、企業のIT部門が許可していない、または把握できていないIT機器やサービスのことです[11]。具体的には、組織の経営層やシステム管理部門の許可を得ず、従業員が自己判断で業務に導入したデバイス・アプリケーション・クラウドサービスなどを指します[12]。
シャドーITの例として、以下のようなものが挙げられます:
- 私用のパソコンやスマートフォンを業務で使用する
- GmailやYahoo!メールなど、フリーのメールアドレスを業務で使用する
- LINEやSlackなど、会社が承認していないチャットサービスを業務で使用する[12]
### シャドーITが広まる背景
シャドーITが広まった背景には、テレワークの普及、個人向けツールの高機能化と無料化、企業のIT部門が提供するツールやサービスが従業員のニーズに合わない場合、セキュリティリテラシーの不足などが挙げられます[12]。
CISCOの調査によると、企業の従業員の80%がシャドーITを利用しているとされており、特にSaaS(サービスとしてのソフトウェア)の普及により、誰でも簡単にIT資産を導入できるようになったことが大きな要因となっています[20]。
## シャドーITのリアルな実態
### 部門独自のネットワーク構築
シャドーITの一例として、部門独自で回線を引いてイントラネットと接続し、時にはプロキシサーバーまで立てるという大掛かりなケースがあります。こうした独自のネットワーク構築は、セキュリティポリシーの統一を困難にし、脆弱性を生み出す原因となります[6][12]。
### 許可なく導入される機器
バッファローやアイ・オー・データ機器などのNAS(Network Attached Storage)や部門独自に購入したパソコンなど、IT部門に許可を得ずに導入される機器も、シャドーITの一形態です。これらの機器は適切なセキュリティ設定がされていないことが多く、情報漏洩のリスクを高めます[7][12]。
### 個人デバイスの持ち込みとその問題点
従業員が個人のデバイスを持ち込み、それを業務に使用するケースも増えています。こうした個人デバイスでは、ゲームや株取引などの私的な活動が行われることもあり、情報セキュリティ上の問題となっています[11][12]。
たとえば、2021年8月には某大学病院で患者約270人分の個人情報が漏洩する事件が発生しました。この事例では、医師が個人で使用していたクラウドサービスに患者情報を保存しており、フィッシング詐欺によりIDとパスワードが窃取されたことが原因でした[18]。
## シャドーIT対策の3つのポイント
### 現状把握と可視化
シャドーITを効果的に管理するには、まず組織内で使用されているデバイスやサービスの実態を正確に把握することが重要です。OS情報などのハードウェア情報に加え、インストールされているソフトウェア情報やクラウドサービスの利用状況まで可視化することが求められます[18]。
### セキュリティポリシーの策定と周知
シャドーIT対策には、明確なセキュリティポリシーの策定とその周知が欠かせません。許可されていないソフトウェアやクラウドサービスの利用を制限するガイドラインを作成し、従業員への教育を定期的に行うことで、シャドーITの危険性について理解を深めることが重要です[6][17]。
### 従業員のニーズに応えるIT環境の整備
シャドーITの多くは、従業員が業務効率を上げるために導入しているケースが多いため、根本的な対策としては、従業員のニーズに応える代替ツールを提供することが効果的です。たとえば、多要素認証(MFA)やシングルサインオン(SSO)を導入することで、パスワード管理の負担を軽減しながらセキュリティを強化することができます[19]。
## まとめ:社員のうっかりミスとシャドーITへの総合的対策
企業のセキュリティ対策において、「社員のうっかりミス」と「シャドーIT」は切っても切り離せない関係にあります。パスワードの使い回し、メールの誤送信、デバイスの紛失といった人為的ミスを防ぐためには、技術的対策だけでなく、従業員の意識向上と適切なITツールの提供が必要です。
効果的なセキュリティ対策には、以下のポイントを押さえることが重要です:
1. 多要素認証やパスワード管理ツールの導入
2. メール送信前の確認システムの実装
3. デバイス管理(MDM)の導入
4. 従業員への定期的なセキュリティ教育
5. ニーズに合った公式ツールの提供
これらの対策を総合的に実施することで、「情シス涙」の状況を改善し、より安全な企業IT環境を構築することができるでしょう。
シャドーITはどこの会社にも存在する問題ですが、その実態を正確に把握し、適切な対策を講じることで、セキュリティリスクを大幅に低減することができます。企業と従業員が協力して、安全で効率的なIT環境の構築に取り組むことが、これからのデジタル時代において益々重要になっていくでしょう。
引用:
[1] 情シス涙!パスワードの使い回し、メールの誤送信、デバイス紛失 ... https://news.yahoo.co.jp/articles/1f7af9de38b087183a55612412aa8bd44e42ea22
[2] メール誤送信は「個人情報漏洩」にあたる?事後の正しい対応方法 ... https://mailwise.cybozu.co.jp/column/106.html
[3] 【専門家に聞く】業務用携帯がない…スマホ紛失時にまず行うべき ... https://www.jt-tsushin.jp/articles/service/platform-i3-systems-20241216
[4] うっかり社員?絶対NGな4つの「迷惑メール」対応! - 人事のミカタ https://partners.en-japan.com/qanda/desc_1439/
[5] シャドーITとは?そのセキュリティリスクと対策方法をわかりやすく ... https://business.ntt-east.co.jp/content/coworkstorage/column-13.html
[6] シャドーITとは?該当例・リスク・対策をわかりやすく解説 | コラム https://business.ntt-east.co.jp/content/cloudsolution/column-411.html
[7] 事例で学ぶシャドーITが引き起こすトラブルとは? - TocaLot https://www.tocaro.media/column/c709
[8] 会社ホームページのセキュリティ対策の重要なポイント https://assist-all.co.jp/column/hp/20250327/
[9] SEOで上位表示されるブログ記事での見出しの書き方【6つのコツ】 https://meril.co.jp/affi-note/how-to-write-a-blog-headline
[10] かつてパスワード使い回しがあったことをここに白状します。 - note https://note.com/dxer_corp/n/n9d7565d1fb3d
[11] シャドーITとは? 種類・リスク・対策を分かりやすく解説 https://www.softbank.jp/biz/blog/business/articles/202309/shadow-it/
[12] シャドーITとは?対策や事例・リスクをわかりやすく解説 https://www.lanscope.jp/blogs/it_asset_management_emcloud_blog/20221125_26109/
[13] 情シス涙のエピソードも……従業員デジタルスキルの実態調査 https://kn.itmedia.co.jp/kn/articles/2203/29/news044.html
[14] シャドーIT - Wikipedia https://ja.wikipedia.org/wiki/%E3%82%B7%E3%83%A3%E3%83%89%E3%83%BCIT
[15] クラウドを利用することで発生するリスクを管理。注目度が高まる ... https://cn.teldevice.co.jp/column/10515/
[16] パスワードレスなAzure ADの運用事例〜従業員がパスワードを知ら ... https://www.josys.com/jp/blog/seminar20221215-1
[17] シャドーITとは?企業へのリスクと5つの対策をわかりやすく解説 https://www.lac.co.jp/lacwatch/service/20230914_003500.html
[18] シャドーITのリスクと対策 クラウドサービスの個人利用による情報 ... https://ismcloudone.com/column/?p=922
[19] パスワードの使いまわしはなぜ危険?理由と根本的な対策を解説 https://www.lanscope.jp/blogs/cloud_security_pfs_blog/20240122_18337/
[20] シャドーITとは - IBM https://www.ibm.com/jp-ja/topics/shadow-it
[21] 東京湾のLTアジ釣りでトップ77尾!【横浜・黒川本家】水温上昇で ... https://article.yahoo.co.jp/detail/33c323759e94d2178e7328f26dd09d8563e102b9
[22] メール誤送信による情報漏えいはなぜ起きる?対策とあわせて紹介 https://secure-navi.jp/blog/000053
[23] 「PCを紛失しました」 情シスの“胃が痛くなる”従業員のPCやらかし ... https://www.itmedia.co.jp/news/articles/2504/25/news009.html
[24] 情報漏えいの敵は社内にあり?原因と対策方法を紹介 - JBサービス https://www.jbsvc.co.jp/useful/security/information-leakage-by-employees.html
[25] 【新規ユーザーさんの登録どうしてますか??】... | 「オフコミ ... https://ofcom.cybozu.co.jp/chats/t5nwasv2srpekjbf
[26] メール送信で起こる情報漏洩のリスクとは https://www.ciphercraft.jp/netcolumn/2025/03/89694/
[27] 【情シス必見!】デバイス管理とは?業務内容や効率化ツールをご ... https://josysnavi.jp/2023/device_management
[28] 社員教育の新常識!サイバーセキュリティ意識向上を実現する効果 ... https://security-academy.jp/blog/security/post-1161/
[29] 東証グロース市場が検討している厳しい上場維持基準「時価総額100 ... https://toyokeizai.net/articles/-/876833?display=b
[30] ビジネスパーソンの6割が経験するメール誤送信:効果的な対策と ... https://www.cybersolutions.co.jp/product/securitysuite/cmss-blog/24231/
[31] 情シス担当になったら知っておきたい情報漏洩の原因と対策 https://www.zero-security.jp/%E6%83%85%E3%82%B7%E3%82%B9%E6%8B%85%E5%BD%93%E3%81%AB%E3%81%AA%E3%81%A3%E3%81%9F%E3%82%89%E7%9F%A5%E3%81%A3%E3%81%A6%E3%81%8A%E3%81%8D%E3%81%9F%E3%81%84%E6%83%85%E5%A0%B1%E6%BC%8F%E6%B4%A9%E3%81%AE/
[32] 重要情報の扱いを考え直す(第6回) 本当に怖い社員の脅威 https://business.ntt-west.co.jp/bizclip/articles/bcl00121-006.html
[33] 「カジュアルなシステム管理者」の増加で加速する「シャドーIT」化 ... https://www.fujitsu.com/jp/solutions/business-technology/security/secure/column/201812-1/
[34] シャドーIT|セキュリティ用語解説 - NRIセキュア https://www.nri-secure.co.jp/glossary/shadow-it
[35] シャドーITとは? 事例とリスク、対策方法をわかりやすく - カオナビ https://www.kaonavi.jp/dictionary/shadow-it/
[36] シャドーITとは?発生する原因やセキュリティリスク、5つの対策を ... https://blog.trustlogin.com/2023/20230307
[37] シャドーITとは?意味・定義 | IT用語集 - NTTコミュニケーションズ https://www.ntt.com/bizon/glossary/j-s/shadow-it.html
[38] シャドー IT とは? セキュリティ リスクと防止策について解説 https://www.microsoft.com/ja-jp/biz/smb/column-shadow-it
[39] 4 シャドーITから約590万件の顧客情報流出:某情報通信会社の例 https://ent.iij.ad.jp/articles/7396/
[40] シャドーITとは? 問題点やリスク、対策方法なども解説 https://www.nttpc.co.jp/column/security/whats_shadowit.html
[41] シャドーITとは | メリットと問題点 - Zscaler https://www.zscaler.com/jp/resources/security-terms-glossary/what-is-shadow-it
[42] シャドーITとは?セキュリティリスクと企業が取るべき対応を解説 https://assured.jp/column/knowledge-shadowit
[43] 事例で学ぶシャドーITが引き起こすトラブルとは? - TocaLot https://www.tocaro.media/column/c709
[44] 企業が注意すべきシャドーITとは?発生の原因・リスク・対策方法を ... https://www.sei-info.co.jp/mcore/column/shadow-it/
[45] ノーコードツール[kintone]の活用で社内のデジタル化を加速。情 ... https://www.ctc.jp/column/digitalperson.html
[46] シャドーITのリスクと対策をわかりやすく解説 - Keeper Security https://www.keepersecurity.com/blog/ja/2024/07/19/the-risks-of-shadow-it-and-how-to-manage-them/
[47] シャドーITとは?企業へのリスクと5つの対策をわかりやすく解説 https://www.lac.co.jp/lacwatch/service/20230914_003500.html
[48] シャドーITはどうして生まれてしまうのか?リスク・対策を知ろう https://note.com/hyper_voice/n/nd4a1e489952c
[49] i-FILTER|製品 - CTCエスピー株式会社 https://www.ctcsp.co.jp/products/ifilter/
[50] シャドーITとは?リスクと対策について解説 | Wave PC Mate https://wavepcmate.com/column/shadow_it_explained/
[51] 「シャドーIT」とは?生成AIによって増えるそのリスクと対策 https://business.ntt-west.co.jp/bizclip/articles/bcl00071-159.html
[52] 「標的型攻撃」の被害者とならないために、いま企業がすべきこと ... https://cn.teldevice.co.jp/column/10513/
[53] シャドーITとは? 種類・リスク・対策を分かりやすく解説 https://www.softbank.jp/biz/blog/business/articles/202309/shadow-it/
[54] シャドーITとは? 発生する原因と企業の取るべき対策を解説 https://admina.moneyforward.com/jp/blog/shadow-it
[55] シャドーITのリスクと対策方法 | 原因、事件、データ損失の危険性 https://www.sales-dx.jp/it/shadow-it
[56] SEOに強い見出しの作り方(ブログ編)これだけはおさえるべき ... https://valueagent.co.jp/blog/16585
[57] SEO対策の基本 | 具体例を交えた解説 - cstechブログ https://cs-techblog.com/technical/seo-basic/
[58] 【NG集】ホームページでやってはいけないこと37選!作成時、SEO https://www.conoha.jp/lets-wp/homepage-yattehaikenai/?btn_id=lets-wp--categoryList_lets-wp-homepage-yattehaikenai
[59] ブログは見出しが重要!SEOに強い見出しの作り方、注意点を解説 https://n-works.link/blog/seo/blog-headings-are-super-important
[60] seo対策キーワード選定の手順と成功分析7ステップ https://assist-all.co.jp/column/hp/seo/20250502-4362/
[61] 【初心者向け】WordPressのSEO対策に必須の設定と注意点 https://www.xserver.ne.jp/blog/wordpress-seo/
[62] ブログの「見出し」は超重要!メリットや注意点を解説 https://www.xserver.ne.jp/blog/blog-heading/
[63] 【具体例付き】SEOキーワードの選定手順5ステップ!おすすめ ... https://gmotech.jp/semlabo/seo/blog/seo-keyword/
[64] SEO記事とは?目的・書き方・記事作成ツール・具体例を徹底解説 https://article-pro.com/column/foundation/seo-articles/
[65] SEOに効果がある!プロの「見出し」の書き方 - forUSERS株式会社 https://www.forusers.net/midashi/
[66] ブログ運営に役立つAI SEOツールの具体的活用法 - note https://note.com/hiro_seki/n/ne45617161590
[67] SEOに強いブログ作成のために初心者が押さえるべきポイントを解説 https://gmotech.jp/semlabo/seo/blog/seo-blog/
[68] シャドーITとは?該当するものや原因・リスク・企業の対策をわかり ... https://biz.moneyforward.com/ipo/basic/9016/
[69] シャドーIT 【shadow IT】 シャドウIT - IT用語辞典 e-Words https://e-words.jp/w/%E3%82%B7%E3%83%A3%E3%83%89%E3%83%BCIT.html
[70] 次世代ネットワークセキュリティモデル「Secure Access Service ... https://www.hitachi-solutions.co.jp/security/sp/column/cloud/04.html
[71] シャドーITとは - IBM https://www.ibm.com/jp-ja/topics/shadow-it
[72] シャドーITはなぜ発生する?情報システム部門はどう対策すればよい ... https://next-security.tanium.jp/blog/397
[73] 勝手にUSBメモリやチャットツールを使わないで!テレワーク時の ... https://www.dos-osaka.co.jp/ss1/ss1lab/2020/06/trend-shadowit.html
[74] ブログのSEO対策 覚えておくべき本質と手法 https://www.onamae.com/server/bepossible/Make_a_blog/seo_for_blog/
[75] SEOポイズニングとは?仕組みや対策をわかりやすく解説 https://www.lanscope.jp/blogs/cyber_attack_cpdi_blog/20240530_20684/
[76] AI時代のSEO情報ブログ https://www.web-planners.net/blog/top_2.html
[77] これだけでOK!WordPressブログのセキュリティ対策7選 https://xs832297.xsrv.jp/blog-security/
[78] セキュリティサービスのSEO信頼構築のためのデジタルプレゼンス ... https://www.ranktracker.com/ja/blog/security-services-seo/
[79] SEOポイズニングの仕組みとは?代表的な手口と被害を防ぐ対策集 https://yosca.jp/seo/8396/
