2025年10月 3日 09:00

ものづくりの現場にも潜んでいる見えないリスク　シャドーITとは？

便利だからつい使ってしまう個人のスマートフォンやアプリ。でも実はこれ、会社にとっても自分にとっても、とんでもないリスクを抱えているかもしれません。

今回は、ものづくりの現場でも他人事ではない「シャドーIT」について紹介します。

シャドーITとは？

「ちょっとこのアプリ便利そうだから使ってみよう」

「無料だし、とりあえず試してみるか」

こんな軽い気持ちで始めたことが、実は会社にとって大きなリスクになっているかもしれません。
シャドーITとは、企業や組織の情報システム部門の許可を得ずに、従業員や部門が独自にIT機器・ソフトウェア・サービスを導入することを指します。*1

よくあるシャドーIT

製造業の現場においても、シャドーITは身近な問題です。
実際に起こり得る事例を紹介します。

個人スマートフォンで撮影した製品写真をLINEで共有

現場で発生した小さなトラブルを、その場ですぐに共有したいという気持ちは、ものづくりの現場ではよくあることです。

しかし、「今すぐ確認してもらいたいから」と、製品の不具合写真を個人のLINEアカウントで送ってしまうのは実はNGです。*2

無料クラウドストレージに図面データを保存

「家でも作業したいから」とGoogleドライブやDropboxの個人アカウントに社内資料をアップロードした経験はないでしょうか。

便利なので気軽にやってしまいがちですが、これもシャドーITです。*3

ChatGPTに仕様書の文章を添削してもらう

「ちょっと文章をきれいにしたいだけ」と思って、製品仕様書の一部をChatGPTに入力する。これも簡単なので利用したくなりますが、問題がある行為です。*4

個人のノートPCで在宅勤務

会社支給のPCより高性能だからと、個人のPCで業務を行うケースも考えられます。しかし、いくら高性能だからといって、個人のデバイスで業務に関わるデータを扱ってはいけません。*5

無料の翻訳サイトで海外向け資料を作成

英語が苦手だからと無料の翻訳サイトを使ったことはないでしょうか。費用が発生しないから問題ないと思われるかもしれませんが、これもNGです。*4 , *6

シャドーITのリスク

では、シャドーITには具体的にどんなリスクが潜んでいるのでしょうか。

情報漏洩

従業員が私物の端末を利用して情報を持ち出す、誤って機密情報が誰でも閲覧可能な設定にしてしまうなど、様々な場面で情報漏洩のリスクが高まります。

製造現場で考えると、設計図面、製品の写真、取引先リスト...これらが外部に漏れたらどうなるでしょうか。競合他社に技術を盗まれたり、大切な顧客情報が悪用されたり、取り返しのつかない事態になりかねません。*7

セキュリティの脆弱性

会社が把握していないツールは、セキュリティの穴があっても対策できません。

個人所有の端末は、会社の管理下にないため、最新のセキュリティパッチが適用されていないケースが多く見られます。OSやアプリケーションの脆弱性は日々発見されており、これらに対する修正プログラムが定期的に配布されていますが、個人端末では更新が後回しにされがちです。

特に深刻なのが、無許可のネットワーク接続によるリスクです。フリーWi-Fiなどの公衆無線LANは、通信内容が暗号化されていない場合や、悪意のある第三者が設置した偽のアクセスポイントである可能性があります。*4, *5, *7

アカウント乗っ取り

シャドーITで利用されるサービスの中には、パスワード設定が甘かったり、二段階認証に対応していなかったりするものがあります。こうしたサービスを業務で安易に利用していると、悪意のある第三者にアカウントを乗っ取られるリスクが高まります。

「自分は大丈夫」と思っていても、パスワードの使い回しや、セキュリティの甘いサービスを使っていれば、いつ被害に遭ってもおかしくありません。*3

AI関連リスク

最近、生成AIの便利さに魅力を感じて、業務で活用する人が増えています。確かに、質問すればすぐに答えが返ってくるのは便利です。筆者も日常的に活用しています。

しかし、生成AIには誤った情報や偏った内容を生成してしまうリスクがあります。さらに深刻なのは、著作権や人権を侵害する情報を含む可能性があることです。

加えて、多くのAIサービスや翻訳サイトは無料で使える代わりに、入力した情報が学習データとして利用される可能性があります。もし仕様書や提案資料といった機密性の高い情報を入力すれば、その瞬間から会社だけの情報ではなくなってしまうのです。

会社が把握していない外部AIサービスを通じて情報を扱うことは、情報漏洩や誤情報の活用につながりかねません。

便利さの裏側には、見えない危険が潜んでいることを忘れてはいけません。*4 , *6

コンプライアンス違反

シャドーITの怖いところは、悪意がなくても重大な法令違反につながってしまうことです。
重要な情報が外部に漏れてしまえば、重大なコンプライアンス違反につながる可能性もあります。
長年築いてきた信頼関係が、シャドーITで崩れ去ってしまうかもしれません。*4

シャドーITが生まれる理由

なぜこうした行為が生まれてしまうのでしょうか。

実は、これらのシャドーITが生まれる理由は単純です。

「会社のツールが使いにくい」
「申請が面倒」
「そもそも必要なツールがない」

などの理由です。

例えば、よくあるシャドーITの事例にあげたLINE。2025年6⽉末時点で、LINEアプリの月間アクティブユーザーは9,900万人です(図1)。*8

図1：LINEの利用状況
出所） LINEヤフーマーケティングキャンパス「LINEをビジネスで活用するには」
https://lymcampus.jp/line-ads/courses/user/lessons/oada-1-2-3?_fsi=O0uBzUb5

多くの人が利用しているアプリを使えばスムーズに連絡が取れますし、つい個人の携帯電話から資料を送りたくなる気持ちもわかります。

実際にある調査では、LINEをビジネスに利用していると回答したビジネスマンは約2割に及ぶという結果が出ています(図2)。*2

図2：SNSのビジネス利用状況
出所） ソフトバンク株式会社「LINEを業務で使うリスクとは：中堅・中小企業向け」
https://biz.tm.softbank.jp/PG4285A1_shadowIT.html

LINEに限らず、本来業務で使用が許可されていない様々なアプリケーションやクラウドサービスが、知らず知らずのうちに現場で使われているケースは少なくないのです。業務効率化という目的は素晴らしいのですが、それが会社のセキュリティポリシーをすり抜けた「シャドーIT」となってしまうと、思わぬリスクを招きかねません。

シャドーITの対策案は？

シャドーIT対策のポイントは「なぜみんなが会社に内緒でツールを使ってしまうのか」を理解することです。現場の声に耳を傾けながら、一緒に解決策を考えていきましょう。

現状把握

多くの企業では、社内で使用されているツールを正確に把握できていないのが現状です。アンケートやヒアリングを行い、まずは社内で使われているIT機器やサービスをすべてリストアップすることが重要です。PCやスマートフォンはもちろん、無料で利用しているクラウドサービスまで、すべてを洗い出します。

CASB（キャスビー：Cloud Access Security Broker）と呼ばれるネットワークを監視し、不審な通信を検知するツールを活用することも有効です。*4, *9

定期的なセキュリティ教育

従業員がシャドーITのリスクを十分に理解していないケースは珍しくありません。

そのため、定期的な教育が欠かせません。ただし、形式的な講義では効果は限定的です。実際に発生した事例を用いて、「自社でも起こりうる」という当事者意識を持ってもらうことがポイントです。

また、「この業務ではこのツールを使う」「この情報はこの方法で共有する」といった具体的なガイドラインを示すことも重要です。従業員が迷わず、かつ安全に業務を進められる環境を整えることが、シャドーITを減らすポイントです。*4

使いやすい公式ツールを用意する

現場の声に耳を傾け、使いやすいツールの導入も検討しましょう。

「ファイル共有が煩雑」という声があれば、安全で使いやすい共有システムを、「モバイルでの確認が必要」という要望があれば、セキュアなモバイルアプリケーションの導入を検討します。*2

セキュリティと利便性のバランスを取ることで、シャドーITの減少を目指します。

面倒くさいけれど、大事なセキュリティ

私達が働く職場では、たくさんの重要な情報が日々やり取りされています。

しかし、その中には、万が一外部に漏れてしまったり、悪意ある第三者に利用されたりすると、会社に大きな損害を与えかねない、極めて機密性の高い情報も含まれています。シャドーITは、見えないところでリスクを増大させる可能性があるのです。

シャドーITを減らすために重要なのは、単に「禁止」することではありません。現場の「もっと便利に働きたい」というニーズに応えながら、安全性も確保することです。使いやすい公式ツールの導入、明確なルール作り、そして現場の声を聞くことが必要です。

まず「このツール、会社で許可されているか」を確認することから始めてみませんか。

参照・引用を見る
*1
出所）docomo business Watch「シャドーITとは？」
https://www.ntt.com/bizon/glossary/j-s/shadow-it.html

*2
出所）ソフトバンク株式会社「LINEを業務で使うリスクとは：中堅・中小企業向け」
https://biz.tm.softbank.jp/PG4285A1_shadowIT.html

*3
出所）NTT東日本株式会「シャドーITとは？そのセキュリティリスクと対策方法をわかりやすく解説」
https://business.ntt-east.co.jp/content/coworkstorage/column-13.html

*4
出所）Biz Clip「シャドーIT」とは？生成AIによって増えるそのリスクと対策」
https://business.ntt-west.co.jp/bizclip/articles/bcl00071-159.html

*5
出所）株式会社日立ソリューションズ・クリエイト「テレワーク導入におけるセキュリティ対策のポイント
https://www.hitachi-solutions-create.co.jp/column/reform/telework-security.html

*6
出所）日経クロステックSpecial「その使い方が情報漏洩につながる AI翻訳のセキュリティーリスクと対策」
https://special.nikkeibp.co.jp/atclh/NXT/24/security_management_summit0809/p6/

*7
出所）株式会社PFU「シャドーITの脅威・リスク、その対策とは？」
https://www.pfu.ricoh.com/inetsec/products/blog/blog21007.html

*8
出所） LINEヤフーマーケティングキャンパス「LINEをビジネスで活用するには」
https://lymcampus.jp/line-ads/courses/user/lessons/oada-1-2-3?_fsi=O0uBzUb5

*9
出所）docomo business Watch「CASB（キャスビー・Cloud Access Security Broker）とは？」
https://www.ntt.com/bizon/glossary/e-c/casb.html

SHARE