「気づいたら部署の誰かが月額制のクラウドサービスを勝手に契約していた」「インシデントが起きて初めて未承認のSaaSを使っていたことが発覚した」——こうした経験を持つ情シス担当者は少なくありません。問題が発覚してから慌てて対処するのでは、リスク管理として手遅れになる場合があります。

調査によれば、従業員の約80%がIT部門の承認を得ずにSaaSアプリケーションを使っており、約70%の企業がシャドーITに起因するセキュリティ被害を経験しています。数字が示すとおり、シャドーITは一部の企業だけの問題ではなく、SaaSを使うすべての組織が向き合うべき課題です。

本記事では、シャドーIT対策を「何から手をつければいいか」で迷わないよう、可視化・リスク評価・ポリシー整備・代替手段提供・継続監視という5ステップに整理して、具体的な実践手順を解説します。シャドーITの定義やリスクの詳細についてはシャドーITとはをご参照ください。

シャドーIT対策が急務になった背景

なぜ今、シャドーIT対策が情シスの最優先課題の一つになっているかを理解することが、対策設計의 土台になります。

従業員の8割が未承認SaaSを使う実態

Josysが把握している調査データでは、従業員の約80%がIT部門の承認なしにSaaSアプリケーションを業務で利用しています。この数字が示すのは、シャドーITが「一部の問題社員による逸脱行為」ではなく、組織全体に広がる構造的な現象だということです。

特に2020年以降のコロナ禍・テレワーク普及期に、Zoom・Slack・Notion・Dropboxなどのセルフサインアップ型SaaSの業務利用が急増し、情シスが把握できていない利用が広がりました。一部の調査では、2020〜2021年の未承認SaaS利用増加率は約8%と報告されています。

セルフサインアップ型SaaSは、クレジットカードさえあれば誰でもすぐに契約できます。部門担当者が「業務効率化のためにちょっと試してみよう」と始めた利用が、気づけば継続利用になっているというパターンが全業界で見られます。

リモートワーク拡大がシャドーITを加速させた理由

オフィス勤務が中心だった時代には、物理的なネットワーク管理がシャドーITの自然な抑止力として機能していました。社内ネットワークを通じた通信はファイアウォールで監視でき、私物デバイスのオフィス持ち込みは目視で把握できていたからです。

テレワーク環境では、この物理的な管理が機能しません。自宅のWi-Fiから直接SaaSにアクセスするケースは、VPNを使わない限り情シスのネットワーク監視の外にあります。また、私物デバイスと業務デバイスの境界も曖昧になりがちです。結果として、シャドーITの発生頻度と複雑さが増しています。

生成AIの登場がシャドーITリスクを質的に変えた

2023年以降、生成AIサービスの急速な普及がシャドーITのリスク構造を質的に変えました。従来のシャドーITは「ファイル共有ツール」「プロジェクト管理ツール」など比較的リスクが限定的なものが多かったですが、生成AIサービスへの業務情報の入力は情報漏洩の経路として特に深刻です。

無料の個人アカウントのChatGPTやClaudeに顧客情報・議事録・提案書を貼り付けて活用している従業員は、「データが外部に送信されている」という認識を持っていないケースが多いです。ITポリシーが生成AIへの対応を含んでいない組織では、意図せぬ機密情報の外部送信が現在進行形で起きている可能性があります。

参考URL: https://josys.com/jp/blog/2023-08-08-how-josys-can-conquer-shadow-it

シャドーIT対策の全体像――5ステップで考える

シャドーIT対策は、単発の施策として行うのではなく、継続的なサイクルとして設計することが重要です。以下の5ステップが、現場で実効性のある対策体制の基本フレームになります。

Step1 現状の可視化（まず「何が使われているか」を把握する）

対策の起点は現状把握です。「問題があるかもしれない」という感覚ではなく、「何が・誰に・どの程度・どんな用途で使われているか」という具体的な事実を把握するところから始めます。

可視化に使える主な手段は以下のとおりです。

• ネットワーク・プロキシログの分析：社内ネットワークを通じたクラウドサービスへのアクセスを可視化
• 経費精算データの照合：サブスクリプション・IT費目の支出から未把握のSaaSを発見
• 従業員アンケート：匿名性を担保した形で現場が使っているツールを自己申告させる
• SaaS管理ツール・CASB：自動でSaaS利用状況を収集・分類

初回の可視化では、情シスが想定していた数の2〜3倍のSaaSが見つかることも珍しくありません。まず実態を正確に把握することで、以降の対策優先度が決まります。

各手法の特性と限界についてはシャドーIT 検出 方法で詳しく解説しています。

Step2 リスク評価とサンクション化判断

見つかったシャドーITをすべて即座に禁止することは、現実的でも適切でもありません。「セキュリティリスクの高さ」と「業務上の必要性」の2軸で評価を行い、対応を3つに分類します。

• 即時禁止：機密データを扱うリスクが高く、業務上の代替手段がある
• 要検討：一定のリスクはあるが業務上の必要性が高い
• サンクション化：リスクが低く業務効率化に貢献 → 情シス公認ツールとして正規化

サンクション化（公認化）を積極的に行う姿勢が、現場との信頼関係構築につながります。「情シスは何でも禁止する」という認識が広まると、従業員が申告を避けるようになり、シャドーITの把握がさらに困難になります。

Step3 ITポリシーの整備と周知徹底

リスク評価の結果をもとに、何が許可で何が禁止かを具体的に定めたITポリシーを整備します。「個人アカウントのDropboxへの業務データ保存は禁止。ファイル共有には会社のBox（全社承認済み）を使うこと」といった具体的な記述が、現場に伝わるポリシーの条件です。ポリシー整備後は、入社時研修への組み込み・定期的な全社メール・部門別勉強会などを通じて繰り返し周知します。

Step4 承認済み代替ツールの提供

シャドーITの最大の抑止力は「公式ツールの方が使いやすい」という状態をつくることです。「なぜそのシャドーITを使っているか」を理解した上で、そのニーズを満たす承認済みツールを用意します。禁止するだけで代替手段を提供しない対応は、現場の不満につながり別のシャドーITを生む可能性があります。

Step5 継続的な監視とPDCA

新しいSaaSは毎月登場し、従業員の利用パターンは常に変化します。定期的なSaaS棚卸し（四半期ごと推奨）・ネットワークログの継続監視・退職者オフボーディングとの連携という仕組みを整えることで、シャドーITへの継続的な対応体制を維持します。

参考URL: https://www.lac.co.jp/lacwatch/service/20230914_003500.html

可視化の手法――シャドーITをどう見つけるか

シャドーIT対策の成否は、最初の「可視化」フェーズにかかっています。使えるアプローチとその特性を把握した上で、自社の環境に合った組み合わせを選ぶことが重要です。

ネットワーク・プロキシログの分析

社内ネットワークを経由した通信ログには、アクセス先のドメイン・接続時刻・転送データ量といった情報が記録されています。これを分析することで、どのクラウドサービスへのアクセスが行われているかを把握できます。

有効な場面はVPN経由での業務が標準化されているオフィス中心の環境です。一方、自宅からVPNなしで直接SaaSにアクセスしているケースは捕捉できないという限界があります。テレワーク比率が高い組織では、ネットワークログだけでは全体の把握が困難です。

実践手順として、まずWebフィルタリングシステムのレポート機能でクラウドサービスカテゴリへのアクセス上位30件を確認し、承認済みSaaSリストと照合します。承認済みリストにないドメインへの大量アクセスを優先的に調査する進め方が、効率的です。

経費精算データとSaaS台帳の照合

情シス未承認のSaaSを個人クレジットカードで契約して経費申請するケースでは、精算データにサービス名が記録されています。「サブスクリプション」「月額利用」などのキーワードで経費データを絞り込むだけで、把握していないサービスが複数見つかることがあります。財務・経理部門との連携が有効な手段になります。

この方法の特長は、VPN未使用・個人デバイスからのアクセスでも、費用が発生していれば間接的に発見できる点です。ネットワークログと組み合わせることで、検出の網羅性が高まります。

CASB・SaaS管理ツールの活用

CASB（Cloud Access Security Broker）は、クラウドサービスへのアクセスを仲介・監視するセキュリティソリューションです。数千種類以上のクラウドサービスをカテゴリ別に自動分類し、リスクスコアを付与した上でアクセス状況を可視化できます。Josysのブラウザ拡張機能はVPN未接続の在宅勤務中でも機能するアプローチで、テレワーク環境のシャドーIT検出に適しています。

参考URL: https://admina.moneyforward.com/jp/blog/shadow-it-detection

リスク評価の進め方――優先順位の付け方

可視化によって見つかったシャドーITの数が多い場合、すべてに同じ優先度で対応するのは非現実的です。効果的な対策のためには、リスクの高さと業務への影響度を軸にした優先順位付けが必要です。リスクの詳細についてはシャドーIT リスクを参照してください。

セキュリティリスクと業務必要性の2軸評価

評価軸として「セキュリティリスクの高さ」と「業務上の必要性」の2つを設定します。

セキュリティリスクの評価項目としては、機密データ・個人情報を扱う可能性があるか、データの暗号化・アクセス制御が適切に行われているか、ベンダーのセキュリティ認証（SOC 2・ISO 27001等）の取得状況、利用規約にデータの学習・第三者提供に関する記述があるかを確認します。

業務必要性の評価項目としては、利用を禁止した場合に業務に支障が出るか、情シス公認の代替ツールで同等の機能を提供できるか、利用しているユーザー数・利用頻度を確認します。

即時禁止・要検討・サンクション化の3分類

2軸評価の結果をもとに、以下の3分類で対応を決定します。

即時禁止は、セキュリティリスクが高く（機密データの処理、学習への同意が利用規約に含まれるなど）、かつ情シス公認の代替ツールがある場合です。現場への説明と代替手段の案内をセットで行います。

要検討は、一定のリスクはあるが業務への必要性が高い場合で、利用ルールの設定などリスク低減策を条件とした条件付き許可を検討します。「機密情報は入力しない」「外部共有設定は変更しない」など、具体的なルールを設定することが重要です。

サンクション化は、セキュリティリスクが低く業務効率化への貢献が明確な場合で、情シス公認ツールとして台帳に登録し全社展開を検討します。サンクション化を積極的に行うことで、現場の申請意欲が高まります。

リスク評価に使うスコアリング表

定量的なリスク評価のために、以下のスコアリング表を活用することができます。

合計スコア11〜15点：即時対応、8〜10点：優先対応、5〜7点：計画的対応、5点未満：台帳記録・定期確認という形で優先度を設定します。

参考URL: https://www.lumapps.jp/blog/shadow-it/

ITポリシーを機能させる3つのポイント

ITポリシーは「作成すること」ではなく「機能すること」が目的です。多くの組織でポリシーは存在するものの現場に浸透していないという問題が発生します。機能するITポリシーには、以下の3つの特性が必要です。

禁止事項を具体的に明示する

「シャドーITの利用を禁止する」という抽象的な記述だけでは、従業員はどのケースが禁止に当たるかを判断できません。具体的なサービス名・利用シーン・禁止の理由をセットで記述することが必要です。

記述例として、「個人のGoogleアカウントやDropboxアカウントへの業務データの保存は禁止です。ファイル共有が必要な場合は、情シスが管理するBoxを使用してください。理由は、退職後のアクセス継続リスクと、個人アカウントのセキュリティ設定を情シスで管理できないためです。」というような形が具体的で分かりやすいです。

また、承認済みツールの一覧（ホワイトリスト）を同時に提示することで、「何が使えるのか」が明確になり、シャドーITに頼る動機が減ります。

承認プロセスをスリム化する

シャドーITが発生する最大の原因の一つが、申請から承認まで時間がかかりすぎることです。承認まで2週間かかるなら、現場は今日から使える無料SaaSに流れます。

対策として、リスクの低い一般的なSaaSを事前に承認済みにしておくグリーンリストの整備、緊急性の高い申請を3営業日以内に処理するファストトラックフローの設置、申請フォームの電子化による工数削減を検討します。

申請フォームには「何のために使うか」「誰が使うか」「どんなデータを扱うか」の3項目だけを記載すれば十分です。情シスが判断に必要な情報が最初から揃っていれば、往復確認のやり取りが減り承認スピードが向上します。

研修・周知を継続的に実施する

ポリシーは一度周知しただけでは機能しません。新入社員・中途社員には入社時研修で必ず伝え、既存社員には年1〜2回の定期研修で繰り返しリマインドします。「なぜシャドーITが問題なのか」という理由と「ルールを守らなかった場合にどんな問題が起きるか」という具体例を合わせて伝えることが、現場の理解と行動変容につながります。

周知の形式として、全社メールやイントラネット掲載だけでなく、部門ごとの勉強会や質疑応答の機会を設けることが効果的です。特に「AIツールはどこまで使っていいか」という質問は多くの組織で寄せられており、具体的な回答を準備しておくことが信頼性の向上につながります。

参考URL: https://www.clouderp.jp/blog/shadow-it-countermeasures-internal-policies

承認済みツールへの移行で現場の反発を防ぐ

シャドーIT対策で情シスが陥りやすい失敗は、「禁止だけして代替を用意しない」アプローチです。禁止令が出ても現場のニーズはなくならないため、別のシャドーITが生まれるか業務効率が低下して情シスへの不信感が高まるかのどちらかになります。

現場がシャドーITを使う理由を理解する

代替ツールを選定する前に、「なぜそのシャドーITを使っているか」を現場担当者からヒアリングします。多くの場合、理由は以下のいずれかです。

• 公式ツールにない機能がある（AIによる文書自動生成など）
• 公式ツールより圧倒的に使いやすい（UIの差、モバイル対応の有無など）
• 社外との共有・コラボレーションに必要
• 申請が面倒で、試しに使い始めたらそのまま定着した

理由を把握せずに代替ツールを押し付けると、「使いにくい公式ツール」という評価だけが残ります。ヒアリングで得た情報を代替ツール選定の要件として活用することで、現場が実際に使うツールを選べます。

代替ツールの選定基準

代替ツールを選定する際は、以下の5つの観点で評価します。

セキュリティ: SOC 2 Type II認証取得状況、データ保存場所・暗号化水準

機能: 現場が求める機能との一致度。「8割以上の機能が満たされていれば移行できる」という基準で判断することが多いです。

使いやすさ: UIの操作性・学習コストの低さ。使いやすさが不十分だと定着しません。

コスト: 全社導入コストと現状の個別契約コストとの比較。シャドーITを複数統合することで、1つの公式ツールの導入コストを上回るコスト削減が実現するケースがあります。

社外連携: 取引先との共有・コラボレーション機能。社外とのやり取りにシャドーITが使われているケースでは、社外連携機能が代替の必須条件になります。

部門別のシャドーITニーズと代替ツール例

部門ごとに発生しやすいシャドーITと、代替ツールの例を示します。

移行をスムーズに進めるコミュニケーション

移行前にパイロットユーザーとして現場担当者数名を選定し、代替ツールを実際に使ってもらいます。フィードバックをもとにツール選定を最終決定することで、移行後の定着率が大幅に高まります。情シスから一方的に「切り替えてください」と通達するのではなく、現場を巻き込んだ形で進めることが移行成功の鍵です。

移行期間は最低でも1ヶ月を設けることを推奨します。「○月○日からシャドーITは使えなくなります」という一方的な期限設定より、「○月末までに移行をお願いします。移行支援は随時対応します」という形で、移行を支援する姿勢を示す方が現場との関係が良好に保てます。

参考URL: https://www.fgl-ts.co.jp/blog/josys109

継続監視体制の構築

シャドーIT対策は「一度やれば終わり」ではありません。新しいSaaSは毎月登場し、組織内のツール利用は常に変化します。継続的な監視体制を整えることで、シャドーITへの対応を持続可能な形で運用できます。

定期的なSaaS棚卸しの仕組み

四半期ごとに情シスが管理するSaaS台帳を更新する仕組みを整えます。確認事項として、新規に発見されたシャドーIT、台帳登録済みのSaaSで利用停止になったもの（コスト削減の機会）、契約条件・利用規約が変更されたもの、来期の契約更新時期が近いもの（更新・解約の判断機会）を対象にします。

棚卸しを定例化するために、四半期の最初の2週間を「棚卸しウィーク」として情シスのカレンダーに登録します。担当者を明確にして引き継ぎしやすい記録を残しておくことで、担当者が変わっても安定して実施できます。

SaaS棚卸しの具体的な手順についてはSaaS棚卸し やり方で詳しく解説しています。

退職者オフボーディングとの連携

退職者が発生した際、情シスが把握しているすべてのSaaSアカウントを速やかに削除・無効化することが、退職者アカウント残存リスクの防止につながります。オフボーディングフローの中に「SaaSアカウントの棚卸しと削除」を標準手順として組み込みます。

オフボーディングのチェックリストには以下の項目を含めます。

• [ ] 情シス管理のSaaSアカウントを全件確認・削除
• [ ] 退職者が管理者権限を持つSaaSの権限移管
• [ ] 退職者の個人メールへの転送設定がないか確認
• [ ] 退職者が使用していた共有フォルダへのアクセス権の見直し
• [ ] 退職者の業務に関連するシャドーIT利用を部門担当者にヒアリング

Josysは台帳に登録されたSaaSのアカウントを一元管理し、退職者のアカウントを一括操作する機能を提供しています。オフボーディングを自動化することで、担当者の工数を削減しながら対応漏れを防げます。

定期アラートと新規シャドーIT検出

四半期棚卸しを待たずに新しいシャドーITを早期に検出するために、定期アラートの仕組みを整えます。

• ネットワークログで新規ドメインへの大量アクセスが発生した際のアラート
• 経費データに新しいSaaS関連の支出が計上された際の自動通知
• CASBやJosysのダッシュボードで未承認アプリが検出された際のメール通知

これらのアラートを設定することで、次の定期棚卸しを待たずにリアルタイムで新しいシャドーITを把握できます。早期発見は、シャドーITが長期間にわたってリスクを蓄積するのを防ぎます。

参考URL: https://www.sei-info.co.jp/mcore/column/shadow-it/

JosysでシャドーIT対策を効率化する

5ステップのシャドーIT対策を手動で運用し続けることには、情シスの工数面での限界があります。Josysは、シャドーITの検出から管理・オフボーディングまで、情シスの運用負荷を継続的に最小化するプラットフォームです。

SaaS利用状況の自動可視化

Josysのブラウザ拡張機能を業務端末にインストールするだけで、従業員が業務で利用しているSaaSが自動記録されます。VPN未接続の在宅勤務中でも機能するため、リモートワーク環境でのシャドーIT検出に有効です。収集するのはSaaSのドメインと利用タイミングのみで、メールの内容・個人的なブラウジング・認証情報は収集対象外です。

ダッシュボードでは、承認済みSaaSと未承認SaaSが色分けで表示され、利用ユーザー数・アクセス頻度・最終アクセス日時を一覧で確認できます。この可視化によって、Step1「現状の可視化」が継続的に自動実行される状態になります。

未承認アプリ検出とアラート機能

情シスが事前に登録した承認済みSaaSリストと実際の利用状況を自動で照合し、未承認のSaaSが使われた際にアラートを発報します。手動でのログ確認を待たずに、新たなシャドーITが発生した時点で把握できます。検出された未承認アプリに対して「承認」「禁止」「要調査」のステータスを設定し、対応の進捗を管理することも可能です。

この機能により、Step5「継続的な監視」が大幅に省力化されます。情シスが自分でログを確認する頻度を減らしながら、新しいシャドーITを見逃さない体制が実現します。

アカウント管理・オフボーディングの自動化

承認済みSaaSのアカウント情報を一元管理し、退職者発生時にすべてのSaaSアカウントを一括操作できます。100種類以上のクラウドサービスとの連携により、人事システムと連動した自動オフボーディングが実現できます。退職日に合わせて自動でアカウントが無効化されるため、対応漏れのリスクが大幅に低減します。

参考URL: https://josys.com/jp/blog/2023-08-08-how-josys-can-conquer-shadow-it

シャドーIT対策でよくある失敗と対処法

シャドーIT対策を進める過程で、多くの組織が同じ失敗を繰り返します。代表的なパターンと対処法を整理します。

現状を把握せずにポリシーだけ整備した: 現場の実態に合わない内容になりがちです。まず可視化を行い、「何が使われているか」という事実をもとにポリシーを設計することが先決です。ポリシー先行で可視化を後回しにすると、実態と乖離したルールが生まれ、現場から「現実的でない」と受け止められます。

見つかったシャドーITをすべて一律に禁止した: 業務効率の低下と情シスへの不信感を招きます。リスク評価に基づいた分類を行い、リスクの低いものはサンクション化する判断が必要です。業務上の必要性が高いツールを禁止することで、生産性が落ちたという評判が情シスに向けられると、以後の協力が得にくくなります。

代替ツールを用意せずに禁止した: 現場は別のシャドーITを探し始めます。禁止と代替手段の提供はセットで行うことが鉄則です。

ポリシーを一度作って終わりにした: 継続的な機能が失われます。年1〜2回の見直しと新入社員への研修組み込みが必要です。特に生成AIのような新しいカテゴリが登場した際は、ポリシーを速やかに更新することが重要です。

退職者のアカウント管理を後回しにした: 情報漏洩の経路として深刻なリスクが残ります。オフボーディングフローに組み込み、漏れなく実行できる仕組みを整えることが重要です。

参考URL: https://infinicore.jp/technote/shadowit_explanation

まとめ

シャドーIT対策は、可視化・リスク評価・ポリシー整備・代替ツール提供・継続監視という5ステップのサイクルとして設計することが重要です。単発の禁止令や監視強化だけでは、根本的な解決にはなりません。

現場がシャドーITを使う理由を理解し、そのニーズに応える公式ツールを整備すること。申請・承認プロセスをスリム化して、正規のルートを使う方が便利だという状態をつくること。継続的なモニタリングで新たなシャドーITを早期に発見すること。この3点が、持続可能なシャドーIT管理体制の核心です。

シャドーAI（生成AIの未承認利用）への対策については、シャドーAI 対策で別途解説しています。

Josys 資料ダウンロード

シャドーITの自動検出からSaaS一元管理まで、Josysの機能詳細と導入事例を資料でご確認いただけます。

Josys 製品資料をダウンロードする