社内ネットワークのトラフィックを調べると、情シスが一度も承認した記憶のないクラウドサービスへのアクセスが大量に検出される。「誰かが何かを使っているのは分かるが、何をどう使っているかが分からない」。このもどかしさこそ、シャドーIT問題の核心です。

SaaSの低価格化とセルフサインアップの普及により、現場の担当者がクレジットカード一枚でクラウドサービスを即日契約できる時代になりました。情シスへの申請を待つより自分で解決した方が早い。現場のこの判断は多くの場合、合理的です。しかしその積み重ねが、組織内に見えないリスクを静かに積み上げていきます。

本記事では、シャドーITの定義・種類・リスク・検出方法・対策を、情シス担当者が「まず何を知り、何から始めるか」を判断できるよう体系的に整理します。シャドーIT問題を初めて担当する方から、現在進行形で対策を進めている担当者まで、実務に使える内容をまとめました。

シャドーITとは何か――定義と基本概念

シャドーITとは、企業の情報システム部門（情シス）が把握・承認していないIT機器、ソフトウェア、クラウドサービスを、従業員が独自の判断で業務に利用している状態を指します。「シャドー（Shadow）」という呼称が示すとおり、情シスの監視・管理の「影」に隠れた状態で利用が続くことが語源です。

IPA「情報セキュリティ10大脅威 2025」では内部不正による情報漏洩が第4位にランクインしており、シャドーITはその主要な経路の一つとして認識されています。

情シスが「把握していない」状態の意味

シャドーITの定義で鍵になるのは「把握していない」という点です。リスク評価を正確に行うには、利用しているサービス名・利用部署・利用者・取り扱うデータの種類・契約条件という5つの情報が揃っている必要があります。

このうち一つでも欠けていれば、適切なリスク判断はできません。たとえば「営業部門がDropboxを使っている」という事実を知っていても、どのデータをどの相手と共有しているかが分からなければ、情報漏洩リスクを評価できないのです。シャドーITが問題なのは、このリスク評価そのものを不可能にする点にあります。

シャドーITに該当するものと該当しないもの

シャドーITの範囲は、多くの情シス担当者が思うより広い傾向があります。一方で、判断に迷うグレーゾーンも存在します。

該当する主なケース：

• 個人アカウントで契約したDropboxに顧客データを保存する
• 部署単位で承認なくSlackのフリープランを契約して使う
• 私物スマートフォンを会社のメールサーバーに接続する
• 個人アカウントのChatGPT無料版に業務文書を貼り付けて処理させる

原則として該当しないケース：

• 情シスが承認・管理している全社導入済みのSaaS
• 情シスに申請して承認を得た後に利用しているツール
• 業務データを一切扱わない個人的なツール

判断が難しいのは「部署内のみで使っている小規模SaaSで、情シスへの申請はしていないが特段の問題も起きていない」というケースです。こうした状況への対応は、自社のITポリシーの設計次第になります。

参考URL: https://www.ntt.com/bizon/glossary/j-s/shadow-it.html

シャドーITが増える3つの背景

シャドーITは、従業員の悪意から生まれるものではありません。利便性・スピード・使いやすさを求める現場の行動の積み重ねとして生まれます。対策を効果的に設計するには、この背景を正確に理解することが先決です。

SaaSの低価格化とセルフサインアップの普及

2010年代以降、SaaSの普及は急速に進みました。無料プランやフリーミアムモデルを採用するサービスが増え、クレジットカードを入力するだけで数分後から使い始められるサービスが当たり前になっています。

かつてはソフトウェア導入に購買部門の稟議・ベンダー交渉・IT部門によるインストール作業が必要でした。この「摩擦」が、シャドーITの自然な抑止力として機能していた面があります。SaaSのセルフサインアップ時代には、この摩擦がほぼゼロになりました。結果として、ITガバナンスの空白が生まれやすくなっています。

調査によれば、1つの企業に存在するSaaSの種類は平均で100を超えており、そのうち情シスが把握しているのは半数程度という実態があります。つまり、多くの企業で50種類以上のSaaSがシャドーとして使われている可能性があるということです。

リモートワーク・BYOD環境の拡大

2020年以降のリモートワーク普及は、シャドーITの拡大に拍車をかけました。オフィス外での業務が増えると、情シスが管理するネットワーク境界の外でITツールが使われる機会が急増します。

私物PCや私物スマートフォンを業務に使うBYOD（Bring Your Own Device）の慣行も、シャドーITが生まれやすい環境です。会社支給デバイスにはMDM（モバイルデバイス管理）を適用できますが、私物デバイスへの管理適用には現実的な限界があります。

リモートワーク環境では「とりあえず手元にあるツールで解決する」という行動パターンが定着しやすく、情シスへの相談コストがオフィス勤務時より高く感じられることも、シャドーIT拡大の背景になっています。

現場の「使いやすいツールを使いたい」という合理的判断

シャドーITが発生する最も根本的な原因の一つは、情シスが提供している公式ツールが現場のニーズを満たしていないことです。承認まで2週間かかる申請プロセスを経ずに、今日から使える無料ツールを選ぶという判断は、業務スピードを求める環境では理解できる選択です。

表面的な禁止令だけでは、このシャドーITはなくなりません。現場ニーズに応える公式ツールの整備と、申請・承認プロセスのスリム化が、根本的な対処になります。

参考URL: https://www.softbank.jp/biz/blog/business/articles/202309/shadow-it/

シャドーITの種類と具体例

シャドーITはクラウドサービスだけでなく、ハードウェアや個人デバイスも含む幅広い概念です。実態を把握するために、主な種類と典型的な利用パターンを整理します。

クラウドストレージ・ファイル共有系

最も頻繁に見られるカテゴリで、情報漏洩リスクが特に高い領域です。

代表的なサービスと利用シーン：

• Dropbox（個人アカウント）：顧客提案書・契約書の社外共有
• Google Drive（個人のGoogleアカウント）：スプレッドシートによる顧客リスト管理
• WeTransfer：大容量ファイルの社外送付
• OneDrive（個人のMicrosoftアカウント）：会議資料の一時保存

これらのサービスで特に注意すべきなのは「退職後もアクセスが継続する」点です。社員が退職した後も個人アカウントにデータが残り、会社として削除・管理する手段がありません。情シスが退職者のアカウントを把握していなければ、オフボーディングの手順にも含められず、データが永続的に社外に残り続けます。

コミュニケーション・コラボレーション系

業務効率化のために現場が自発的に導入するケースが多く、利用者が増えるほど移行コストが高くなるという特性があります。

代表的なケース：

• 個人LINEによる顧客・パートナー企業との業務連絡
• 情シス未承認のSlack無料プランによる部署内コミュニケーション
• 個人アカウントのTrello・Notionでのプロジェクト管理
• 個人アカウントのZoomによるWeb会議

このカテゴリが特に厄介なのは、「使い勝手がよくて現場が手放せなくなっている」状態になりやすい点です。数ヶ月間チームで使い続けたSlackワークスペースを「今日から禁止」と言っても、それまでの会話履歴・ファイル・連絡先が全部そこにある以上、現場は反発します。発見が遅れるほど対応コストが増える構造になっています。

生成AI・AIアシスタント系（シャドーAI）

2023年以降、急速に問題化しているカテゴリです。ChatGPT・Claude・Geminiといった生成AIサービスを個人アカウントで業務利用するケースが増えています。

生成AIは他のシャドーITと異なり、入力したデータが「AIモデルの学習データとして使われる可能性がある」という固有のリスクを持ちます。特に無料プランでは学習への同意が利用規約に含まれているケースがあり、機密情報を入力すると取り返しのつかない事態になる可能性があります。シャドーAI問題については、[内部リンク: シャドーAIとは]で詳しく解説しています。

個人デバイス・BYOD系

ハードウェアに関するシャドーITも、情報漏洩やマルウェア感染の経路になります。

主なパターン：

• 私物スマートフォンで会社のメールを受信する
• 私物ノートPCを会社のWi-Fiに接続する
• 情シス未承認のUSBメモリで社内データをコピーする

デバイス系は、マルウェア混入リスクや紛失・盗難時の情報漏洩が特に深刻です。MDMが適用されていない端末では、紛失時にリモートワイプができず、暗号化もされていないため、発見されたデータが直接流出します。

参考URL: https://www.lanscope.jp/blogs/it_asset_management_emcloud_blog/20221125_26109/

シャドーITが引き起こす4つのリスク

シャドーITのリスクは、セキュリティ事故が起きて初めて顕在化することが多いです。しかし実際には、事故が起きる前から複数のリスクが積み上がっています。詳細はシャドーIT リスクで解説していますが、主要な4カテゴリをここで整理します。

セキュリティリスク（情報漏洩・不正アクセス）

情シスが管理するツールには、アクセス権限設定・通信の暗号化・セキュリティアップデートの適用といった管理が施されています。未承認のサービスには、こうした管理が及びません。

具体的なリスク：

• 個人アカウントのクラウドストレージが攻撃を受け、顧客データが流出する
• 無料SaaSのパスワードが使い回しで、社内システムへの不正アクセスの起点になる
• 生成AIサービスに入力した業務情報がモデルの学習に使われる

IPA「情報セキュリティ10大脅威 2025」では内部不正による情報漏洩が第4位にランクインしており、シャドーITはその主要な経路の一つです。

コンプライアンスリスク（法令・NDA違反）

個人情報保護法・GDPR・各種業界規制は、企業がデータをどのように管理しているかについて明確な要件を定めています。シャドーITによってデータが情シスの管理外に置かれると、これらの要件を満たせなくなります。

また、取引先とのNDA（秘密保持契約）に違反するケースも発生しています。「個人のDropboxに顧客から受け取った機密資料を保存していた」という事実だけで、契約上の問題が生じる場合があります。

コスト管理リスク（無駄なライセンス費用）

情シスが把握していないところで部署ごとに似たようなツールを個別契約していると、本来は1つのツールに統合できるコストが分散して発生します。無料プランで使い始めたSaaSがいつの間にか有料プランに移行しており、経費精算の中に埋もれているケースも頻繁に見られます。

シャドーITのコスト問題は「見えないから管理できない」という構造から生まれます。SaaS管理ツールで可視化してみると、情シスが想定していた2〜3倍のコストが社内のSaaSに費やされていたという発見は珍しくありません。

退職者アカウント残存リスク

情シスが把握しているSaaSであれば、オフボーディング手順の中でアカウントを削除できます。しかし個人アカウントで契約していたシャドーITは、退職者本人しか削除できません。退職後も元社員がデータにアクセスできる状態が続くのは、深刻なリスクです。

特に退職者が競合他社に転職した場合、アクセスできる状態のまま放置されたシャドーITのデータが営業上の競争上の問題に発展するリスクがあります。

参考URL: https://service.shiftinc.jp/column/10443/

シャドーITの発生原因を構造的に理解する

シャドーITの対策を設計するには、「なぜ発生するのか」という根本原因を把握することが不可欠です。表面的な禁止令や監視強化だけでは、発生を根本的に抑えることはできません。

申請プロセスが重い・遅い

ITツールの利用申請から承認まで1週間以上かかるケースは珍しくありません。2週間後に承認される公式ツールより今日から使える無料SaaSを選ぶという判断は、スピードを求めるビジネス環境では理解できる選択です。リスクの低い一般的なSaaSについては事前承認リストを設けて即日利用可能にする仕組みが、シャドーIT抑制に直接効きます。

承認済みツールが現場ニーズに合っていない

全社導入しているツールがすべての部署のすべてのニーズを満たすことは現実的ではありません。こうした状況では、現場が必要なツールをシャドーITとして使い始めます。部門ごとのツールニーズを定期的にヒアリングし、正規の申請ルートで対応できる体制を整えることが根本的な解決策になります。

ルールが周知されていない

「シャドーITが禁止されているとは知らなかった」というケースはポリシーの周知不足に起因します。禁止事項と許容範囲を具体的に明示したITポリシーを策定し、入社時研修・定期的なセキュリティ教育で繰り返し伝えることが必要です。「なぜ禁止なのか」と「使いたい場合はどうすれば良いか」をセットで伝えることが、現場の理解と協力を得るうえで重要です。

情シスへの相談ハードルが高い

「情シスに申請するのが面倒」「断られそう」「承認まで時間がかかる」——こうした心理的ハードルが、従業員をシャドーIT利用に向かわせます。情シスが「なんでも禁止する部門」という印象を持たれていると、相談なしに勝手に使い始めることへの心理的障壁が下がります。

申請フローのシンプル化と、承認可否の判断基準の透明化が、この課題への対処になります。「申請から5営業日以内に回答する」というSLAを設けて公表するだけで、現場の見え方が大きく変わることがあります。

参考URL: https://biz.tunag.jp/article/24387

シャドーITの検出方法――どうやって見つけるか

シャドーITは「見えない」ことが本質的な問題です。検出するには複数のアプローチを組み合わせることが現実的で、詳細な手順はシャドーIT 検出 方法で解説しています。ここでは主な手法を紹介します。

ネットワークログ・プロキシログの分析

社内ネットワークを経由した通信ログを分析することで、どのクラウドサービスにアクセスが行われているかを把握できます。CASBソリューション（Cloud Access Security Broker）を導入すると、数千種類以上のクラウドサービスを自動でカテゴリ分類し、リスクスコアと合わせて可視化できます。

ただし、リモートワーク中のVPN未接続の通信は捕捉できないという制限があります。オフィス勤務時の通信しか把握できないため、ハイブリッドワーク環境では捕捉率が下がります。

経費精算データの照合

情シス未承認のSaaSを個人クレジットカードで契約して経費申請するケースでは、精算データにサービス名が記録されています。「サブスクリプション」「月額」などのキーワードで経費データを絞り込むだけで、把握していないサービスが複数見つかることがあります。財務・経理部門との連携が有効な手段になります。

この方法の限界は、個人的に費用を負担して無料サービスを使っているケースは捕捉できない点です。無料の生成AIサービスや、無料トライアル中のSaaSは経費精算データに現れません。

ブラウザ拡張機能によるSaaS利用把握

Josysのブラウザ拡張機能は、従業員が業務端末のブラウザでアクセスしたSaaSを自動で記録します。VPN未使用の在宅勤務中でも機能するため、リモートワーク時代のシャドーIT検出に適しています。プライバシーの観点から、メール内容や個人的なブラウジングは収集対象外です。

ブラウザ拡張機能によるアプローチは、ネットワーク監視の盲点を補う形で機能します。社内ネットワーク外からのアクセスも捕捉できるため、完全なリモートワーク体制の企業でも実効性があります。

従業員への定期アンケート

技術的な検出手段と並行して、従業員が使っているツールを定期的にアンケートで収集する方法も有効です。匿名形式にすることで、「申告すると怒られそう」という心理的ハードルを下げられます。

アンケートの目的を「把握して禁止するため」ではなく「必要なら正式に承認できる体制を整えるため」として伝えることが、正直な回答を引き出すうえで大切です。

参考URL: https://admina.moneyforward.com/jp/blog/shadow-it-detection

シャドーIT対策の5ステップ

シャドーITへの対応は、単発の施策ではなく継続的なプロセスとして設計することが重要です。詳細はシャドーIT 対策で解説していますが、大きな流れを5ステップで整理します。

Step1 現状の可視化

対策の起点は「今、何が使われているか」を把握することです。ネットワークログ分析・経費精算データの照合・部門ヒアリング・ブラウザ拡張機能によるSaaS検出を組み合わせて棚卸しを行います。初回の可視化では、情シスが想定していた数の2〜3倍のSaaSが見つかることも珍しくありません。

Step2 リスク評価とサンクション化判断

検出したシャドーITをすべて即座に禁止することは現実的ではありません。「セキュリティリスク」と「業務上の必要性」の2軸で評価を行い、対応を分類します。リスクが低く業務効率化に貢献するサービスは情シス公認ツールとしてサンクション化する判断も重要です。

リスクの高いツールから優先的に対応することで、限られた情シスのリソースを効果的に使えます。「すべてのシャドーITをゼロにする」という完璧主義より、「リスクの高いものから順番に管理下に置く」という現実的な優先順位の設計が成功の鍵です。

Step3 ITポリシーの整備と周知

リスク評価の結果をもとに、何が許可で何が禁止かを具体的に定めたITポリシーを策定します。「シャドーITは禁止」という抽象的な記述ではなく、「個人アカウントのDropboxへの業務データ保存は禁止。ファイル共有には会社のBox（全社承認済み）を使うこと」といった具体的な記述が必要です。

Step4 承認済み代替ツールの提供

シャドーITの最大の抑止力は「公式ツールの方が使いやすい」という状態をつくることです。現場がなぜシャドーITを使っているかを理解し、そのニーズを満たす承認済みツールを提供します。

現場の声を収集せずに代替ツールを決めると、「提供されたツールも使いにくい」という状況が生まれ、シャドーITが再発します。ニーズヒアリングを丁寧に行い、現場が実際に必要としているツールを選定することが重要です。

Step5 継続的なモニタリング体制の構築

新しいSaaSは毎月登場し、従業員の利用パターンも変化します。定期的なログ分析・四半期ごとのSaaS棚卸し・新入社員へのポリシー研修を継続的に実施することで、シャドーITへの対応体制を維持します。

参考URL: https://www.lac.co.jp/lacwatch/service/20230914_003500.html

JosysによるシャドーIT管理の自動化

シャドーIT対策を継続的に運用するには、手動の確認作業だけでは限界があります。Josysは、検出から管理まで情シスの運用負荷を最小化する仕組みを提供しています。

ブラウザ拡張機能でのSaaS利用把握

Josysのブラウザ拡張機能は、業務端末にインストールするだけで業務で利用しているSaaSを自動記録します。在宅勤務中のVPN未接続環境でも機能するため、リモートワーク時代のシャドーIT検出に適しています。収集するのはSaaSのドメインと利用タイミングのみで、メール内容や個人的なブラウジングは収集対象外です。

未承認アプリの検出とアラート

Josysは承認済みSaaSのリストと実際の利用状況を照合し、未承認のSaaSが使われた場合にアラートを発報します。手動でログを確認しなくても、新たなシャドーITが発生した時点で把握できる体制をつくれます。

アラートが発報されると、情シスは対象サービスの利用者・利用頻度・アクセス元部署を確認したうえで、「承認する」「使用停止を依頼する」「ヒアリングして状況確認する」という3択から対応を判断できます。

SaaS可視化から退職者アカウント管理まで

シャドーITの検出・可視化にとどまらず、承認済みSaaSのアカウント管理・権限設定・退職者オフボーディングまでをカバーします。退職者が発生した際には、情シスが把握しているすべてのSaaSアカウントを一括で操作できます。

SaaS管理の観点から言えば、シャドーITへの対応と承認済みSaaSの適切な管理は表裏一体です。ジョーシスを使うことで、可視化・管理・オフボーディングを一元的に運用できる体制が整います。

参考URL: https://josys.com/jp/blog/2024-06-27-manage-shadow-it-with-the-josys-browser-extension

シャドーIT対策でよくある質問

シャドーITの対策を進める情シス担当者からよく出る質問をまとめます。

Q. 小規模な組織でもシャドーIT問題は発生しますか？

従業員数に関わらず、SaaSを使う組織であれば必ず発生します。規模が小さいほど管理リソースが限られるため、ツールを活用した効率的な管理が特に重要です。

Q. 全社のITポリシーを変えずにシャドーIT対策はできますか？

技術的な検出・可視化はポリシー変更なしでも進められます。ただし、検出結果への対応を実行するにはポリシーの整備が必要です。可視化から始め、実態を把握した上でポリシーを整備するアプローチが現実的です。

Q. 従業員から「監視されている」と反発が出た場合はどうすれば良いですか？

目的・収集するデータの範囲・収集しないデータを明確に従業員へ説明することが重要です。「個人の行動を監視するためではなく、組織のセキュリティリスクを管理するためのツールである」という目的を丁寧に伝えることで、多くの場合は理解を得ることができます。

Q. シャドーITを全廃することは可能ですか？

完全な廃絶は現実的には難しいです。目指すべきは「リスクの高いシャドーITを排除し、必要なツールを正規化する仕組みを整える」ことです。現場ニーズに応える公式ツールを整備し、申請プロセスをスリム化することで、シャドーITは自然に減少します。

参考URL: https://www.fortinet.com/resources/cyberglossary/shadow-it

まとめ

シャドーITとは、情シスが把握・承認していないITツール・クラウドサービス・デバイスを従業員が業務利用している状態です。クラウドストレージ・コミュニケーションツール・生成AI・個人デバイスにわたる幅広い問題で、放置すると情報漏洩・コンプライアンス違反・コスト増加・退職者アカウント残存という4つのリスクが積み上がります。

対策の起点は可視化です。ネットワークログ・経費データ・ブラウザ拡張機能を組み合わせて現状を把握し、リスク評価・ポリシー整備・代替ツール提供・継続監視という流れで対応を進めることが、持続可能なシャドーIT管理体制につながります。

Josys 資料ダウンロードシャドーITの検出からSaaS管理の自動化まで、Josysの機能詳細と導入事例を資料でご確認いただけます。Josys 製品資料をダウンロードする