プライバシー設定

このサイトでは、第三者のウェブサイト追跡技術を使用して、当社のサービスを提供および継続的に改善し、ユーザーの興味に応じた広告を表示します。同意します。また、将来的に有効となる限り、いつでも同意を取り消したり、変更したりすることができます。

すべての記事

シャドーIT検出の方法と手順｜情シスが使える5つのアプローチとツール解説

ジョーシス編集部

SaaS運用に課題を感じている方へ

現在の状況をヒアリングし、最適な改善方法をご提案します。

June 27, 2024

この記事は読むことができます 5 分

この記事は 1 分で読むことができます

ジョーシス編集部

この記事は 1 分で読むことができます

コピー

「シャドーITが問題だということは分かっている。でも、何をどうやって見つければいいのか分からない」。シャドーIT対策の第一歩を踏み出せずにいる情シス担当者から、こうした声をよく聞きます。対策の手順を解説するコンテンツは多いですが、「検出」の具体的な手法について掘り下げた情報は意外に少ないのが現状です。

シャドーITは定義からして「情シスが把握していない」状態であるため、存在に気づくこと自体が難しい構造的な問題があります。ChatGPTに社内文書を貼り付けている社員も、個人のDropboxに顧客資料を保存している社員も、「問題のある行為をしている」という自覚がないケースがほとんどです。情シスが積極的に検出活動を行わない限り、問題は発覚しないまま積み上がります。

本記事では、シャドーITを実際に検出するための5つの手法を、それぞれの仕組み・有効な場面・限界とともに解説します。検出後にどのような対応フローを組めばよいかについても整理します。シャドーITのリスクや対策全体については、シャドーITとは・シャドーIT 対策を参照してください。

シャドーITを検出することの難しさ

検出の手法を説明する前に、なぜシャドーITの検出が難しいのかという構造的な問題を整理します。この理解が、複数の検出手法を組み合わせる理由につながります。

なぜシャドーITは「見えない」のか

シャドーITが「見えない」のは、検出のための情報が情シスの管理外に分散しているからです。情シスが把握できる情報は、社内ネットワークを通じた通信ログ・情シスが管理するSaaS台帳・会社支給デバイスの利用記録の3つに限られます。

これらの管理対象の外で起きていることは、原則として情シスには見えません。自宅のWi-Fiから個人アカウントのDropboxにアクセスするケース、経費精算を通さずに個人の費用でSaaSを契約するケース、私物スマートフォンで業務メールを処理するケース——いずれも、情シスの通常の監視範囲の外にある行為です。

特に2020年以降のテレワーク普及によって、情シスの監視範囲の外にある行為が急増しました。オフィス勤務が中心だった時代は、社内ネットワークを経由した通信監視が自然な抑止力として機能していました。テレワーク環境では、自宅のWi-Fiから直接SaaSにアクセスするケースが増え、ネットワーク監視の有効性が低下しています。

検出できないまま放置されるリスク

シャドーITが発覚するタイミングは、多くの場合「インシデントが起きて初めて」です。情報漏洩事故・セキュリティ監査での指摘・退職者が個人アカウントにデータを持ち出した事実が判明した際に、初めてシャドーITの存在に気づくというケースが典型的です。

発覚するタイミングが遅れるほど、リスクが積み上がる期間が長くなります。発覚後の対応にも多くのリソースが必要です。インシデント後の対応では、影響範囲の特定・当事者へのヒアリング・外部への報告・再発防止策の策定と実施が必要になり、情シスの工数を数週間以上消費することもあります。予防的な検出活動を継続的に行うことが、結果的に情シスの工数を減らします。

検出活動を始めるために必要な前提認識

検出活動を始める前に、チームで共有しておくべき認識があります。シャドーITを使っている従業員は「悪意のある社員」ではなく、「業務のために必要なツールを自分で探した社員」がほとんどです。検出の目的は「発見して罰する」ではなく「実態を把握して適切に管理する」ことにあります。

この認識を情シス内で共有することで、検出後の対応方針が「禁止・摘発」ではなく「評価・対話・改善」という方向性になります。従業員が「申告したら叱られる」と感じると、次回からより巧みに隠蔽するようになります。

参考URL: https://techtarget.itmedia.co.jp/tt/news/2406/06/news04.html

シャドーIT検出の5つのアプローチ

シャドーITを検出するための主要な手法は5つあります。それぞれに特性と限界があるため、組み合わせて使うことが現実的な検出精度の向上につながります。1つの手法だけでは必ず見えない領域があるため、自社の環境に合わせた組み合わせを選ぶことが重要です。

アプローチ1 ネットワーク・プロキシログの分析

社内ネットワークを経由した通信ログを分析し、どのクラウドサービスにアクセスが行われているかを把握します。ファイアウォールやプロキシサーバーのログには、アクセス先のドメイン・接続時刻・転送データ量・利用端末といった情報が記録されています。

追加コストなしに始められる手法として最初に試みられることが多く、オフィス勤務が中心でVPN経由のリモートアクセスが標準化されている組織に特に有効です。一方で、自宅からVPNなしで直接SaaSにアクセスしているケースやモバイル回線経由での接続は捕捉できません。

アプローチ2 経費精算データの照合

個人クレジットカードで契約したSaaSを経費申請するケースでは、精算データにサービス名が記録されています。財務・経理部門と連携して「サブスクリプション」「月額」「SaaS」などのキーワードで経費データを絞り込む方法です。個人費用で処理されていて経費申請されていないケースは発見できない点が限界です。

この手法は、ネットワークログでは見えないVPN未使用・個人デバイスからのアクセスを間接的に発見できる点で補完的な価値があります。月額1,000〜5,000円程度のサブスクリプションは経費申請される割合が高く、この範囲のシャドーITを発見する有効な手段になります。

アプローチ3 従業員アンケート・自己申告

業務で使っているツールを社員に自己申告してもらうアンケートです。匿名性を担保することで正直な回答を得やすくなります。まず全体像を把握したい初期段階に有効ですが、「申告していないシャドーIT」が残る可能性は否定できません。

アンケートの回収率は通常70〜80%程度を目標にします。回収率が低い場合は、部門長を通じてリマインドするか、回答しやすい時間帯（社内全体会議の後など）に再告知することで改善できます。

アプローチ4 CASBによるクラウドアクセス監視

CASB（Cloud Access Security Broker）は、クラウドサービスへのアクセスを仲介・監視するセキュリティソリューションです。1万種類以上のクラウドサービスをカテゴリ別に自動分類し、リスクスコアを付与した上でアクセス状況を可視化できます。セキュリティ予算が確保されておりリスクスコアリングや自動ブロック機能まで必要な組織に適していますが、導入・設定コストが相応に必要です。

Microsoft 365環境では、Microsoft Defender for Cloud AppsのCloud Discovery機能が既存ライセンスの範囲で利用できる場合があります。まずライセンスの利用可能状況を確認してから、別途CASB製品の導入要否を判断することを推奨します。

アプローチ5 ブラウザ拡張機能によるSaaS検出

業務端末のブラウザにインストールする拡張機能を使い、従業員がアクセスしたSaaSを自動記録する方法です。VPN接続の有無に関わらず機能するため、テレワーク環境でのシャドーIT検出に特化したアプローチとして位置づけられます。業務端末にインストールが必要なため、私物デバイスでの利用は対象外になります。

参考URL: https://learn.microsoft.com/ja-jp/defender-cloud-apps/tutorial-shadow-it

ネットワーク・プロキシログ分析の実践手順

ネットワークログ分析は、追加ツールなしで始められる検出手法として最初に試みられることが多い方法です。技術的な知識があれば情シスが単独で開始できます。

ログから読み取れる情報

プロキシサーバーやファイアウォールのログには通常、アクセス先のFQDN（完全修飾ドメイン名）またはIPアドレス、アクセス日時、転送データ量（上り・下り）、接続元デバイスのIPアドレス、使用されたプロトコルといった情報が含まれています。

なお、HTTPSの通信内容はTLS暗号化されているため、ドメイン名のみで内容の把握は通常できません。「どのサービスに」「どの程度のデータを」アクセスしたかは把握できますが、「何のファイルを」アップロードしたかまでは分かりません。この限界を理解した上で、ネットワークログを「入口の把握」として位置づけ、詳細の把握には別のアプローチを組み合わせることが現実的です。

未承認サービスの特定方法

ログの中から未承認のシャドーITを特定するには、情シスが管理する承認済みSaaSのドメインリストを用意し、ログに記録されたアクセス先と突き合わせる方法が基本です。承認済みリストに含まれないドメインへのアクセスが、シャドーIT候補になります。

CASBを使わない場合でも、代表的なクラウドサービスのドメイン（dropbox.com・drive.google.com・notion.soなど）への通信量を確認するだけで主要なシャドーITの存在を把握できます。転送データ量が多いドメインから優先的に確認することで、リスクの高い候補を効率的に絞り込めます。

実際の分析では、まずアクセス頻度上位100ドメインを抽出し、承認済みリストと照合します。次に転送データ量の上位を確認し、大量のデータが未承認サービスに送られていないかを確認します。特に上りトラフィック（組織から外部への送信）が多いドメインは、ファイルのアップロードが発生している可能性があるため、優先的に調査します。

分析を効率化するツールとコマンド例

ネットワークログの分析には、専用ツールがなくても表計算ソフトで対応できます。CSVで出力したログを対象に、VLOOKUP関数などで承認済みドメインリストと照合する方法が手軽です。

より効率的な方法として、Webフィルタリングシステムのレポート機能（多くの製品でカテゴリ別・部署別の集計が可能）、SIEMシステムのダッシュボード機能（ドメイン別アクセス集計）、Splunk・Kibana等のログ分析ツールを活用できます。自社の環境で利用可能なツールを確認し、最も工数が少ない方法を選ぶことを推奨します。

テレワーク環境における限界と補完手段

ネットワークログ分析の最大の限界は、VPNを使わないテレワーク中のアクセスを捕捉できない点です。テレワーク比率が高い組織では、ネットワークログだけでは組織全体のシャドーIT実態を把握できません。

補完手段として、ブラウザ拡張機能（VPN有無を問わずブラウザアクセスを記録）、VPN接続の全社必須化、MDM（スマートフォン・タブレットのアプリインストール状況把握）を組み合わせることを検討します。組織のテレワーク比率が50%を超える場合は、ブラウザ拡張機能との組み合わせが特に有効です。

参考URL: https://www.iwi.co.jp/blog/security/threat_intelligence/20250227-shadowit/

経費精算データを使ったシャドーIT発見法

ネットワークログ分析と組み合わせると効果が高い、あまり知られていない検出手法が経費精算データの照合です。情シスが経理部門と連携することで、ネットワーク監視では見えない領域をカバーできます。

経費データに潜むシャドーITのパターン

情シス担当者が経費精算データを見ることは通常ありませんが、財務・経理部門の協力を得ることで、個人クレジットカードで契約したSaaSの月額費用を発見できます。「サブスクリプション料金」「月額ソフトウェア利用料」「クラウドサービス費用」といった費目に記録されているケースが多く、これらの費目で絞り込んで情シスが把握していないサービス名が含まれていないかを確認します。

また、クレジットカード明細を会社に提出するタイプの経費精算では「ChatGPT Plus」「Notion Plus」「Adobe Creative Cloud」「Canva Pro」といった具体的なサービス名が記録されているケースがあります。これらの金額は月1,000〜2,000円程度が多く、1件単独では気づきにくいですが、一覧で確認することでパターンを把握できます。

財務・経理部門との連携ポイント

まず、IT費目に関連する経費データの定期共有という仕組みを財務・経理部門と取り決めます。毎月または四半期ごとに、サブスクリプション費目に含まれるサービス名のリストを共有してもらうルールを作ります。データ共有にはプライバシーの配慮が必要なため、個人名は除いた「サービス名・費用・部門」の情報を共有する形式が適切です。

受け取ったデータを情シスが管理する承認済みSaaSリストと照合し、リストに含まれないサービスを洗い出します。洗い出したサービスについては利用している部署・担当者に直接確認を取り、シャドーITかどうかを判断します。この手法は、ネットワークログでは捕捉できない在宅勤務中のVPN未接続アクセスやモバイル回線経由のアクセスを間接的に把握できる点で有効です。

経費データ分析の実施タイミング

経費データの照合は、四半期ごとのSaaS棚卸しと合わせて実施するのが最も効率的です。経理部門への依頼は棚卸しの1〜2週間前に行い、データを受け取ってから照合作業を実施するスケジュールを組みます。定例化することで、経理部門側も対応が標準化され、データ提供の工数が減っていきます。

参考URL: https://admina.moneyforward.com/jp/blog/shadow-it-detection

CASBによるシャドーIT検出の仕組み

CASBは、シャドーIT検出に特化した機能を持つセキュリティソリューションです。ネットワークログ分析より高度で詳細な可視化が可能ですが、導入・運用コストも相応に必要です。

CASBが提供するクラウドサービス可視化機能

CASBのCloud Discovery機能は、ネットワークログをインポートまたはリアルタイムで受信し、記録されたドメインへのアクセスを自動的に既知のクラウドサービスにマッピングします。代表的なCASBソリューションでは1万種類以上のクラウドサービスのデータベースを持ち、アクセスがあったサービスを自動で識別できます。

識別されたサービスには、カテゴリ・利用ユーザー数・データ転送量・最終アクセス日時・リスクスコアが付与されます。情シスはこのダッシュボードから、組織全体のクラウドサービス利用状況を一元的に把握できます。手動での照合作業が大幅に削減されるため、大規模組織での運用に特に有効です。

リスクスコアリングと優先対応の決め方

CASBが付与するリスクスコアは、各サービスのベンダーセキュリティ認証の有無・データ保存地域・暗号化水準・利用規約のデータ取り扱いに関する記述などに基づいて算出されます。リスクスコアの高いサービスから優先的に対応することで、限られたリソースを効果的に使えます。

リスクスコアを活用した優先対応の進め方として、まず高リスク（スコア上位10〜20%）のサービスを特定し、利用部門にヒアリングを実施します。機密データの取り扱いを確認した上で、禁止・条件付き許可・公認化のいずれかを決定します。中リスクのサービスは計画的に順次対応し、低リスクのサービスは台帳に記録した上で棚卸しの対象とします。

Microsoft 365環境の場合、Microsoft Defender for Cloud AppsのCloud Discovery機能が既存ライセンスの範囲で利用できる場合があります。まず現在のMicrosoft 365ライセンスでどの機能が使えるかを確認することを推奨します。

参考URL: https://learn.microsoft.com/ja-jp/defender-cloud-apps/tutorial-shadow-it

Josysブラウザ拡張機能によるSaaS検出

CASBとは異なるアプローチで同様の可視化を実現するのが、Josysのブラウザ拡張機能です。テレワーク環境でのシャドーIT検出に特化した設計になっています。

拡張機能が収集するデータの仕組み

業務端末にインストールされた拡張機能は、従業員がブラウザで業務に関連するSaaSにアクセスすると、そのドメイン・アクセスタイムスタンプ・利用頻度といった情報をJosysのサーバーに送信します。収集されたデータはダッシュボードに集約され、情シスは各SaaSへのアクセス数・利用ユーザー・利用日時・承認済みかどうかのステータスを一元的に確認できます。

ダッシュボードでは、承認済みSaaSと未承認SaaSが色分けで表示されるため、シャドーITを一目で確認できます。新しい未承認SaaSが検出された際にアラートを受け取る設定も可能で、四半期棚卸しを待たずにリアルタイムで把握できます。

リモートワーク環境でも機能する理由

ブラウザ拡張機能はブラウザを通じたアクセスを直接記録するため、VPN接続の有無に依存しません。在宅勤務中に自宅のWi-Fiから直接アクセスしているケース、移動中にモバイル回線経由でアクセスしているケースでも、業務端末のブラウザを使っている限り記録されます。テレワーク比率が高い組織では、ネットワークログと組み合わせることで検出精度が大幅に向上します。

ネットワークログとブラウザ拡張機能の検出範囲を比較すると、ネットワークログは「オフィスネットワーク経由のアクセス」を、ブラウザ拡張機能は「業務端末ブラウザからのアクセス」を網羅します。2つを組み合わせることで、オフィス勤務・テレワーク問わず業務端末での利用全体をカバーできます。

プライバシー保護の設計

収集するのはSaaSのドメインと利用タイムスタンプのみです。URLのパスやクエリパラメータ（ページの詳細内容を示す部分）は収集せず、メールの内容・個人的なWebサイトへのブラウジング・認証情報は収集対象外です。従業員への説明時には「何を収集するか」だけでなく「何を収集しないか」を明示することが、理解と協力を得るうえで重要です。

ブラウザ拡張機能の導入前に、従業員向けの説明会を実施することを推奨します。「監視ツール」という先入観が広まると、拡張機能の導入そのものへの抵抗が高まります。「業務で使っているSaaSを把握して適切に管理するためのツール」という目的と、「収集しないデータ」を明示することで、従業員の理解を得やすくなります。

参考URL: https://josys.com/jp/blog/2024-06-27-manage-shadow-it-with-the-josys-browser-extension

5つのアプローチの比較と選び方

5つの検出アプローチを自社の環境に合わせて選択するための比較表を示します。

アプローチ	追加コスト	テレワーク対応	初期工数	継続工数	特に有効な組織
ネットワーク・プロキシログ	なし	低	中	中	オフィス中心・VPN必須
経費精算データ照合	なし	中	低	低	全社従業員
アンケート調査	なし	高	中	低	初回調査・小規模組織
CASB	高	中	高	低	大規模・セキュリティ重視
ブラウザ拡張機能	中〜高	高	中	低	テレワーク中心

コストをかけずに始める場合は、まず「経費精算データの照合」と「従業員アンケート」の2つから始めることを推奨します。この2つは追加コストなしで実施でき、多くの組織で主要なシャドーITを把握するのに十分な情報が得られます。

テレワーク比率が50%を超える組織では、ネットワークログ分析の限界が大きいため、ブラウザ拡張機能を早期に導入することが費用対効果の高い投資になります。

検出後の対応フロー――発見から対策まで

シャドーITを検出した後、どのような順序で対応を進めるかを整理します。検出は対策の第一歩であり、その後の対応フローをあらかじめ設計しておくことが、現場への影響を最小化しながら問題を解決する鍵になります。

検出結果の分類と優先度付け

検出されたシャドーITを一覧化した後、「機密データ・個人情報を扱っているか」という観点で緊急度を判断します。顧客情報・社員情報・機密情報が未承認のサービスに保存・送信されている可能性がある場合は、優先的に対応が必要です。

次に「業務上の必要性」と「代替手段の有無」を確認します。業務に不可欠で代替手段がないケースは条件付き許可を検討しながら中長期的な代替手段を準備し、必要性が低く代替手段がある場合は速やかに禁止と移行を進めます。

優先度の分類は、情シスだけで判断するのではなく、当該部門の担当者とヒアリングの上で決定することを推奨します。現場の業務実態を知らずに「リスクが高いから禁止」と判断すると、業務への影響が想定外に大きくなることがあります。

即時対応が必要なシャドーITの見極め方

以下に該当するシャドーITは、優先的に対応が必要です。

顧客個人情報・機密情報が保存されている可能性がある（特に個人アカウントのクラウドストレージ）
利用規約にデータの学習・第三者提供への同意が含まれているAIサービス（ChatGPT無料版等）
セキュリティ認証（SOC 2等）が確認できないサービス
退職者の個人アカウントに紐づいている可能性があるサービス
利用ユーザーが全社規模で広がっており、禁止の影響が大きいサービス

一方、機密データを扱わない生産性ツールや利用ユーザーが1〜2名に限定されるサービスは、比較的低リスクとして後回しにできます。

詳細なリスク評価の方法についてはシャドーIT 対策・シャドーIT リスクを参照してください。

利用部門へのヒアリングの進め方

シャドーITを発見した後、利用している部門の担当者にヒアリングを行います。ヒアリングの目的は「なぜそのツールを使っているか」「どんなデータを扱っているか」「代替手段があれば移行できるか」の3点を把握することです。

ヒアリングの際は、責める・問い詰めるトーンではなく、「業務上の課題を理解して解決策を一緒に考える」という姿勢で臨むことが重要です。対話的なヒアリングによって、情シスが把握していなかった現場の課題が浮かび上がることもあり、承認プロセスやツール選定の改善につながるインプットを得られます。

参考URL: https://assured.jp/column/knowledge-shadowit

シャドーIT検出を継続的に運用する仕組み

シャドーITの検出は、一度実施して終わりではありません。新しいSaaSは毎月登場し、組織内の利用パターンも変化します。継続的な検出体制を整備することが、シャドーITリスクの継続的な管理につながります。

検出活動のスケジュール設計

継続的な検出体制の基本要素として、以下のスケジュールを推奨します。

頻度	実施内容	工数目安
月次	ネットワークログの異常確認・新規ドメインチェック	1〜2時間
四半期	経費データ照合・SaaS棚卸し差分確認	半日〜1日
年次	全社アンケート・台帳全件確認・ポリシー見直し	1〜2週間
イベント発生時	退職者アカウント確認・M&A時の統合棚卸し	都度