プライバシー設定

このサイトでは、第三者のウェブサイト追跡技術を使用して、当社のサービスを提供および継続的に改善し、ユーザーの興味に応じた広告を表示します。同意します。また、将来的に有効となる限り、いつでも同意を取り消したり、変更したりすることができます。

すべての記事

シャドーITのリスク6選｜情報漏洩・コンプライアンス違反から退職者問題まで解説

ジョーシス編集部

SaaS運用に課題を感じている方へ

現在の状況をヒアリングし、最適な改善方法をご提案します。

September 16, 2024

この記事は読むことができます 5 分

この記事は 1 分で読むことができます

ジョーシス編集部

この記事は 1 分で読むことができます

コピー

従業員の約80%がIT部門の承認なしにSaaSを業務で使っており、約70%の企業がシャドーITに起因するセキュリティ被害を経験しています。問題は「使っているかどうか」ではなく「リスクがどこにあり、どれくらい深刻か」を把握できているかどうかです。

シャドーITのリスクが厄介なのは、問題が顕在化するまで気づきにくいという点にあります。個人のDropboxに顧客データが保存されている事実は、退職者が情報を持ち出すまで発覚しないことがあります。未承認SaaSへの不正アクセスは、インシデントが起きてから初めてその存在に気づくことも多いです。

本記事では、シャドーITが企業に与えるリスクを6つに整理します。リスクの性質・なぜ問題なのか・具体的にどのような被害が起きるのかを、情シス担当者が対策の優先度を判断するための視点とともに解説します。シャドーITの定義についてはシャドーITとはを、対策の具体的な手順についてはシャドーIT 対策をご参照ください。

シャドーITのリスクが見えにくい理由

リスクの具体的な内容に入る前に、シャドーITのリスクが把握しにくい構造的な理由を整理します。この構造を理解することで、後述する6つのリスクがなぜ対処を遅らせると深刻になるのかが明確になります。

「管理外」であることが問題を複雑にする

シャドーITが問題なのは、単に「未承認のツールを使っている」という事実ではありません。情シスの管理が及ばないために、リスク評価そのものができない状態が生まれることが本質的な問題です。

情シスが管理するSaaSであれば、ベンダーのセキュリティ水準・データの保存場所・アクセス権限の設定・退職者対応の手順を把握した上でリスクコントロールができます。シャドーITはこの「コントロールできる状態」の外にあるため、リスクが蓄積しても把握できないまま進行します。たとえば管理されているSaaSでは「このユーザーは退職したのでアカウントを削除する」という手順を踏めますが、シャドーITではその手順を踏む前提となる「存在の把握」ができていません。

リスクが発覚するタイミングの多くはインシデント後

IPA「情報セキュリティ10大脅威 2025」によれば、内部不正による情報漏洩は第4位にランクインしています。シャドーITが発覚する典型的なパターンは、退職者が個人アカウントにデータを持ち出した・セキュリティ監査で未把握のSaaSが指摘された・情報漏洩インシデントの原因調査で発覚したという順です。

発覚後の対応コストは、予防的な管理コストの数倍になるケースがほとんどです。インシデント対応には、原因調査・影響範囲の特定・被害の封じ込め・報告書の作成・再発防止策の実施が必要で、場合によっては外部のセキュリティ専門家の支援も必要になります。事前の管理に投じるコストは、インシデント後対応のコストに比べて圧倒的に小さいです。

シャドーITのリスクを正確に把握するための3つの視点

リスクの重大性を正確に判断するために、以下の3つの視点でシャドーITを評価します。

機密度の視点: そのSaaSにどのようなデータが入力・保存されているか。公開情報のみを扱うツールは低リスク、顧客情報・個人情報・財務情報・ソースコードを扱うツールは高リスクと判断します。

影響範囲の視点: 問題が発生した場合に影響を受ける人数と範囲。1〜2人しか使っていないツールより、部門全体・全社規模で使われているツールの方が、インシデント時の影響が大きくなります。

管理体制の視点: ベンダーのセキュリティ認証（SOC 2・ISO 27001等）の取得状況、データの保存場所・暗号化水準、アクセス制御の設定可否。これらが確認できない・設定できないサービスはリスクが高いと判断します。

参考URL: https://ismcloudone.com/column/information-leakage/898/

リスク1｜情報漏洩・データ流出

シャドーITリスクの中で最も深刻で、対応が困難なのが情報漏洩・データ流出です。一度流出した情報は回収できないため、発生後の対応コストは極めて高くなります。

個人アカウントのクラウドサービスからの流出経路

個人アカウントのDropbox・Google Drive・OneDriveに業務データが保存されているケースでは、複数の経路で情報漏洩が起きます。

まず、個人アカウントのパスワードが他のサービスと使い回されている場合、そのパスワードが漏洩した時点で業務データが入ったクラウドストレージへの不正アクセスが起きる可能性があります。次に、個人アカウントには会社のセキュリティポリシーによるアクセス制御が適用されないため、共有設定の誤りや「誰でも閲覧可能」なリンクの発行が発生しやすいです。また、端末を紛失した際に、個人アカウントのクラウドと同期していたデータが外部に流出するリスクもあります。

さらに、退職者が個人アカウントのクラウドストレージを業務に使っていた場合、退職後も元社員がそのデータにアクセスできる状態が続きます。これは「意図的な情報持ち出し」ではなく「気づかずにアクセスできる状態が継続する」という問題も含みます。

生成AIへの入力による意図せぬデータ送信

2023年以降、最も急増しているシャドーIT起因の情報漏洩リスクが、生成AIサービスへの業務情報の入力です。ChatGPT・Claude・Geminiなどの無料プランでは、入力したデータがAIモデルの学習に使われる設定になっているケースがあります。

従業員が「文書要約の補助ツール」として個人アカウントのChatGPTを使い、会議の議事録や顧客への提案書をそのまま貼り付けるケースが報告されています。利用者本人に「データを外部に送信している」という意識が薄いまま、機密情報がAI事業者のサーバーに送信されます。生成AIに関するシャドーAIリスクの詳細については[内部リンク: シャドーAI リスク]で解説しています。

2023年3月、Samsung電子では従業員が社内の機密コードをChatGPTに貼り付けたことが問題となりました。この事例が国内でも広く報道されたことで、生成AIへの業務情報入力のリスクが注目されました。日本国内でも同様のリスクは存在しており、生成AIを業務で活用する従業員が増えるにつれて、このリスクは拡大しています。

国内外のシャドーIT起因の情報漏洩事例

具体的な被害パターンとして、以下のようなケースが国内外で報告されています。

国内では、退職した元社員が個人のGoogleドライブに保存していた顧客データをそのまま持ち出したケースが複数報告されており、退職後もアクセスが継続していた事実が問題を複雑にしています。また、業務効率化のために使い始めたクラウドストレージに、いつの間にか大量の社内資料が蓄積されていたというケースも見られます。海外では、個人用Slackアカウントを通じて共有された業務情報が、アカウントのセキュリティ設定の不備により外部に流出した事例があります。

参考URL: https://www.trendmicro.com/ja_jp/what-is/shadow-it.html

リスク2｜不正アクセス・サイバー攻撃の起点化

シャドーITは、サイバー攻撃者にとって格好の標的・侵入経路になります。組織のセキュリティ境界の外にある弱点として、攻撃者に利用されるリスクがあります。

未管理アカウントが攻撃の入口になる仕組み

情シスが管理するSaaSであれば、シングルサインオン（SSO）の導入・多要素認証（MFA）の強制・不審なアクセスの検知といったセキュリティ対策を一元的に適用できます。しかしシャドーITの個人アカウントには、こうした組織全体のセキュリティポリシーが適用されません。

攻撃者は、セキュリティ対策が弱い個人アカウントを侵害した後、そのアカウントに保存されている業務データや、同じ認証情報で利用できる社内システムへのアクセスを試みます。シャドーITの個人アカウントが、組織の基幹システムへの侵入起点になるシナリオです。MFAが設定されていない個人アカウントは、パスワードさえ入手すれば不正アクセスが可能であり、特に脆弱です。

パスワード使い回しとクレデンシャルスタッフィング攻撃

クレデンシャルスタッフィング攻撃とは、他のサービスから流出したIDとパスワードの組み合わせを使い、別のサービスへの不正ログインを試みる攻撃手法です。多くのユーザーが複数のサービスで同じパスワードを使い回しているという実態を狙った攻撃です。

従業員が業務で使うシャドーITに、プライベートで使っているパスワードと同じものを設定している場合、プライベートのサービスからパスワードが漏洩した時点で業務関連のシャドーITアカウントも危険にさらされます。情シスが把握していないシャドーITは、こうした攻撃への対策を施すことができないため、一度侵害されても気づくのが遅れるリスクがあります。

攻撃者がシャドーITを狙う理由

組織の本番システムには通常、WAF・IDS・EDRといった多層的なセキュリティ対策が施されています。しかしシャドーITは情シスの管理外であるため、こうした対策が適用されていません。攻撃者の視点では、セキュリティ対策が手薄な「裏口」として、シャドーITは格好の標的になります。

特に、個人アカウントのクラウドサービスに業務データが保存されており、かつMFAが設定されていない場合は、攻撃の難易度が著しく下がります。フィッシングメールによるパスワード詐取の後、そのパスワードで業務データにアクセスされるという手順が、実際のインシデントでも発生しています。

参考URL: https://www.nri-secure.co.jp/glossary/shadow-it

リスク3｜コンプライアンス違反・法的リスク

シャドーITは、セキュリティリスクだけでなく、法的なコンプライアンスリスクも内包しています。法的リスクは、発覚後の対応が社会的な問題に発展する可能性があるため、情シスだけでなく経営層も関心を持つべきリスクです。

個人情報保護法・GDPRとの抵触

日本の個人情報保護法は、個人情報を取り扱う事業者に対して、安全管理措置の義務を課しています。個人情報が含まれるデータが、情シスの管理外のシャドーITに保存・送信されると、この安全管理措置の要件を満たせなくなる可能性があります。

EU域内の顧客・パートナーの個人データを取り扱う場合、GDPR（EU一般データ保護規則）の要件への適合も必要です。GDPRはデータ処理の透明性と管理を求めており、組織が把握していないサービスへのデータ転送はGDPR違反と見なされる可能性があります。GDPR違反の場合、年間売上高の4%または2,000万ユーロのいずれか高い方の制裁金が科される可能性があります。2023年にはMetaがGDPR違反で12億ユーロ（約1,800億円）の制裁金を科されており、制裁の規模は小さくありません。

NDA・取引契約違反のリスク

取引先や顧客との秘密保持契約（NDA）は、機密情報を特定の安全な環境での管理に限定することを定めているケースがあります。「個人のDropboxに顧客から受け取った機密資料を保存していた」という事実だけで、契約上の義務違反が生じる場合があります。

NDA違反は損害賠償請求の対象となり得ます。取引先からの信頼失墜という無形の損失も深刻です。特にBtoB事業において、顧客企業から「自社データの取り扱いが不適切だった」と判断された場合、契約更新の拒否や取引関係の解消につながるリスクがあります。

業界規制（金融・医療・製造等）固有のリスク

金融機関はFSA（金融庁）の監督下でシステムリスク管理が義務付けられており、未承認のSaaSを通じた情報処理はシステムリスク管理上の問題として指摘される可能性があります。医療機関はHIPAA（米国）や医療情報の安全管理に関するガイドライン（日本）への対応が求められ、患者情報を扱うシャドーITは重大な規制違反になり得ます。製造業では輸出管理規制に基づく技術情報の管理義務があります。

これらの業界では、シャドーITによるデータ管理の欠缺が業界規制違反と見なされる可能性があり、行政処分・ライセンス停止といった深刻な結果を招くリスクがあります。業界規制が厳しい業種ほど、シャドーIT対策を「コスト」ではなく「経営リスク管理の必須投資」として位置づける必要があります。

参考URL: https://www.fortinet.com/resources/cyberglossary/shadow-it

リスク4｜コスト管理リスク（IT支出の不可視化）

セキュリティリスクと比べると軽視されがちですが、コスト管理リスクも情シスが取り組むべき重要な課題です。シャドーITによるコストの無駄は、見えないまま蓄積され続ける特徴があります。

重複SaaS契約によるコスト増加

情シスが把握していないところで、複数の部署が機能の重複するSaaSを個別に契約しているケースは頻繁に発生します。A部門がNotionを、B部門がConfluenceを、C部門がCodaを、それぞれ個別に契約している状況がその典型例です。本来1つのツールに統合できるはずのコストが、情シスの把握外で分散して発生しています。

全社のSaaSコストを一元把握・最適化することで、年間のIT支出を2〜3割削減できたケースも報告されています。SaaSのコスト最適化は情シスが経営に貢献できる明確な成果として示しやすい領域であり、棚卸しの実施と同時に進めることで、コスト削減の効果を数値で報告できます。

無駄なライセンス費用の発見と削減機会の損失

無料プランで使い始めたSaaSがいつの間にか有料プランに自動移行しており、経費精算の中に埋もれているケースも見られます。また、既に使っていない（または使用頻度が極めて低い）SaaSの月額料金が、誰も気づかないまま毎月引き落とされ続けているケースも発生します。

情シスがSaaSの棚卸しを行い、利用実態と契約の整合性を確認することで、こうした無駄なコストを発見できます。シャドーITの把握は、セキュリティ対策と同時にコスト最適化の機会でもあります。

コスト管理リスクが拡大する要因

SaaSはクレジットカードがあれば個人でも簡単に契約できるため、部門の担当者が業務効率化のために自分で契約するケースが増えています。月額数千円のSaaSは1件あたりのコストが低いため、経費申請の段階でも詳細な確認を受けにくいです。しかし、こうした小口のSaaSが組織全体で積み上がると、年間数百万円規模のIT支出が情シスの把握外に存在するという状況になります。

SaaSの年間契約への自動更新も見逃しやすいポイントです。無料トライアルから有料プランに移行したことに気づかないまま、年間契約で更新されているケースがあります。更新日の3ヶ月前に情シスへ通知が届く仕組みを整えることで、更新時の要否判断を行いやすくなります。

参考URL: https://josys.com/jp/blog/2024-09-16-mitigating-shadow-it-risks-with-comprehensive-saas-management

リスク5｜退職者アカウント残存リスク

シャドーITのリスクの中で、対処が特に難しいのが退職者のアカウント残存問題です。発覚が遅れるほど、情報漏洩のリスクが蓄積します。

なぜシャドーITの退職者対応は難しいのか

情シスが把握・管理しているSaaSのアカウントは、退職者が発生した際にオフボーディング手順の中で削除・無効化できます。しかし個人アカウントで契約していたシャドーITは、そもそも情シスが存在を知らないため、オフボーディング手順から漏れます。

「情シスが知らないから対応できない」という構造的な問題が、退職者アカウント残存リスクの根本原因です。シャドーITの棚卸しと可視化が、退職者リスク対策の前提条件になります。企業によっては、退職者対応の際に「認識外のシャドーITに多数アカウントが残存していた」と後から判明するケースもあります。

退職後アクセス継続による情報持ち出し・漏洩

退職者が個人アカウントのクラウドサービスに会社の業務データを保存したまま退職したケースでは、退職後も元社員がそのデータにアクセスできる状態が続きます。

悪意を持った退職者による意図的な情報持ち出しのほか、悪意がなくても退職後に「個人のDropboxに以前の仕事のデータが残っている」という状況は、セキュリティリスクとして放置できません。また、退職者のアカウントが第三者に乗っ取られた場合、そのアカウントに残存している業務データが外部に流出するリスクもあります。

退職者アカウント問題への対処策

退職者アカウントのリスクを低減するために、まず「情シスが把握しているSaaSの退職者対応」を確実に実施することが最初の一手です。オフボーディングチェックリストにSaaSアカウントの削除を含め、担当者が漏れなく実施できる仕組みを整えます。

次に、シャドーITの棚卸しを実施することで「情シスが把握していなかったSaaS」を発見し、台帳に追加した上で退職者対応の対象に含めていきます。完全にゼロにすることは困難ですが、定期的な棚卸しと把握範囲の拡大によって、対応漏れを減らしていくことが現実的な目標です。

参考URL: https://www.skyseaclientview.net/media/article/4197/

リスク6｜IT管理・ガバナンスの形骸化

最後のリスクは、個別のセキュリティ事故ではなく、情シスの管理・ガバナンス機能そのものへの影響です。このリスクは直接的な被害が見えにくいため、放置されがちですが、組織のITガバナンス全体に影響を与えます。

情シスの可視性の低下が招くガバナンスの空洞化

シャドーITが組織内に広がると、情シスが「自社のIT環境全体を把握している」という前提が崩れます。どのデータがどこに保存されているか、誰がどのサービスにアクセスできる状態にあるか、という基本的な事実が不透明になります。

この状態では、セキュリティポリシーの実効性を確認できません。「ポリシーは整備したが、実際に守られているかどうかが分からない」という状況は、ガバナンスが機能していない状態と同義です。経営層から「セキュリティ対策は取れているか」と問われた際に、確信を持って答えられない情シスの立場は、組織内での信頼性に影響します。

セキュリティ監査・インシデント対応への影響

定期的なセキュリティ監査では、IT資産の管理状況・アクセス権限の適切な設定・データ保護措置の有効性が確認されます。シャドーITが多数存在する組織では、これらの確認作業が不可能または不完全になります。

インシデント発生時の影響範囲の特定も困難になります。「どのシステムに・どのデータが・どんな形で影響を受けたか」を特定する際に、情シスが把握していないシャドーITの存在がインシデント対応を著しく複雑にします。影響範囲の特定に時間がかかるほど、顧客・規制当局への報告が遅れ、追加的な問題が発生するリスクが高まります。

経営層への報告・説明責任への影響

シャドーITが多数存在する環境では、情シスが経営層に対して「自社のIT環境の安全性」を説明する際の根拠が弱くなります。「把握しているSaaSは適切に管理されています」という報告は、「把握していないSaaSが何種類あるか分からない」という事実があれば、説明責任として不十分です。

シャドーITを把握・管理することは、情シスが経営層に対して「IT環境全体を適切に管理している」という説明責任を果たすための前提条件でもあります。

参考URL: https://business.ntt-east.co.jp/content/cloudsolution/column-411.html

リスクの高さを評価する3つの視点

6つのリスクを理解した上で、組織内のシャドーITをどのように優先評価するかについて整理します。すべてのシャドーITに同等のリソースを割くことはできないため、優先度を正確に判断することが重要です。

機密度×使用者数×代替手段の有無で優先度を決める

シャドーITのリスク評価には、以下の3つの視点を組み合わせることが実践的です。

機密度: そのシャドーITに顧客情報・個人情報・機密情報が入力・保存されているかどうかを確認します。機密情報を扱っているほど、リスクは高くなります。特に生成AIサービスへの入力内容は、機密情報が含まれているケースが多いため、使用部門へのヒアリングで確認します。

使用者数: 少数の社員が使っているケースより、多くの社員が使っているケースの方が、情報漏洩が発生した場合の影響範囲が広くなります。また、利用者が多いほど代替手段への移行コストも高くなります。使用者数が多いSaaSは、禁止よりも「企業版への移行」や「利用ルールの設定」という方向で対応する方が現実的な場合があります。

代替手段の有無: 情シス公認のツールで同等の機能を提供できる場合は、禁止と代替手段への移行を進めやすいです。代替手段がない場合は、条件付き許可（機密情報の入力禁止などのルール設定）を検討しながら、中長期的な代替手段の整備を進めます。

この3つの視点でスコアリングを行い、優先度の高いものから対応することで、限られたリソースを効果的に活用できます。

6つのリスクと優先対応の関係

6つのリスクには、それぞれ優先対応の緊急度があります。

リスク	優先度	主な対処策
情報漏洩・データ流出	最高	シャドーIT発見後の即時ヒアリング・機密データの確認
不正アクセス・サイバー攻撃	高	アカウントへのMFA設定・パスワードポリシーの適用
コンプライアンス違反	高（業界依存）	個人情報を扱うSaaSの優先調査・法務連携
退職者アカウント残存	高	オフボーディングフローへの組み込み
ガバナンス形骸化	中〜高	継続的な棚卸しと台帳管理
コスト管理	中	定期棚卸し・ライセンス最適化