令和3年度 ITパスポート試験 公開問題 問65 解説 シャドーIT

この問題は、シャドーITという言葉が指す「会社の許可を得ていないIT機器やサービスの勝手な利用」という定義に合致するものを選ぶことで正解にたどり着けます。

シャドーITとは、企業の情報システム部門などが把握・管理していない端末やクラウドサービスなどを、従業員が業務目的で勝手に利用することを指します。本来、企業ではセキュリティポリシーに基づき、使用するツールやサービスを管理していますが、利便性の向上や業務効率化のために個人の判断で未許可のツールを使用してしまうケースが該当します。

選択肢エにある、会社が許可していないオンラインストレージへのファイルアップロードは、情報の持ち出しや機密漏洩のリスクを伴う典型的なシャドーITの事例です。

他の選択肢について確認しましょう。

アは、バックアップという業務上必要なセキュリティ対策を、ルールに従って実施しているため、適切かつ推奨される行動です。

イは、他人のパスワードを盗み見る「ショルダーハッキング」と呼ばれる不正行為です。シャドーIT以前の問題として、情報セキュリティ上の大きな違反となります。

ウは、離席時のスクリーンロックという、情報漏洩を防ぐための基本的なセキュリティ対策です。ルールに沿った適切な行動です。

実務においてシャドーITが問題視される最大の理由は、企業のセキュリティ管理の枠組みから外れてしまうことにあります。例えば、個人の判断で無料のオンラインストレージを使っていると、万が一そのサービスから情報が漏洩しても、会社側はその事態を把握できず、適切な対応をとることができません。また、ファイルの送受信記録が会社のシステムに残らないため、監査やトラブル発生時の追跡が困難になるリスクもあります。

情報セキュリティマネジメントの観点では、利便性を追求するあまりにルールを無視して勝手なツールを使うのではなく、必要な機能であれば社内の正規の手順で導入を申請することが重要です。

• JPCERT コーディネーションセンター：情報セキュリティ対策の基礎知識