教えて!前田さん
前田
はい。「シャドーIT」とは、職場が許可していないにもかかわらず、職員が個人で保有する端末(PC、スマートホン、タブレットなど)を使ったり、個人メールやクラウドストレージなどのサービスを利用したりして業務を行うことです。
シャドーITには大きなリスクがあります。例えば、職員は自宅で仕事をするため、個人メールなどを使って、個人用端末へ業務データを送信する場合があります。個人用端末は職場から支給される端末と比べて、セキュリティレベルが低い可能性があるため、ウィルスなどに感染していると、業務データがインターネット上に流出する危険性があります。また、クラウドストレージにデータを格納する場合は、第三者にもデータが公開される設定のまま利用してしまう可能性があり、職員が気づかないうちに情報が漏えいする危険性があります。
一方で、個人用端末を業務に活用するメリットもあります。例えば、職員が使い慣れた端末であるため、業務の効率化が期待できます。
シャドーITの持つリスクを低減し、個人用端末を活用するメリットを享受できるのが「BYOD(Bring Your Own Device)」です。BYODは、職員が個人用端末を使って業務を行うことは共通していますが、職場がルールやポリシーを設けた上で使用を許可した端末やサービスを活用する点が大きな違いです。
前田
はい。IT戦略本部がまとめた「私物端末の業務利用におけるセキュリティ要件の考え方」では、BYODの導入を検討する際のポイントを下記の通り挙げています。
BYODはきちんとルールを決めて活用することで、使い慣れた個人用端末で業務が行えるなどのメリットを享受できます。シャドーITの持つリスクを低減し、BYODを安全に使うためのソリューションの導入を検討するとよいでしょう。
なお、日立ソリューションズは、BYODを実現するための企画・設計、構築までを提供する「スマートデバイス仮想化基盤Remotium(リモーティアム)」を提供しています。仮想環境上に業務用アプリケーションが搭載されており、職員は個人用端末から認証システムを介して仮想環境上にアクセスし、業務を行うことができます。業務データは仮想環境上にあるため、個人用端末に業務データが残らず情報漏えいのリスク軽減や公私分離を実現できます。
よくわかりました。ありがとうございます、前田さん!
(2014年12月24日)
配信を希望される方へ
自治体ICTに関する旬な記事を月2回メールマガジンでお届けします。登録は無料です。