その行動、シャドーITかも？

こんにちは、キャスター内部監査室の北村です。

さて、タイトルの「シャドーIT」という言葉、皆さんご存知でしょうか。

シャドーITとは「社内で許可されていないデバイスやソフトウェア、各種クラウドツールを個人の判断で利用すること」を指します。

IT技術の進化に伴い、コンシューマ向けサービスの種類も増え、
利用ハードルもかなり下がっており、皆さんにかなり身近な存在となっているかと思います。

本日は2点を例に挙げてシャドーITの危険性をお話します。

1．オンラインストレージ
キャスターでは普段の業務でオンラインストレージを利用する機会が多いです。
個人向けに無料で提供されているオンラインストレージや、容量の大きなファイルの一時共有サービスが増えており、中にはアカウント登録も不要で利用出来るサービスもあります。
これらは、とても使い勝手が良く、便利なツールではありますが、
キャスターでは利用を推奨しておりません。

有償で契約しているサービスに比べ、無料ツールはセキュリティ対策がなされていないものや急なサービス停止などが発生する可能性があるからです。

・悪意のある第三者によってサービス提供会社に攻撃された場合、
　利用者の情報漏えいリスクが高い

・アカウントの乗っ取りやなりすましなどの危険性がある

と言えるでしょう。


2．公共の無線LAN
カフェや電車など、さまざまな場所で無料公衆Wi-Fiの提供が増えています。
いつでもWi-Fiに接続出来て、これもまた便利ですよね。

ですが、キャスターでは、WPA2以下のもの(パスワード設定のないWi-Fi)については接続を禁止しております。

・悪意のある第三者から無線LAN経由で自分の情報が大量に抜き取られてしまう危険性がある

手口として、無料Wi-Fiとして公開されているWi-FiのSSIDに非常に似た文字列のSSIDが情報抜き取り用として用意されている悪質なケースが多く見られています。

一例）
本来のSSID：at_X●X●X●X_Wi2
悪意の第三者が作ったSSID：at_X●X●X●X_Wi2_1

ここで見ると引っかかりそうにない
と思うかもしれないのですが、
いざ現地で接続するとなるとパッと区別がつきづらいものです。

スマートフォンの設定で過去使用したことがあるWi-Fiに自動接続されるようにしている方も多いかと思いますが、SSIDとPWが同じであっても偽のアクセスポイントが作られている場合があります。

WPA2以下のもの（パスワード設定のないWi-Fi）については接続しないよう、キャスターでは徹底しています。

日頃より情報セキュリティについては意識されていると思いますが、
会社で管理していないツール起因でのセキュリティ事故は会社にもクライアントにも大きなダメージになり得ます。

リモートワーカーの方々のセキュリティレベルを向上させていけるよう、
今後もnoteを通じて発信していきたいと思います。

次回はまた別のお話を。