デジタル社会と呼ばれる近年。ITシステムが広く普及し、さまざまな業界で活用されています。製造業でもITシステムの導入が進められ、システムの担当となる人もいることでしょう。
しかし、ITシステムを運用する際は、シャドーITに気を付けなければなりません。シャドーITを放置したまま業務を続けていると、いつかは重大なトラブルを引き起こしてしまいます。
シャドーITとはどのようなことを指すのか?発生によるリスクや対策など、シャドーITについて紹介します。
シャドーITとは?製造現場でも起こりうる「見えないIT利用」
シャドーITとは、企業側が把握していないITシステムのことです。従業員が無断で使用することから、企業にとって見えないIT利用(知らないIT利用)となります。
通常、システムの利用は企業が承認することで運用されます。利用時には履歴を残すことで、「誰が」「いつ」「どのようなことに使ったか」などの情報を調べることもできます。
しかし、従業員が無断使用をすると、企業側はその利用を把握できません。管理ができないことで、マルウェアの感染や不正アクセスなどのトラブルを引き起こす可能性があるでしょう。
予期せぬサイバートラブルを防ぐためにも、細部まで行き届いたシステム管理が求められます。
製造現場でありがちなシャドーITの具体例
シャドーITの主な例としては、私用のタブレットを業務利用することが挙げられます。取引先との連絡や資料の共有など現場でタブレットを使うケースは多いですが、だからといって企業が許可していないタブレットを使うのは問題があります。
逆に、業務用のタブレットを私用利用するケースもあります。どちらの場合であっても、企業が把握していないことで、トラブルが生じた際の対応が難しくなるでしょう。
ほかにも、個人で契約しているクラウドストレージに、社内パソコンからアクセスすることも挙げられます。クラウドストレージを利用すれば簡単にデータの送受信ができますが、ネットワークがつながることで不正アクセスされるリスクが高まります。
シャドーITとされる事柄は、「企業に内緒でIT技術を使う」ことです。企業が認知・承認していないシステム利用は、すべてシャドーITと呼べます。
ちなみに、私用タブレットでも、企業が許可していれば問題ありません。私用タブレットを業務利用することをBYOD(Bring Your Own Device)と呼びますが、利用を企業が把握しているため、私用タブレットでも管理ができるわけです。
シャドーITは、あくまでも「企業が把握していないことが問題」であることを知っておきましょう。
シャドーITの例
- 私物のタブレットやUSBを使用する
- 個人契約されたクラウドサービスを使用する
- 非許可のSNSやツールを使用する
- フリーメールを使用する
- 個人チャットアプリの利用
- 勝手にインストールした設計ツールの利用
- 社内ネットワークに接続する私物Wi-Fiルーターの使用
何がまずいの?シャドーITによる4つのリスク
人によっては、「無断とはいえ、ただ使うだけなら問題ない」と思うかもしれません。しかし、無断で使用することで、以下のようなリスクが生じてしまいます。
情報漏えい:知らない間に「外に出ていた」重大データ
一つ目は、情報漏えいによるリスクです。勝手にデータを持ち出したことで、意図せずにデータが流出する恐れがあります。
よくある例としては、USBの置き忘れが挙げられます。社外で仕事をしようとUSBにデータを入れて持ち出しますが、うっかりUSBを置き忘れてしまいます。そして、そのUSBを別の人が持ち帰ってしまうと、業務データが社外に流出してしまうわけです。
ほかにも、自宅のパソコンから社内ネットワークにアクセスしているところを不正アクセスされたり、SNSの閲覧制限を間違えて誰でも閲覧できるようにしてしまったりなども挙げられます。
情報漏えいは、ただ企業の情報が流出するだけではなく、企業の信用問題に発展します。特に顧客情報の流出は影響が大きく、企業の信用を守るためにも防ぐ必要があるでしょう。
サイバー攻撃の踏み台:特に製造業で多い「ランサムウェア感染」
二つ目は、サイバー攻撃されるリスクです。従業員のパソコンやUSBなどを中継点として、会社のパソコンが攻撃されてしまいます。
特に多いのが、ランサムウェアの感染です。自宅のパソコンが感染しているのに気が付かずUSBを接続、ランサムウェアに感染したUSBを会社のパソコンに接続することで、会社のパソコンもランサムウェアに感染してしまいます。
ほかにも、社内ネットワークにアクセスすることで不正アクセスするための道ができてしまったりなど、従業員の無断使用によってサイバー攻撃を許してしまうわけです。
いくら会社のセキュリティを強化しても、別の方面から感染や不正アクセスをされると防ぎようがありません。ランサムウェアの感染によって仕事を止めてしまわないよう、対策をとる必要があります。
品質トラブル:古い資料利用で現場のミスを招く
三つ目は、情報の信憑性から生じるトラブルです。企業が許可していない資料を使うことで、品質に問題が生じてしまいます。
例えば、マニュアルを作成するとします。その際、企業が把握していない資料を使用しました。しかし、使用した資料は過去のものであり、現在の仕組みとは異なります。その結果、完成したマニュアルは現在の生産には合わず、間違った作業をしてしまうでしょう。
ほかにも、企業が把握していないことで、情報共有に食い違いが生じる可能性もあります。
品質は、製造業において重要とされる要素の一つです。品質によって、顧客からの評価が大きく変化します。顧客満足度を維持するためにも、管理によって品質トラブルを防ぐ必要があります。
属人化とブラックボックス化
四つ目は、属人化によるリスクです。システムの使用を企業が把握していないことで、業務がブラックボックス化しやすくなります。
例えば、自宅で設計図を仕上げてきたとします。本来なら作図の流れが会社のデータベースに保管されますが、シャドーITになることで作図の流れがわかりません。その結果、作図をできるのがその人だけとなり、業務が属人化してしまうわけです。
ほかにも、アカウントや設定を変更されたり、IT部門も知らないツールが使われたりなど、勝手に仕様を変更することで、特定の人だけの運用になってしまいます。
業務が属人化すると、他の人が代わりをできなくなります。その人が休むとやり方が誰もわからないことから、業務が停止してしまうでしょう。
業務の属人化は、現場が解決すべき問題の一つです。業務をブラックボックス化させないためにも、しっかりとした情報共有が必要といえます。
IT担当としての第一歩:完璧を求めず現場に合った対策を目指す
システムを守るためにはシャドーITへの対策が必要となりますが、対策は完璧でなくても大丈夫です。正確にいえば、完璧を目指すのは難しいため、完璧を目指す必要はありません。
というのも、シャドーITは完全に制御できないからです。企業に内緒で使うことがシャドーITですので、使われていても企業側は把握できません。
もちろん、規則や監視を徹底してガチガチに対策をする方法もありますが、それだと仕事がやりづらくなります。仕事がやりづらいことで、隠れて使用する人も増えてしまうでしょう。
また、監視や管理を強化すれば、その分のコストや手間がかかります。資産や人材に余裕のない中小企業だと、そもそも対策自体が難しいです。
シャドーIT対策をするのは大切ですが、それによって業務や経営に支障をきたすようでは、対策として問題があります。
そのため、シャドーITの対策に固執するのは得策ではありません。業務や経営に支障が出ない範囲で、対策を実施しましょう。
シャドー対策で大切なのは、「気持ち良く仕事をしてもらう」ことです。やり方や環境に満足していれば、勝手な行動は少なくなります。
気持ちの良い仕事は、作業効率も向上させます。シャドーIT対策をする際は、業務内容や現場に目を向けるようにしてみてください。
製造業におけるシャドーITのよくある原因とは?
シャドーITを防ぐためには、発生する仕組みを知ることが大切です。主な発生原因には、以下のようなことが挙げられます。
ITリテラシのギャップ
シャドーITが発生する原因は、ITリテラシが身についていない可能性があります。情報漏えいやマルウェアを甘く見ているため、シャドーITをしても問題ないと思っているのです。
特に、新社会人は情報の大切さを軽視しがちです。組織の末端にいることから責任感が低く、情報を杜撰に扱います。
熟練者であっても、「今まで大丈夫だったから、今回も大丈夫」と思って行動する人は多いです。
シャドーITを防ぐためには、情報の重要性を理解させ、情報セキュリティの意味を正しく伝える必要があるでしょう。
便利さが優先される現場環境
業務が不便でも、シャドーITが発生しやすいです。データの移動に私用のUSBやストレージサービスを利用したりなど、楽をするためシャドーITを行ないます。
ほかにも、業務を効率化するため、独自にツールを導入するケースも多いです。近年は無料で利用できるツールが豊富にあるため、気軽に導入しやすくなっています。その結果、企業が知らないシステムが構築され、トラブルの原因となるでしょう。
業務効率を優先することは大切ですが、自己判断で行なうのは問題があります。業務方法を変えたいなら、まずは上司やリーダーに相談するよう徹底してください。
また、不便に感じる環境にも問題があります。働きやすい環境を目指すためにも、現場のムダを見直しましょう。
ガイドラインやルールが存在しない
ガイドラインやルールが不足していても、シャドーITが発生します。規則がないことで従業員は自分勝手に作業をしてしまい、その結果、無許可のシステムを利用した企業が知らない仕様が出来上がります。
個人の自主性に任せることは大切ですが、統率が取れていないと、正しい生産はできません。スキルに個人差も出てきてしまい、品質も乱れてしまうでしょう。
また、新入社員だと、何を使えばいいのか迷ってしまいます。教える人によって内容が異なるようだと、仕事が身につきません。
業務の見える化や効率化を行なうためにも、すべての業務にガイドラインやルールを定めてください。
IT部門と現場の断絶
IT部門との連携も重要な要素です。情報共有ができていないことで使って良いITシステムがわからず、意図せずシャドーITを行なってしまいます。
IT部門側も、現場の状況がわかっていないと、システムの使用許可が出せません。シャドーITを防ぐためには、お互いの事情をしっかり共有する必要があるでしょう。
まとめ:ITの専門家じゃなくても、“見える化”が現場を守る第一歩
シャドーITとは、従業員の勝手なIT作業のことを指します。上司や企業に相談なくIT作業を行なうことで、トラブルが生じた際に対応が遅れてしまいます。
製造業に限らず、報告・連絡・相談はとても重要です。報連相ができていない職場は、属人化しやすくなります。トラブルが生じた際も周りの人がすぐに気が付かず、結果として、被害が拡大してしまうでしょう。
従業員を勝手に行動させないためにも、しっかりとしたガイドラインやルールを決めるようにしてください。
また、厳格な規則は、かえって反発を生みます。現場環境の改善やBYODの承認など、現場のことを考えた対策も大切です。
たとえITに詳しくなくても、“見える化”を意識することが、現場を守る第一歩です。管理の行き届いた現場や企業を目指し、シャドーITのリスクに備えていきましょう。
