「シャドーIT」という言葉をご存じでしょうか。企業において、システム管理部門による正式な手続きを経ることなく、個人・部門レベルの判断で使用されているITツールやクラウド、システムのことです。
シャドー(影)という言葉通り、会社が利用状況を可視化できないため、セキュリティ上のリスクとなります。テレワークの常態化、業務におけるチャットやSNSの利用拡大、ノーコード・ローコードの浸透による自作ツールの増加などを背景に、注目度が高まっています。
とはいえ時間・場所の制約をなくすスマートデバイスの利用を禁止することは、業務効率の観点から得策ではありません。そのため、社内で活用するITツールやクラウドサービスをいかに管理するかが、重要なポイントになります。
デバイスの配備・管理の考え方として、CYOD、COPE、COBO、BYOD、BYADといった略語があります。これだけでも頭がパンクしそうですが、シャドーITを解決するためのソリューションとしてEMM、MDM、MAM、MCMという略語も使われています。
これらの言葉を見ても、「何のことやら、まったくわからない。暗号?!」という人も多いのではないでしょうか。ここからは、シャドーIT対策に関連する略語について、できるだけわかりやすく解説していきますので、ご一読ください。
最初に紹介するのは、「デバイスの配備・管理の考え方」を表現する5つの言葉です。
- CYOD
- COPE
- COBO
- BYOD
- BYAD
「CYOD」は「Choose Your Own Device」の略で、企業が用意したものを社員が選べるようにすることです。社員は、会社指定のデバイスのなかから使いたいものをチョイスして、承認された範囲内で利用できます。
企業がデバイスの費用を負担する必要があるものの、セキュリティ対策と従業員満足度の向上を両立できるのがメリットです。
これに対して「COPE(Corporate Owned, Personally Enabled)」と「COBO(Corporate Owned, Business Only)」は、企業が指定したデバイスを使用することになり、社員に選択肢はありません。両者の違いは、COPEが一定の範囲で私用を認めるのに対して、COBOは業務のみの利用を認めるというところです。
一方、個人所有のデバイスを業務で使用するのが「BYOD(Bring Your Own Device)」と「BYAD(Bring Your Assigned Device)」です。
社員は1台のデバイスを私用・業務用で兼用できるので、2台持ちのわずらわしさがありません。企業もコストをかけることなく、生産性の向上を図れます。デメリットは、公私の切り替えがしづらく、社員の負担やストレスにつながりやすいこと。経費精算など、チェック業務の負荷もかかります。
BYODとBYADの違いは、利用するデバイスが企業から指定されたものか否かです。BYADは、社員が使うデバイスを会社が指定します。セキュリティ対策をしやすい反面、不満につながる可能性が高いため、BYODを導入する企業のほうが多いようです。
このように、デバイスの配置・管理方法はいずれも一長一短。従業員数、組織体制、業務内容、情報の重要度などに応じて、最適なスタイルを見極める必要があります。
加えて、デバイスの紛失などによる情報漏えいを防ぐためには、セキュリティポリシーに則った管理システムの構築が欠かせません。【後編】では、シャドーITに起因する問題を解決するためのソリューションについて、深堀りしていきます。
