シャドーIT(Shadow IT)
読み: シャドーアイティー
シャドーITとは情報漏洩リスクの対策
シャドーITとは、組織のIT部門が正式に認可・管理していないハードウェアやソフトウェア、クラウドサービスを、従業員が個人の判断で業務に使用している状態を指す。個人のGmailで業務連絡をする、承認を得ていないクラウドストレージに取引先資料をアップロードするなど、思わぬところから情報が漏洩するリスクがある。
かんたんに言うと
シャドーITとは、会社が「使っていい」と認めていないアプリやサービスを、社員が勝手に仕事に使ってしまっている状態のことである。本人に悪意はないが、情報漏洩の原因となる。
ルール違反ではなく体験格差が生むシャドーITの構造的な必然
シャドーITが蔓延する原因を「従業員のルール違反」として片付けるのは短絡的である。根本的な原因は、社内公式ツールの使い勝手の悪さにある。承認申請に2週間かかるファイル共有システムよりも、Googleドライブで共有リンクを発行する方が5秒で終わる。この圧倒的な体験格差がある限り、どれほどルールで縛っても現場での利用は止まらない。
事実、Gartnerの調査では企業が把握していないIT支出が全IT支出の30〜40%を占めるとされ、シャドーITは「例外」ではなく「常態」にある。
AI時代における脅威の質的変化
クラウドストレージへの無断アップロードであれば、最悪の場合でも流出先は特定可能である。しかし、AI時代において問題はシャドーAIへと進化している。従業員がChatGPTに顧客の個人情報を入力した場合、そのデータはモデルの学習データとして不可逆的に取り込まれる可能性がある。
シャドーITの延長線上にあるシャドーAIは、従来の「データの場所がわからない」問題から「データが誰かの学習素材になってしまった」問題へと、リスクの質そのものを変えた。
検知と統制の実務
シャドーITの検知手段としては、ネットワークの通信ログからSaaS利用を可視化するCASB(Cloud Access Security Broker)の導入が有効である。ただし検知だけでは根本解決にはならない。発見した非公式ツールに対して「禁止するか、公式に認可するか」の判断を迅速に下し、認可する場合はアクセス制御のポリシーに組み込むという運用サイクルの構築が求められる。
IT部門の承認スピードそのものを上げ、「公式ルートの方が速くて便利」な状態を実現するのが、正直いちばん効く。
当社の見解
当社はAIの安全運用のために3層防御を設計・実装している。万が一インシデントが発生しても数分以内に復旧できるバックアップ体制を持つ。実際にAIが暴走してテスト環境を停止させた経験があり、その教訓から「失敗を防ぐ」だけでなく「失敗しても戻せる」設計が本質だと確信している。加えて、AIは事実でないことを断定する。この前提で事実/推測の強制分離とファクトチェックを実装した。安全性は仕組みで担保するものだ。
同じ失敗を二度としないAIエージェント
今のAIは、聞けば何でも答えてくれます。
でも、セッションが切れた瞬間に前回の失敗を忘れます。
当社が開発しているAIは、過去の経緯を念頭に置いて、
聞かれる前に「それは前回うまくいきませんでした」と声をかけます。
人間にも同じ失敗をさせず、AI自身も繰り返しません。
古参の社員が横にいるように、黙っていても気づいてくれる。
それが、当社が考える本当のAI社員です。