最終更新日:2026年5月8日
sg sg-security-management asset_management it_security_operations
まず結論
シャドーITとは、情報システム部門や管理部門が把握していない状態で、利用部門や従業員がIT機器・アプリ・クラウドサービスを業務に使っている状態です。
SG試験では、シャドーITは「便利だから使ってよいもの」ではなく、会社が把握できない情報資産や外部サービス利用が生まれるリスクとして問われることが多いです。
選択肢では、次のような表現に注意します。
- 「業務効率が上がるなら、利用部門が自由にクラウドサービスを使ってよい」
- 「無料サービスなので、情報セキュリティ上の確認は不要である」
- 「会社が契約していないサービスなら、管理対象に含めなくてよい」
このような内容は、シャドーIT対策としては不適切です。
シャドーITは、禁止するだけでなく、利用状況を把握し、ルールに沿って安全に管理することが大切です。
直感的な説明
シャドーITは、会社の外で勝手に作られた「見えない道具箱」のようなものです。
たとえば、ある部署が作業を早くするために、会社に申請せずに次のようなサービスを使い始めたとします。
- 無料のファイル共有サービス
- 個人用のチャットツール
- 外部のオンラインストレージ
- 個人アカウントのWebメール
- 生成AIサービス
現場から見ると、便利で仕事が早くなるかもしれません。
しかし、会社から見ると、次のことが分からなくなります。
- どこに業務データが保存されているか
- 誰がアクセスできるか
- 退職者がまだ見られる状態になっていないか
- サービスの安全性は確認されているか
- 情報漏えい時にログを確認できるか
つまり、シャドーITの問題は、ITを使うこと自体ではありません。
問題は、会社が把握できない場所で、業務情報が扱われることです。
定義・仕組み
シャドーITは、組織が正式に承認・管理していないIT機器、ソフトウェア、クラウドサービスなどを、業務目的で利用している状態を指します。
特にクラウドサービスが普及すると、利用部門が簡単に外部サービスを使えるため、シャドーITが発生しやすくなります。
IPAの「情報セキュリティ10大脅威 2025」でも、組織の悩みとしてIoT機器がシャドーIT化する問題が取り上げられており、管理外の機器やサービスがリスクになり得ることが分かります。
参考: IPA|情報セキュリティ10大脅威 2025
シャドーITで問題になりやすいポイントは、次のとおりです。
| 観点 | リスク |
|---|---|
| 情報資産管理 | 業務データの保存場所を把握できない |
| アクセス管理 | 誰が利用できるか管理できない |
| 契約・規約 | サービスの利用条件を確認しないまま使う |
| ログ管理 | 事故発生時に調査できない可能性がある |
| 退職・異動対応 | アカウント削除や権限変更が漏れる |
| 委託先管理 | 外部サービス事業者を確認せずに利用する |
SG試験では、シャドーITを「社員の不正利用」とだけ考えないことが大切です。
悪意がなくても、便利さを優先して無断利用すると、会社から見えない情報セキュリティリスクになります。
どんな場面で使う?
シャドーITは、現場の業務効率化と情報セキュリティ管理の間で起こりやすいテーマです。
代表的な場面は次のとおりです。
- 利用部門が無料のクラウドストレージを使う
- 個人用アカウントで業務ファイルを共有する
- 会社の承認を受けずにチャットツールを使う
- 部署単位でSaaSを契約する
- IoT機器や無線機器を勝手にネットワークへ接続する
- 生成AIサービスへ業務情報を入力する
このような場面では、単に「禁止」とするだけでは、現場が不便になり、別の抜け道が生まれる可能性もあります。
そのため、シャドーIT対策では、次のような取り組みが重要です。
- 利用しているクラウドサービスを把握する
- 利用申請や承認のルールを作る
- 利用してよいサービスと禁止するサービスを明確にする
- 業務データを保存してよい場所を決める
- アカウントやアクセス権限を管理する
- 利用者へ教育を行う
- CASBなどでクラウド利用状況を可視化する
SG試験では、シャドーITは情報資産管理・アクセス管理・教育の問題として整理すると判断しやすくなります。
よくある誤解・混同
誤解1:シャドーITは必ず悪意のある行為である
これは誤りです。
シャドーITは、悪意ではなく、業務を早く進めたいという理由で発生することも多いです。
ただし、悪意がなくても、会社が把握していないサービスで機密情報や個人情報を扱えば、情報漏えいリスクになります。
SG試験では、悪意の有無ではなく、管理されているかどうかで判断します。
誤解2:無料サービスならリスクは小さい
これも誤りです。
無料サービスでも、業務情報を保存・共有すれば、情報漏えい、規約違反、アカウント乗っ取り、退職者アクセスなどのリスクがあります。
選択肢で「無料サービスなので確認不要」と書かれていたら注意します。
誤解3:シャドーITとCASBは同じ意味である
シャドーITとCASBは同じ意味ではありません。
シャドーITは、管理部門が把握していないIT利用の状態です。
CASBは、クラウド利用を可視化・制御するための仕組みです。
| 用語 | 見るポイント |
|---|---|
| シャドーIT | 管理されていないIT機器・アプリ・クラウド利用 |
| CASB | クラウド利用を可視化・制御する仕組み |
| SSPM | SaaSの設定や権限を確認する仕組み |
| 委託先管理 | 外部サービスや委託先を継続的に管理すること |
SG試験では、次のように切り分けます。
- 管理部門が把握していないIT利用なら、シャドーIT
- クラウド利用を見える化・制御する仕組みなら、CASB
- SaaSの設定や権限を確認する仕組みなら、SSPM
- 外部事業者や委託先を管理する考え方なら、委託先管理
まとめ(試験直前用)
シャドーITは、管理部門が把握していないIT機器・アプリ・クラウドサービスを業務で使う状態です。
試験直前は、次の判断基準を押さえておきます。
- シャドーITは、会社が把握できないIT利用のリスク
- 悪意がなくても、管理外で業務情報を扱えば危険
- 情報資産管理、アクセス管理、ログ管理、教育が重要
- CASBは、シャドーITを含むクラウド利用の可視化・制御に使える
- 禁止だけでなく、利用ルールと承認プロセスを整えることが大切
選択肢では、「便利だから自由に使ってよい」「会社が契約していないので管理不要」という表現に注意します。
シャドーITは、クラウド利用を否定する話ではなく、見えないIT利用を見える化し、安全に管理するためのテーマです。