シャドーIT 【shadow IT】 シャドウIT

概要

組織内では業務用に正規に設置された機器や配線、ソフトウェアなどの他に、従業員が持ち込んだ私物のスマートフォンやタブレット端末、USBメモリなどのデジタル機器、私用の端末上で動作するソフトウェアや消費者向けネットサービス、当該部署が独自に決済して導入した機器やシステムなどが用いられることがある。

これらが経営層や情報部門の関与や認知を経ずに「知らないうちに」導入されて利用されている状態をシャドーITという。適切な管理下にあれば防げたはずのマルウェア感染や情報漏洩、外部からの攻撃などのセキュリティ上の問題を生じたり、事前の設計と異なる通信機器の設置や配による通信障害を招く場合がある。

背景として、スマートフォンなど消費者向けIT機器が高機能化・高性能化し、無料もしくは安価で便利な個人向けのソフトウェアやネットサービスが増えた結果、業務用製品がそれを後追いせざるを得なくなる「ITコンシューマライゼーション」と呼ばれる状況がある。

シャドーITへの対策としてシステムの徹底した監視と管理外要素の排除、接続遮断が行われることが多いが、そもそも従業員は業務の効率化を求めて持ち込みを行っているという事情に配慮し、一定のルールや管理システムのもと、持ち込みを認めて業務に活用する動きも見られる。これを「BYOD」（Bring Your Own Device）という。

サンクションIT （sanctioned IT）

シャドーITと対比する文脈で、組織として正式に導入、設置、支給などしているIT機器やソフトウェア、正式に契約したクラウドサービスなどのことを「サンクションIT」（sanctioned IT）と呼ぶことがある。“sanction” とは「正式に認める」「認可する」などの意。