シャドーIT の例として、適切なものはどれか。
- ア. 会社のルールに従い、災害時に備えて情報システムの重要なデータを遠隔地にバックアップした。
- イ. 他の社員がパスワードを入力しているところをのぞき見て入手したパスワードを使って、情報システムにログインした。
- ウ. 他の社員に PCの画面をのぞかれないように、離席する際にスクリーンロックを行った。
- エ. データ量が多く電子メールで送れない業務で使うファイルを、会社が許可していないオンラインストレージサービスを利用して取引先に送付した。
【答え】エ
【解説】
シャドーITとは、企業が把握・管理していないIT 機器・サービス・ソフトウェアを従業員が業務に使用することを指します(例:私物スマホで業務メール、無許可のクラウドストレージやチャットツールの利用)。セキュリティリスクが高く、情報漏えいの原因になりやすいといった問題があります。
各選択肢の解説
ア. 会社のルールに従い、災害時に備えて情報システムの重要なデータを遠隔地にバックアップした。
→「会社のルールに従った」バックアップ(BCPなど)であって、正規の運用なためシャドーITではない
イ. 他の社員がパスワードを入力しているところをのぞき見て入手したパスワードを使って、情報システムにログインした。
→これはショルダーハッキングによる不正アクセスであり、シャドーITではない
ウ. 他の社員に PCの画面をのぞかれないように、離席する際にスクリーンロックを行った。
→適切なセキュリティ対策(クリアスクリーン)であり、シャドーITではない
エ. データ量が多く電子メールで送れない業務で使うファイルを、会社が許可していないオンラインストレージサービスを利用して取引先に送付した。
→「会社が許可していない」IT サービスを勝手に業務利用
→ ⭕ シャドーIT の例として適切です
以上より、正解はエ.となります。
情報セキュリティ1~情報セキュリティの概要とリスクマネジメント~ 
