デジタルリスク総研は、デジタルリスクに関する研究を行い、その成果を社会に還元することによって、デジタルリスクを低減させることを目的とした研究機関です。MORE

シャドウITと意識されないブラウザのブックマーク機能、
そこに潜むリスクと対応方法

2018年05月07日

企業などの組織活動において、会社が用意したITシステム、機器とは異なる、私物の端末やデバイス、サービスを業務に利用することを「シャドウIT」と呼びます。
DropboxやGoogle ドライブのようにクラウド・サービスが当たり前になった今、無意識のうちのこうしたサービスを会社業務の中でも使ってしまいがちですが、デバイスに限らず、企業が許可してないサービスを利用することをシャドウITといい、今、そのリスクに注目が集まっています。

shutterstock_519860068

現在、企業では「BYOD」(Bring Your Own Device)や「BYOA」(Bring Your Own Application)と呼ばれる私物端末やアプリケーション/ソフトウェアの業務利用を許可する施策の導入・検討を進めていますが、すべてを把握できている状況ではありません。
本記事の中では、その中でも特に見落とされがちな、ブラウザの「ブックマーク(お気に入り)」機能について焦点を当てたいと思います。


クラウド・サービスの普及で同一アカウントの管理が当たり前に

実はあまり意識されていませんが、ブラウザのブックマーク機能こそがシャドウITです。
そのため、どこにリスクが潜んでいるのかを知っておく必要があります。ブックマーク機能がシャドウITになる恐れがあるのは、その使い方がここへきて大きく変化しているからです。

少し前まではパソコンはパソコン、スマホはスマホとブックマークはそれぞれの端末内で管理していました。端末をまたいで利用することは手間がかかるため、端末をまたいで利用するという概念を持っている人自体が少なかったかもしれません。
こうした変化が生まれたのは、クラウド・サービスの普及が背景にあります。パソコンやスマホなど複数の端末を保有している人であれば、GoogleアカウントやApple ID、Microsoftアカウントなどのアカウントを取得していることでしょう。これらのアカウントを取得すれば、同じアカウントで、一度購入したアプリケーションを再度購入せずに利用できたり、設定情報を引き継げたり、パスワードを保存して端末間で共有できたりするなど様々なメリットを享受できます。


スマホの閲覧は問題なくてもパソコンだとマルウェアに感染することも

この便利さは改めて説明するまでもなく、Google ChromeやSafari、Microsoft Edgeなど、ブラウザは無意識のうちに同一アカウントでログインした状態で使っているはずです。そうすることによって、普段はパソコンからアクセスするサイトへ急遽、スマホからアクセスする必要性に迫られたときに、パスワードを共有していて助かったという経験をしたことがある人も多いはずです。
非常に分かりやすい、同一アカウントを利用するメリットと言えます。

ブックマーク機能もこの延長線上にあるため、無意識に使いがちですが、ここに大きな落とし穴があります。
同じウェブサイトへのブックマークであっても、表示されたデザインや広告などがスマホとパソコンでアクセスしたときに変化する場合があり、スマホでアクセスすると何も起こらないウェブサイトであっても、パソコンからアクセスするとマルウェアに感染するような仕組みを埋め込むことができてしまいます。また、ウェブサイトそのものは安全であっても、そこで表示されるウェブ広告経由でマルウェアに感染させられたり、フィッシングサイトへ誘導させられたりする可能性もあります。こうしたリスクは意外と知られていません。

ブラウザはパソコンでもスマホでも当たり前に使うアプリケーションであり、ウェブサイトの閲覧はもとより、業務システムへのアクセスなどに必須です。その標準機能として備わっているブックマーク機能と、アカウント連携によるブックマークの共有はその手軽さゆえ、シャドウITであることが見過ごされがちであり、そのカジュアルさがリスクを増大させる可能性を秘めています。
特に業務用のスマホとPCと私有環境でアカウントを分けており、自分はセキュリティ意識が高いと思って、業務用のスマホで情報収集に勤しみ、PCで収集した情報を使って資料などを作成している方は要注意です。


ブックマークは信頼性の高いサイドに限定する

では、具体的にどうしたらいいのでしょうか。
まずはブックマークの共有機能がシャドウITの当たると認識すること。これが何より大事です。この認識が注意を払うことへと繋がります。
具体的に何に注意をしたらいいかといいますと、会社のネットワークがフィルタリングを導入しているなら、外出先で閲覧せずに会社に戻ってから確認すること。あるいは、ブックマークは信頼性の高いサイトに限ることです。
個人のサイトではなく、企業や技術系メディアに掲載されている情報を探してブックマークするというのが具体的な対応策になります。このほかにも、内容に関係のない広告が多いサイトしか見つからない場合はブックマークせずに、画面をキャプチャしたり、本文をコピーしたりして、メールで内容を送付するのも手です。

USBメモリのようなデバイスや、アプリケーションなどはシャドウITとして認識しやすいですが、ブラウザのブックマーク機能とその共有は、あまりにも便利過ぎて、当たり前になっているために見過ごしがちです。
ぜひ、これを機会に意識してみてください。

03-6550-9281

お問い合わせ

  • 大阪06-6210-5017

デジタルリスク総研について

日本におけるSNSの利用率はここ数年増加の一途をたどり、2015年3月の調査では実に77%に至りました。企業もこれに比例してSNSをマーケティングに活用しようという動きが高まり、今日では既に一般的なこととなっています。ソーシャルメディアマーケティングは、話題の拡散、属性によるターゲティングや双方向のコミュニケーションといったマーケティングの多様性を生み出し、この成否が顧客エンゲージメントの獲得を左右するようになりました。

しかし、その一方で、ネット炎上件数もまた年々増加し、昨年は遂に1,000件を超え、企業としては、炎上させないSNSコミュニケーション術や、万が一炎上の火種が生じた際にどのように対応するかというリスク管理体制の整備が求められています。これは、ソーシャルメディアの活用を控えるという意味ではなく、ソーシャルメディアを有効に活用するための手段でもあります。

デジタルリスク総研は、2007年からソーシャルリスクマネジメントに着目し事業を行っている株式会社エルテスによって、ソーシャルリスク総研として、2016年2月に設立され、ソーシャルリスクを低減させることを目的とした研究機関として、ネット炎上等のソーシャルリスクに関する研究を行い、その成果を社会に還元してまいりました。そして、2016年11月にデジタルリスク総研と改称し、ソーシャルリスク分野に加えて、企業内部の不正や金融犯罪の検知をはじめとしたリスクインテリジェンス分野における研究を開始しました。このサイト上では、企業に役立つ実践的なデジタルリスクマネジメントについて、定期的に情報発信を行いますので、企業等のデジタルリスクマネジメントに是非ご活用ください。

※ 13歳以上の男女。(出典)総務省「社会課題解決のための新たなICTサービス・技術への人々の意識に関する調査研究」(平成27年)

運営者について

デジタルリスク総研は株式会社エルテス内にございます。
株式会社エルテスでは、次のような事業を行っております。お気軽にご相談ください。