企業が体を成すには組織としての活動が欠かせず、従業員個々の業務が根本になっている。業務を実行する場所はいわゆる“職場”とされ、出張などを除いて固定した前提と成っていた。現代の業務環境に目を移せばリモートワークやハイブリッドワークが定着しており、通信とデバイスの動作が確保さえできればあらゆる場所が業務を遂行する“職場”となる。

これは、安定した通信網の普及とPCに加えてスマホやタブレットといったモバイル機器の進化や、駆動ハードウェアの種別を広げたSaaSの発展によるところが大きい。また、働き方の多様性、緊急事態宣言などの社会潮流も企業のIT化を急加速させる要因といえる。執務の場所を問わず成果で業務を評価する傾向は高まり、時間の有効活用と働き方の多様性を受け入れる寛容性を作り出している。一方で、企業活動の大前提となる安心と安全の観点ではよりむずかしい状況となっており、“誰がどこで何をしている”かは把握しにくく、ミクロ的には“どのデバイスで誰が何に接続しているか？”は個々のセキュリティ意識頼みになりがちといえるだろう。

有効な手立てを見つけにくく、IT部門はリスクを感じつつも日々の運用に重点を置くあまりルール整備や注意喚起という範囲に留る。管理の行き届かないままに業務を遂行する企業の「シャドーIT」は広がっており、本書は今日の企業が置かれる「シャドーIT」の状況を整理し、有効なに施策について解説する。本書の調査データを抜粋すると、シャドーITの検知・対応ができている企業はわずか「19.4%」と低い数値となっており約8割の企業が情報漏洩のリスクを拡大しつつ業務を続けていることとなる。また“誰”の部分である従業員のアカウントについても、退職者のアカウントがそのままに放置されるケースも多いと本書は指摘する。今までが大丈夫であったからこれからも安全という保障はなく、情報セキュリティにおいて最も陥ってはいけない思考といえるだろう。「シャドーIT」について簡潔明解にまとめられた内容となっているので、IT部門に限らず経営層にも本書をご一読いただきたい。