ITパスポート 令和3年度 問65:セキュリティに関する問題
シャドーITの例として,適切なものはどれか。
- a会社のルールに従い,災害時に備えて情報システムの重要なデータを遠隔地にバックアップした。
- b他の社員がパスワードを入力しているところをのぞき見て入手したパスワードを使って,情報システムにログインした。
- c他の社員にPCの画面をのぞかれないように,離席する際にスクリーンロックを行った。
- dデータ量が多く電子メールで送れない業務で使うファイルを,会社が許可していないオンラインストレージサービスを利用して取引先に送付した。正答
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは d です。
シャドーITとは「会社が知らない・許可していないのに、社員が勝手に使うIT」のこと。“影(シャドー)でこっそり使う”からこの名前です。
dは、会社が許可していないオンラインストレージで取引先にファイルを送っています。便利だからと勝手に使う、まさに影のITです。
👉 覚え方:シャドー=影=会社に内緒で勝手に使うIT。
ほかの選択肢:a 会社のルール通りのバックアップ(正しい運用)/b パスワードをのぞき見て不正ログイン(これは不正アクセス)/c 離席時に画面ロック(良いセキュリティ習慣)。どれも“こっそり勝手に使う”ではありません。
なぜこれが正解か
正解は d。シャドーITとは、企業が公式に許可・管理していないIT機器やクラウドサービスを、従業員が業務に勝手に利用すること。dの「会社が許可していないオンラインストレージで取引先にファイルを送付」は、管理外サービスの無断利用にあたり典型例。
各選択肢の解説
- a:会社のルールに従ったバックアップ。正規の運用でシャドーITではない。
- b:のぞき見たパスワードでのログインは、不正アクセス(不正アクセス禁止法違反)。
- c:離席時のスクリーンロックは、推奨される情報セキュリティ対策。
覚え方・ひっかけ注意
シャドーITの判定軸は 「会社が許可・把握しているか」。許可外の私物端末・無料クラウド・無断アプリが該当する。b の不正アクセスと混同しないこと。シャドーITは悪意がなくても(便利だから)起こる点が特徴。
理論的背景
シャドーIT(Shadow IT)は、情報システム部門の管理・統制が及ばない範囲で IT 資産が業務利用される状態の総称だ。英語の「影(Shadow)」が示す通り、組織の可視化できない領域で動くという意味合いを持つ。
発生の主因はクラウドサービスの普及による「民主化」で、かつては IT 部門しか調達できなかったシステムが、社員が自分でサインアップするだけで使えるようになった。Dropbox・Google Drive・Slack・Notion などは IT 部門の承認なしに現場が使い始めた典型例だ。
シャドーIT のリスク分類:
| リスク種別 | 具体的懸念 |
|---|---|
| 情報漏えい | 機密データが管理外サービスへ流出 |
| データ所在不明 | 退職者のアカウントに業務データが残存 |
| ライセンス違反 | 使用条件に違反する業務利用 |
| マルウェア侵入経路 | 未審査サービス経由でランサムウェア感染 |
| コンプライアンス違反 | GDPR・個人情報保護法への抵触 |
「悪意はないが規則を知らない・不便だから使う」という特性がシャドーIT の本質で、禁止一辺倒では解決しない難しさがある。
実務での対策と関連概念
CASB(Cloud Access Security Broker) はシャドーIT 対策の中核ツールで、クラウドサービスへのアクセスを可視化・制御する。CASB は「ネットワーク上のどのクラウドサービスに誰がアクセスしているか」を把握し、許可リスト(ホワイトリスト)外のサービスへのアクセスをブロックしたりリスク評価を提供したりする。
混同しやすい概念の整理:
- BYOD(Bring Your Own Device): 私物端末を業務利用する制度。会社が公式に認めて管理する点でシャドーIT と逆。MDM(Mobile Device Management)でセキュリティポリシーを強制する。
- BYOA(Bring Your Own Application): 私物アプリを業務利用すること。会社が管理していなければシャドーIT 相当。
- シャドーIT: 管理外サービス・機器の無断利用(許可・管理の有無が識別の核心)
内部統制・ITガバナンスの文脈では、シャドーIT は COBIT の「IT リスクマネジメント」における「コンプライアンスリスク」として明示的に管理対象となっている。
試験での位置づけ
ITパスポートのセキュリティ・組織論分野で「シャドーIT」は近年出題頻度が高まっているテーマだ。本問のように具体的な行為例から該当・非該当を判定させる形式が定番で、a(正規の運用)・b(不正アクセス)・c(推奨対策)という「別の正しい概念」を誤答に並べる構成が典型。「会社が許可・把握しているか否か」だけを判定軸にすると正解を確実に選べる。b の不正アクセス禁止法違反とシャドーIT の違い(悪意の有無・技術的不正 vs 手続き的違反)を明確に区別することが応用問題での差異化ポイントになる。
選択肢の発展補足
選択肢 a「会社のルールに従ったバックアップ」 は正規の情報セキュリティ対策の実行例。BCP・DR 文脈での遠隔バックアップは推奨実践であり、シャドーIT の対極にある。選択肢として配置することで「正規運用もシャドーITと混同しないか」を確認している。
選択肢 b「のぞき見たパスワードで不正ログイン」 は不正アクセス禁止法(正式名: 不正アクセス行為の禁止等に関する法律)違反であり、刑事罰の対象。シャドーITとは「管理外サービスの利用」という性質が根本的に異なる。ショルダーサーフィン(画面・キー入力の覗き見)という物理的なセキュリティ脅威でもあり、別途クリアスクリーン対策(離席時の画面ロック)が有効。
選択肢 c「スクリーンロック」 はクリアスクリーンポリシーの実践例であり、情報セキュリティ対策のベストプラクティス。ISMS の物理・環境セキュリティ管理策に含まれる推奨行動で、シャドーIT とは無関係の正しいセキュリティ習慣だ。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和3年度 問65/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。