問題
問65
シャドーITの例として、適切なものはどれか。
- 会社のルールに従い、災害時に備えて情報システムの重要なデータを遠隔地にバックアップした。
- 他の社員がパスワードを入力しているところをのぞき見て入手したパスワードを使って、情報システムにログインした。
- 他の社員にPCの画面をのぞかれないように、離席する際にスクリーンロックを行った。
- データ量が多く電子メールで送れない業務で使うファイルを、会社が許可していないオンラインストレージサービスを利用して取引先に送付した。
[出典:ITパスポート試験 令和3年度 問65]
スポンサーリンク
正解
正解は「エ」です。
解説
正解は「エ」です。シャドーITとは、企業や組織のIT部門が把握していない、または許可していないIT機器やサービスを使用することを指します。選択肢「エ」の「データ量が多く電子メールで送れない業務で使うファイルを、会社が許可していないオンラインストレージサービスを利用して取引先に送付した。」は、まさにシャドーITの典型的な例です。企業のIT部門が許可していないオンラインストレージサービスを利用することで、セキュリティリスクが高まり、情報漏洩の危険性が増します。
ア(会社のルールに従い、災害時に備えて情報システムの重要なデータを遠隔地にバックアップした。):
これはシャドーITではなく、適切な情報管理の一例です。災害時に備えてデータをバックアップすることは、企業のITポリシーに従った正当な行為です。
イ(他の社員がパスワードを入力しているところをのぞき見て入手したパスワードを使って、情報システムにログインした。):
これはシャドーITではなく、不正アクセスの例です。他人のパスワードを盗み見てシステムにログインする行為は、セキュリティ違反であり、法的にも問題があります。
ウ(他の社員にPCの画面をのぞかれないように、離席する際にスクリーンロックを行った。):
これはシャドーITではなく、適切なセキュリティ対策の一例です。スクリーンロックを行うことで、情報漏洩を防ぐことができます。
難易度
普通
シャドーITの概念を理解していれば解答できる問題です。選択肢の中には明らかにシャドーITに該当しないものも含まれているため、比較的解答しやすいです。
スポンサーリンク
用語補足
シャドーIT:
企業や組織のIT部門が把握していない、または許可していないIT機器やサービスを使用することを指します。例えば、個人のスマートフォンやクラウドサービスを業務に使用することが該当します。
情報漏洩リスク:
シャドーITによって企業の管理外でデータが扱われることで、情報が不正に流出するリスクが高まることを指します。
対策
シャドーITのリスクを減らすためには、企業が使用するIT機器やサービスを明確に定義し、社員に対するセキュリティ教育を徹底することが重要です。特に、個人のクラウドサービスやUSBメモリの使用ルールを定めることで、企業内の情報管理がより安全になります。
