大企業の約3割がシャドーITを把握　うち9割以上が、セキュリティリスクを認識

　株式会社ボスコ・テクノロジーズ（本社：東京都港区、代表取締役：林 經正）は、大企業（従業員数1,000名以上）の情報システム担当者108名を対象に、大企業のシャドーITに関する実態調査を実施しましたので、お知らせいたします。

■調査サマリー

• 01｜大企業の約3割が、承認されていないITツールの利用を確認

• 02｜93.8%が、未承認ITツールの業務利用による「セキュリティリスク」を実感

• 03｜未承認ツール利用を抑制するための対策、「シングルサインオンの導入」が51.6%で最多

■調査概要

• 調査名称：大企業のシャドーITに関する実態調査

• 調査方法：IDEATECHが提供するリサーチデータマーケティング「リサピー®︎」の企画によるインターネット調査

• 調査期間：2025年3月10日〜同年3月11日

• 有効回答：大企業（従業員数1,000名以上）の情報システム担当者108名

※1｜シャドーITとは、情報システム部門などが関知せず、ユーザー部門が独自に導入したIT機器やシステム、クラウドサービスなどのことを指します。

※2｜合計を100%とするため、一部の数値について端数の切り上げ処理を行っております。そのため、実際の計算値とは若干の差異が生じる場合がございます。

■大企業の約3割で、「承認されていないツールの利用が見受けられる」実態

　「Q1.あなたの会社では、承認されていないツール（例：無料クラウドストレージ、チャットアプリ等）の利用は見受けられますか。」（n=108）と質問したところ、「はい」が29.6%、「いいえ」が55.6%という回答となりました。

・はい：29.6%

・いいえ：55.6%

・把握していない：14.8%

■利用されている会社未承認のITツール、「無料クラウドストレージ」が59.4%で最多

　Q1で「はい」と回答した方に、「Q2.利用されている会社未承認のITツールの種類を教えてください。（複数回答）」（n=32）と質問したところ、「無料クラウドストレージ（例：Googleドライブ、Dropbox無料版）」が59.4%、「オンライン会議ツール（例：Zoom無料版、Google Meet）」が50.0%、「チャット／コミュニケーションツール（例：LINE、WhatsApp、Slack無料版）」が46.9%という回答となりました。

・無料クラウドストレージ（例：Googleドライブ、Dropbox無料版）：59.4%

・オンライン会議ツール（例：Zoom無料版、Google Meet）：50.0%

・チャット／コミュニケーションツール（例：LINE、WhatsApp、Slack無料版）：46.9%

・ファイル共有サービス（例：WeTransfer）：43.8%

・プロジェクト管理・コラボレーションツール（例：Trello、Asana無料版）：31.2%

・その他：6.2%

　ー非営利限定のフリーソフト

　ーいわゆるフリーウェア

・わからない/答えられない：6.2%

■未承認ツールの使用に対して、43.8%が「原則禁止だが例外的に承認」、40.6%が「条件付きで公認」と回答

　Q1で「はい」と回答した方に、「Q3.未承認のツールの使用に対して、現在どのような対応をしていますか。」（n=32）と質問したところ、「原則禁止だが例外的に認めている」が43.8%、「条件付きで公認している」が40.6%という回答となりました。

・原則禁止だが例外的に認めている：43.8%

・黙認している：9.4%

・条件付きで公認している：40.6%

・特に制限を設けていない：0.0%

・その他：0.0%

・わからない/答えられない：6.2%

■その理由、「代替となる社内システムの提供が間に合っていないから」「業務効率の低下を避けたいから」など

　Q3で「わからない/答えられない」以外を回答した方に、「Q4.その理由を教えてください。（複数回答）」（n=30）と質問したところ、「代替となる社内システムの提供が間に合っていないから」が53.3%、「業務効率の低下を避けたいから」が50.0%、「部門ごとに必要なツールが異なるから」が36.7%という回答となりました。

・代替となる社内システムの提供が間に合っていないから：53.3%

・業務効率の低下を避けたいから：50.0%

・部門ごとに必要なツールが異なるから：36.7%

・承認プロセスの負担が大きいから：33.3%

・従業員からの要望が強いから：26.7%

・管理・運用の人的リソースが不足しているから：23.3%

・利用が既に広がっているから：16.7%

・その他：3.3%

　ー無用な衝突を避けたいから

・わからない/答えられない：0.0%

■「利用部門の業務効率化につながるから」や「社員からの要望が強かったから」などの理由も

　Q4で「わからない/答えられない」以外を回答した方に、「Q5.Q4で回答した以外に、未承認ツールの使用を容認している理由があれば、自由に教えてください。（自由回答）」（n=30）と質問したところ、「利用部門の業務効率化につながるから」や「社員からの要望が強かったからです」など13の回答を得ることができました。

＜自由回答・一部抜粋＞

• 利用部門の業務効率化につながるから。

• 顧客使用要求。

• 実際問題として、IT部門が世の中に出ているツール類を全部評価・チェックできない。

• 社員からの要望が強かったからです。

■93.8%が、未承認ITツールの業務利用による「セキュリティリスク」を実感

　Q1で「はい」と回答した方に、「Q6.あなたは、未承認ITツールの業務利用に、セキュリティリスクを感じますか。」（n=32）と質問したところ、「非常に感じる」が34.4%、「やや感じる」が59.4%という回答となりました。

・非常に感じる：34.4%

・やや感じる：59.4%

・あまり感じない：6.2%

・まったく感じない：0.0%

・わからない/答えられない：0.0%

■懸念しているセキュリティリスク、「不正アクセス」や「機密情報の外部流出」が上位

　Q6で「非常に感じる」「やや感じる」と回答した方に、「Q7.具体的にどのようなセキュリティリスクを懸念していますか。（複数回答）」（n=30）と質問したところ、「不正アクセス」が73.3%、「機密情報の外部流出」が70.0%、「マルウェア感染」が53.3%という回答となりました。

・不正アクセス：73.3%

・機密情報の外部流出：70.0%

・マルウェア感染：53.3%

・アカウントの乗っ取り：40.0%

・データの消失・破損：36.7%

・システム間連携による脆弱性：36.7%

・その他：0.0%

・わからない/答えられない：0.0%

■未承認ITツールの利用が生じる原因、「承認済みツールの機能不足」が約7割

　　Q1で「はい」と回答した方に、「Q8.未承認ITツールの利用が生じる主な原因は何だと思いますか。（複数回答）」（n=32）と質問したところ、「承認済みツールの機能不足」が68.8%という回答となりました。

・承認済みツールの機能不足：68.8%

・承認済みツールの使いづらさ：37.5%

・アクセス権限の管理コスト：37.5%

・ITリテラシーの個人差：37.5%

・新しいツールへの対応遅れ：37.5%

・セキュリティポリシーの形骸化：31.2%

・特権ID・パスワードの管理負担：28.1%

・部門間での認識の違い：25.0%

・その他：3.1%

　ー客先が利用を指定する

・わからない/答えられない：3.1%

■未承認ツール利用を抑制するための対策、「シングルサインオンの導入」が51.6%で最多

　Q8で「わからない/答えられない」以外を回答した方に、「Q9.未承認ツールの利用を抑制するために、承認済みのツールや社内環境では、どのようなことが必要だと思いますか。（複数回答）」（n=31）と質問したところ、「シングルサインオンの導入」が51.6%、「セキュリティレベルに応じた制限」が48.4%、「従業員向け教育プログラム」が48.4%という回答となりました。

・シングルサインオンの導入：51.6%

・セキュリティレベルに応じた制限：48.4%

・従業員向け教育プログラム：48.4%

・パスワードレス認証の導入：38.7%

・URLアクセス制御：35.5%

・アクセスログの管理：35.5%

・特権ID・パスワードの集中管理：32.3%

・定期的なセキュリティ診断：32.3%

・承認プロセスの簡素化：32.3%

・データ暗号化：29.0%

・その他：3.2%

　ー適切な代替手段の提供

・わからない/答えられない：3.2%

■まとめ

　今回は、大企業（従業員数1,000名以上）の情報システム担当者108名を対象に、大企業のシャドーITに関する実態調査を実施しました。

　まず、大企業の約3割で、承認されていないツールの利用が見受けられ、具体的には、「無料クラウドストレージ」（59.4%）などが利用されていることが分かりました。また、未承認ツールの使用に対して、43.8%が「原則禁止だが例外的に認めている」、40.6%が「条件付きで公認している」と回答し、その理由として、「代替となる社内システムの提供が間に合っていないから」（53.3%）や「業務効率の低下を避けたいから」（50.0%）を挙げました。一方で、93.8%が、未承認ITツールの業務利用による「セキュリティリスク」を感じており、特に「不正アクセス」（73.3%）や「機密情報の外部流出」（70.0%）を懸念しています。さらに、未承認ITツールの利用が生じる原因としては、「承認済みツールの機能不足」が約7割にのぼり、未承認ツール利用を抑制するための対策では、「シングルサインオンの導入」が51.6%で最多となりました。

　今回の調査では、大企業におけるシャドーITの実態と課題が浮き彫りになりました。サイバー攻撃の高度化や情報セキュリティ関連規制の強化が進む一方で、業務効率の追求から未承認ツールの利用をやむなく容認する企業も少なくありません。情報漏洩やマルウェア感染といったリスクを十分に認識しながらも、従業員の業務ニーズと企業のセキュリティポリシーを両立させることが、大きな課題となっています。特権ID・パスワードの統合管理やシングルサインオン導入などの技術的対策と、従業員教育の両面からアプローチすることで、利便性とセキュリティを両立させたIT環境の構築が求められているでしょう。

---

■ストレスフリーで数十万台に繋げられる内部統制ツール「SMART Gateway」とは

　SMART Gatewayは、「組織内部のセキュリティリスク軽減に貢献するツール」です。各組織・企業において、情報漏洩などのインシデントリスクがあり、その原因として、「不正操作や誤操作・うっかりミス」など "組織内部" に起因するものがありますが、SMART Gateway はそのようなリスクの軽減に貢献するいわば【オペレーション上のガードレール】の役割を果たします。（参考動画：https://youtu.be/E9AJTN_DtwI）

例えば、社内でアクセスできるサイトを限定する「URLフィルタ」を使うと、アクセスしてほしくないサイト、使用してほしくないSaaSやクラウドへのアクセスが制御され、また、そのようなサービスへの接続を含めしっかり録画することなどで、シャドーITのリスクが軽減されます。

SMART Gatewayは、「組織内部のセキュリティリスク軽減に貢献するツール」です。各組織・企業において、情報漏洩などのインシデントリスクがあり、その原因として、「不正操作や誤操作・うっかりミス」など "組織内部" に起因するものがあります。SMART Gateway はそういったリスクの軽減に貢献します。これまで大手通信事業会社や官公庁、自治体、金融機関と言った厳しいセキュリティレベルを求められる先での導入実績を積み上げてきました。1台のSMART Gatewayサーバで数十万台を管理可能で、同時に1,000セッションの録画が可能など、一般的なシステムの数十倍のコストパフォーマンスを実現しています。

当社の承認ワークフロー機能は、多様な業務プロセスに柔軟に対応できる設計となっております。一部の特殊なニーズについては、課題をお伺いしお客様のご要望に合わせた最適な解決策をご提案させていただきますので、ぜひお気軽にご相談ください。

▼詳しくはこちら

SMART Gateway 製品情報リンク：https://www.bosco-tech.com/smart-gw/

---

■株式会社ボスコ・テクノロジーズについて

　自動化・仮想化・セキュリティの技術開発を強みに、国内最大手通信事業会社の基幹システム開発、官公庁のネットワークシステム開発に従事し、情報社会インフラ、交通社会インフラを支えてきました。また、ソフトウェア製品 SMART Gateway を開発し、官公庁、自治体、国内大手企業を始め多数の組織に展開しています。

URL　　：https://www.bosco-tech.com/

所在地　：東京都港区西新橋一丁目 6 番 13 号　虎ノ門吉荒ビル 4F

設立　　：2012年2月29日

代表　　：林 經正

事業内容：社会インフラ・サービス開発事業、技術コンサルティング事業