「シャドーIT」と「ゼロトラスト」 ――JSOX改正下で避けて通れないIT内部統制の最前線

2025.09.24

DXの光と影――利便性の裏に潜む統制リスク

デジタル化による変革――DX（デジタルトランスフォーメーション）は、もはや選択肢の１つではなく企業経営にとって欠かせないものとなりました。営業活動の効率化、サプライチェーンの可視化、顧客体験の高度化など、デジタル技術の導入によって企業は新しい競争力を手に入れています。しかし、その光が強くなるほど、影も濃くなります。その影の代表例が「シャドーIT」です。シャドーITとは、企業のIT部門が把握・管理していないまま現場で（個人契約のアカウントなどで）使用されているアプリケーションやクラウドサービスなどのことを指します。最近では以下のような例が挙げられます。

クラウドストレージサービス：Google DriveやDropbox
チャットツール：LINEやSlack、Chatwork
生成AI ：ChatGPT（テキスト生成）やMidjourney（画像生成）、Genspark（スライド作成）
MA（Marketing Automation）ツールや業務支援アプリ

こうしたツールは、現場や個人の利便性を優先するあまり、セキュリティポリシーやガバナンスの枠組みの“外”で使われることが多く、気づけば業務の中心に入り込んでいることも少なくありません。

シャドーIT――利便性と危うさの裏表

シャドーITは、業務を行う現場から見れば「仕事を早く進めるための道具」です。たとえば、営業担当者が自宅から迅速に資料を顧客に共有するために、個人契約のGoogle Driveを使うことが考えられます。マーケティング部門が急ぎのキャンペーンを立ち上げるために未承認のMA（Marketing Automation）ツールを利用すること、エンジニアが未承認の生成AIにプロンプトを入力し、プログラムの試作をスピーディーに進めることもあるでしょう。
しかし、こうした個人契約・未承認のツールは企業の情報セキュリティ方針の外にあり、セキュリティパッチ(※)の適用状況、データの保存先、アクセス権限の設定、通信経路の暗号化などが把握できません。

※OSやソフトウェアの既知の脆弱性（セキュリティ上の弱点）やバグを修正するための更新プログラム

シャドーITは「セキュリティ懸念」だけにとどまらない

シャドーITは単なる情報セキュリティ上の問題にとどまらず、統制不備、法令違反など、経営リスクにもつながりかねません。具体的には下記のような事象が考えられます。

利用実態が把握されず、インシデント発生時の責任の所在（利用者・部門・管理者など）が曖昧になり、対応が遅れる
個人情報や社内の機密データが国外サーバーで処理されることで、セキュリティインシデントが発生した際、適応される法律が不安定
アクセス制御・監査証跡（ログ）の不備により、統制が機能していることを証明できない

このような状態を放置すれば、企業としての信頼性を損なうだけでなく、内部統制の不備として監査法人から重大な指摘を受ける可能性もあります。特に2024年4月に施行されたJSOX(※1)改正では、シャドーITの存在そのものが内部統制の基本的枠組み上で重大なガバナンスの欠陥と見なされるリスクが明示的に高まりました。 (※2)

仮に情報流出が発生し、その経路に「未承認のストレージ」があった場合、その責任は法人だけでなく、関与した個人にも及ぶ可能性があります。現実に発生すれば、経営・現場の双方に深刻な影響を及ぼす事案となりかねません。こうした背景から、上場企業や上場準備企業だけでなく、ガバナンス体制の整備を進めているすべての組織にとって、シャドーIT対策はもはや避けて通れないテーマなのです。

※1 上場企業における財務報告の信頼性の確保を目的とした内部統制報告制度
※2 金融庁(2023) 「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」https://www.fsa.go.jp/news/r4/sonota/20230407/20230407.html

ゼロトラスト思想――「信頼しない」から始まる防御

従来の企業セキュリティは、「社内ネットワークは安全で、外部からの侵入を防げばよい」という境界防御モデルが中心でした。しかし、クラウドサービスの普及やリモートワークの活性化により、社内と社外の境界は意味を失いつつあります。社員は自宅や出張先、カフェ、さらには海外からも業務システムにアクセスし、データはクラウド上で日々やり取りされます。このような状況下では、「一度認証すれば後は信頼する」という前提は成立しません。こうした背景のなかで、注目されているのがゼロトラストのセキュリティ思想です。これは、「すべてを信頼せず、すべてを常に検証する」という原則に立つ、新しいセキュリティ設計の考え方です。

ゼロトラストの基本原則

ゼロトラストの実践は、単なるセキュリティ対策の強化にとどまらず、「統制の効いた業務運用の仕組み化」にもつながります。中核となる原則は以下の通りです。

すべてのアクセスに対する検証
▪️利用者の本人確認（ID）、利用端末の状態、接続場所、利用時間などを都度検証する
アクセス制御
▪️利用者の役割や業務に応じて、アクセスできる情報や操作を限定する
操作・行動の常時監視と即時遮断
▪️ 異常な操作や通信があれば、即座に遮断・通知する
証跡の取得と保全
▪️アクセスログや操作履歴を確実に記録し、内部統制の実効性を担保する

たとえ社内ネットワークからのアクセスであっても、「社内だから信頼する」という前提は取らず、すべてのアクセスを同じ基準で厳格に検証します。これにより、内部犯行やアカウント乗っ取り、設定ミスによる情報漏洩といったリスクを大幅に低減できるのです。

JSOX法改正とIT内部統制の新潮流

前述の通り、2024年4月、JSOXの改正が施行されました。この改正は、単なる制度変更ではなく、企業の内部統制のあり方そのものに対する問い直しとも言えます。従来、JSOXの統制対象は主に財務報告に重要な影響を及ぼす可能性のある情報でした。しかし改正により、ESG(※)、人材、サプライチェーン情報といった非財務情報の信頼性確保も重視されるようになり、内部統制の対象は広範囲に拡張されています。これに伴い、情報を管理する手段としての「IT統制の強化」も企業にとって避けて通れないテーマになっています。

監査法人の評価スタンスも変化しています。とくにITにおいては、以下の観点が重視される傾向にあります。

クラウドサービスの選定や外部委託先の管理が適切に行われているか
シャドーITの温床となるような IT統制上の管理漏れが発生していないか
開発・変更・運用の各フェーズにおいて、統制が設計・運用されているか

この文脈で重要視されているのが、統制の実効性です。つまり、「仕組みがあるか」だけでなく、「実際に機能しているか」「証跡をもって説明できるか」が問われる時代に入りました。実際、アクセスログや監査レポートなどの電子的な証跡（エビデンス）を提示できなければ、「統制が形骸化している」と見なされ、監査意見に影響する可能性もあります。言い換えればこれまで以上に、説明責任の果たし方が統制の質を左右する要素になっているのです。

※Environment（環境）、Social（社会）、Governance（企業統治）を考慮した投資活動や経営・事業活動を指す。

監査法人・規制当局の視点と経営層の役割

こうした中で、監査法人や規制当局はシャドーIT対策やゼロトラスト導入を「IT内部統制の実効性」として評価します。その判断基準となるのは、統制設計の妥当性、運用の継続性、改善サイクルが組み込まれているかどうかです。つまり、形式だけのルールや手順書ではなく、「ガバナンスが実際に機能しているかどうか」を重視しています。運用の裏付けとなるエビデンスの存在が、評価の成否を左右します。

このような評価環境の変化に対し、経営層が果たすべき役割も進化しています。IT内部統制はもはや単なる法令順守のための形式的対応にとどまるものではないと考えられます。むしろ、取引先・株主・従業員といったステークホルダーの信頼を得るための「戦略的投資」と捉える必要があります。IT内部統制の強化は企業価値向上の起点となり得ると言えるでしょう。

実践シナリオ――可視化から文化へ

ゼロトラスト導入の第一歩は、現状の可視化です。シャドーITの常態化が疑われるような場合は、ネットワーク監視やASM（Attack Surface Management） (※1)のサービスを活用して、社内で実際に利用されているすべてのクラウドサービスを洗い出します。この棚卸し結果を基に、リスクの高いツールは利用を停止したり、会社で正式に契約し公式ツールとして統制下に置き換えたりします。同時に、例外や逸脱が発生した際にも、記録が必ず残るようルール整備を進めることが重要です。
その上で、次のステップでは、以下のように、ゼロトラストの構成要素を段階的に導入していきます。

短期：MFA（Multi-Factor Authentication）(※2) などの多要素認証やEDR（Endpoint Detection and Response）(※3) の導入による端末管理の強化
中長期：CASB（Cloud Access Security Broker）(※4) やSIEM（Security Information and Event Management） (※5)によるアクセス・ログの一元管理を通じたより動的な統制の実現

このプロセスにおいて重要なのは、現場とのコミュニケーションを増やし、セキュリティを「業務の妨げ」ではなく「業務を支える仕組み」として捉えてもらうことです。ルールを押し付けるのではなく、現場とともに設計・改善を重ねることで、セキュリティ遵守の文化が定着していきます。

※1 外部（インターネット）からアクセス可能なIT資産の情報を調査し、それらに存在する脆弱性を継続的に評価する取り組みのこと
※2 ID・パスワードに加え、生体認証や端末確認など複数要素で本人確認を行う仕組み。
※3 PCやスマホ等の端末を常時監視し、不審な挙動を検知・対応する仕組み。
※4 クラウドサービス利用を可視化・制御し、シャドーIT対策やデータ漏洩防止を行う仕組み。
※5 ネットワークやシステムのログを一元管理し、相関分析で脅威を検知・監査証跡を提供する仕組み。

まとめ：「守りの統制」から「攻めの統制」へ

シャドーITは、もはや現場の業務効率化では済まされず、企業経営にとって致命的なリスクとなりつつあります。そしてゼロトラストは、単なるセキュリティ強化にとどまらず、内部統制を企業価値向上の手段のための戦略に変える鍵として注目され始めています。DXが進む時代だからこそ、IT内部統制も「守りの姿勢」から「攻めの姿勢」へと転換すべきときに来ています。IT内部統制は、単に不正を防ぐ仕組みではなく、投資家・取引先・従業員からの信頼を勝ち取る戦略そのものになり得ます。

お問い合わせはこちら