調整さんの利用を会社は禁止すべきか

発端はこれです。

飲み会の日程調整に「調整さん」を使ってる人は多いと思います。登録不要で出欠確認をできる便利ツールの定番です。リンクのポストでも幹事が使ってたとあります。SaaSといえばSaaSなので、会社が許可してなければ禁止するというのは妥当な気もします。その一方で、ここに機密情報なんて書かれることがあり得ないので受け入れがたいと思う人も当然いるでしょう。

今回はこれをいちセキュリティ専門家として解説していきます。

どこにでもある典型的なシャドウITの問題

セキュリティの設計は常に「何を何から守るか」を考える仕事です。
今回の問題は典型的なシャドウITの問題です。シャドウITは今回みたいに社員が好き勝手にSaaSに情報入力することのないように統制し、会社が許可したSaaSを利用させるように促します。ぶっちゃけ、社員のリテラシーが高ければ好き勝手にSaaSを利用しても問題になることはないと思います。でも実際にはそうはならない。大企業でも未許可のSaaSから情報漏洩が相次いでシャドウITを厳しく管理する傾向は強まっています。
日本企業だけでなく、世界中で割と問題になっています。セキュリティ意識が強いアメリカ企業は、さらに好奇心も強いので個々に好き勝手なツールを使って結局情報漏洩の原因を作るようなことは結構あります。高級なSASEなんか入れて通信を可視化してしっかり管理する要員がふんだんにいるのに、シャドウITの管理が甘くてセキュリティインシデントを起こす、みたいなことはあります。（世界中そんなもん）

しかし、調整さんはそもそも業務情報を入力する余地がほとんどないツールですしユーザ情報すら登録しません。ここから漏洩する情報はありません。守るべき情報はないのです。

ルールのバランスを考える

「セキュリティが業務の足かせ」となってはいけません。調整さんを使うことは業務ではないですが、スプレッドシートを作って管理して社内でツールとして受け継いで運用していくとなると業務に近づいています。元々発生してない仕事が増えています。業務の生産性を犠牲にしているともいえます。
なるべくだったら制限は少なければ少ないほうがいいのです。そもそも本業で十分な利益を出せなければセキュリティに投資することはできません。日本企業のセキュリティ予算は少ないです。人員もツールも十分ではない状態で本業で働く人の枷になるのは非常にいびつです。
ですので、調整さんを利用禁止とすべきではなったのです。

類似の話では生成AIもあります。生成AIこそ機密情報を入力すべきではないと慎重になる企業は多いです。しかし、現実にはプラットフォーム側が機密情報の扱いには慎重になっているので、リスクはかなり小さいです。それでもSaaSの中では生成AI利用がリスクを抱えているのは確かです。ですが、世界中が必死にAIを活用しようとしているこの時代に生成AIをまったく使わないのは企業にとって大きなリスクです。むしろ、会社は社員に生成AIを使ってくださいと促すべきフェーズにあります。
それでも「生成AIを原則禁止」とする会社は少なからずあります。WindowsにはCopilotが標準搭載されて、ネット検索の結果は勝手に生成AIが要約してくれる時代に禁止は無理があります。なので禁止のルールがあっても形骸化しているのです。
じゃあどうすればいいかといえば、「SaaSも生成AIも正しく使ってください」と促すべきでしょう。

本当にリスクはないのか

調整さんにリスクがないのか。完全にリスクがゼロというものはセキュリティの世界にはあり得ません。
非常に高度なサイバー犯罪者が調整さんのサービスを改ざんし、訪れた人にマルウェアをばら撒くようなリスクも想定できないことはありません。月間800万人も訪れる有名サイトですから、ここが汚染されれば巨大な水飲み場攻撃が成立します。
しかし、そんなことを言っていてはインターネットを使うことができなくなります。リスクとしては無視していいレベルでしょう。むしろ日本人しか利用しないサービスなので高度な侵害のリスクは低いと思います。

それ以外のリスクは思いつきません。「社名」「機密プロジェクト名」「氏名」などフルで入れる人がいれば怪しくなってきますが、万が一そういう人が存在するなら通報されたら指導に従うべきでしょう。
ただ、攻撃者目線だと適当なことを入力しうるサイトから情報を窃取しようとは思わないでしょう。

シャドウITはどこまで規制すべきか

ファイルの持ち出しができるとか、情報の持ち出しに使えるツールはある程度慎重になってもいいとは思います。それでも、必要な理由があるなら正しく使ってもらうことが大事です。
管理する側は、どんなサービスを使っているかを正しく把握することが大事です。会社が管理してないAWSアカウントがあるとか、Slackがあるとか、そういうものは有事に情報がないと後手に回ってしまいます。
個人端末でSlackを使った人が同期機能でマルウェア感染を業務端末に同期してしまった事件もありました。
こういう対策のために、正しくルールを周知することと、有事に状態を把握できるような体制にするのが望ましいといえます。

少なくてもSaaS利用を許可制にするのは微妙です。せめて登録制にして、機密情報を扱わない限りはゆるく使ってもらってもいいとは思います。これは会社の性格やリテラシーにもよります。
許可制でも成り立つと思いますが、通報を受けた担当者が「調整さんは禁止」とするのはやりすぎだと思います。
前述のとおり、何を守るためのルールなのか説明ができないからです。

だって、ネットのサービスを許可制といっても、たぶん守られてないですよ。Google検索もYahoo!もBingも全部登録されてます？検索エンジンも翻訳サービスも他にも業務情報を入れるサービスあると思います。
会議だってZoomやTeamsだけではありません。先方の都合で新しいツールのインストールを求められる場合もあるでしょう。セミナー参加するためにマイナーなツールを使うこともあるでしょう。
開発のためにインストールが必要なツールやパッケージや、AWSの新機能で配布されたツールとか、追いきれないと思います。

なので、業務の邪魔にならない程度に要点を管理していくのがいいと思います。セキュリティ担当者の仕事だってシャドウITだけではないので、ほどほどがいいと思います。