シャドーIT（shadow IT）とは、業務で使用されるIT端末やソフトウェア、サービスのうち、企業が把握していないものを指す。従業員や部門の独自の判断にてデバイスやソフトウェアが導入、利用されているが、情報システム部門など企業の管理側が承認していない、あるいは把握していない状態である。企業が管理できていないため、企業全体のセキュリティに影響を及ぼす可能性がある。

従業員による独自判断で利用されるデバイスやソフトウェアは適切な管理下にないことが多く、脆弱性への対策がおろそかになりやすい。そのため情報漏洩や端末の紛失、マルウェア感染などさまざまなリスクが増大する。

シャドーITに対して、従業員の個人所有のIT端末を業務で使用することを許可する状況を「BYOD (Bring Your Own Device)」と呼ぶ。企業による承認を受けて管理下にあるため、一定のセキュリティ対策を取りやすくなる。