第56回 良かれと思って使ってしまう「シャドーIT」とは?
古いシステムにイライラ……
大企業のITシステムは、機能の追加・変更が継ぎ足されて肥大化していたり、堅い規則に縛られていていたり、社員の生産性を阻害してしまうことも多い。会社では時代遅れで最適ではないシステムを使わざるを得ず、社員はフラストレーションを抱えていることもあるだろう。
より良いソリューションがあることを知っていても、会社でそのような製品が導入されるかどうかは上層部の判断による。仮に上層部を説得できたとしても、ハードウエアやソフトウエアを新規調達し、会社全体で実装されるまでには数カ月から数年かかるかもしれない。
個人のメールやデバイスを仕事で使用
このような事情が重なると、特に技術に詳しい社員は上司やIT担当者には相談せずに、企業のIT体制を横目で見ながら、独自に問題を解決したいという衝動に駆られてしまうものである。こうして経営層や情報部門を通さずに、企業の「陰」で非公式にIT関連の運用をすることを「シャドーIT」という。
例えば、私用のメールボックスを会社で使うことや、会社からは良いツールが提供されていない、またはストレージ容量が十分でないなどの理由で別のクラウドサービスやアプリを利用することがこれに該当する。
社員が個人のデバイス(マウスやキーボードに始まり、ノートパソコン、スマートフォン、ウェブカメラ、無線LAN アクセスポイントなどに至るまで)を無許可で社内に持ち込み、勝手に会社のインフラに組み込むというケースもある。10年前は「BYOD」(BringYour Own Device)、すなわち私的デバイスの活用は「現代的」とされていたが、現在ではむしろセキュリティーリスクの要因と考えられている。
シャドーITのリスクを回避するために
社員が自分の頭で考え、会社のために革新的なツールを使ってより良い仕事をしようとすることは、本来は歓迎すべきことだ。しかしその一方で、シャドーITにはさまざまなリスクも潜んでいる。
まず、経営層はITシステムの実態を把握できなくなり、データ主権が失われてしまう恐れがある。また、社員が独自に利用するクラウドは、その多くが米国企業のサービスだ。そのため、個人データが国外に移転される場合のGDPR(EU一般データ保護規則)違反などの法的リスクが発生する可能性があることも忘れてはならない。
このようなリスクを回避するためには、社員の要望や懸念の声には早期に耳を傾けることと、ハードウエアやソフトウエアの選択と実装のためのプロセスを導入することが肝要である。その際のベストプラクティスとして、新しく導入するソリューションは、通常のネットワークや日々のIT運用からは常に切り離されたテスト環境で、綿密に検証すべきとされている。そして社員は、ITの改善が必要と判断したら独断で行動せず、上司に相談しよう。
シャドーITの問題に効果的に対応し、情報漏えいを防ぐには、こうした地道な方法が不可欠だ。