現場の部門が勝手にITサービスを導入
情シスは「シャドーIT」にどう対応するか
2017.05.18
「シャドーIT」という言葉をご存知ですか?
多くの企業では、ITの利用についてポリシーを定め「会社で認めていない個人の端末や機器、クラウドサービスなどは利用してはならない」という約束を作っているものです。しかし実際の業務の現場では、以下のような出来事が起こりがちではないでしょうか。
・個人的に持ち込んだパソコンやスマホに会社のデータを保存して、自宅へ持ち帰って仕事をする
・メールの添付ファイルやファイル共有サービスなどを使って会社のデータを社外に持ち出す
・顧客とのデータ共有に会社規定の仕組みを使わず、スタッフが自分で用意したファイル共有サービスを利用してしまう
・無線LANのアクセスポイントを勝手に設置してしまう
このように、スタッフが当面の業務が進めやすいよう、会社の許可を得ることなく、勝手にデバイスを持ち込んだりITサービスを導入してしまうことを「シャドーIT」と言います。
今回は、シャドーITの危険性や情シスとしての対応策を考えていきましょう。
シャドーITのリスク
スタッフが個人のPCで会社のデータを持ち出した場合、会社で決められたセキュリティポリシーに満たない環境で、会社のデータが保存されてしまうことになります。
自宅でのパソコンの使われ方はさまざまです。不用意なサイト閲覧やバナーのクリックなどでマルウェアに感染してしまったら、情報漏洩につながりかねませんし、また、企業情報をコピーした個人のパソコンやデバイスを電車に忘れたり盗まれたり、といったリスクも容易に想像できます。
現場のスタッフは往々にして「自分が失敗するはずがない」と考えているものですから、そのように会社のデータを持ち出され、情報漏洩が起こるということは十分にあり得るのです。
コミュニケーションを取り、情シスも現場を知ろう
このようなシャドーITの問題は、情報漏洩などの大事故が発生するまで、なかなか会社も本腰を入れて対策を取ろうとしないものですが、いったん事故が起きてしまったら、そのダメージは決して小さくありません。そのためにも、シャドーITの芽は早めに摘んでおくべきです。
そこで重要なのが、情シスと現場が密にコミュニケーションをとって、現場が何を必要としているのか、ニーズを知ることです。
現場の部門は、多少のリスクには目をつぶってでも会社の利益を上げようとするのに対し、情シスは、会社からリスク要因を排除して安全を確保することに意識が向きがちです。そのギャップが大きければ大きいほど、情シスが現場のニーズをくみ取れないということになってしまうわけです。
まずは、情シスが現場のスタッフとよく会話して現場のニーズを把握し、その解決のためにどのようなIT上の仕組みが必要となるのかを検討してみてはいかがでしょうか。業務の効率化を実現しながらセキュリティリスクも解消するという両面で改善を進めるのであれば、会社にとってもメリットになるはずです。
現場スタッフが勝手にあるツールを導入しているとしたら、それはそのツールが現場の業務に適したソリューションだからかもしれません。
そのような場合、ツールの利用禁止を徹底したり、ツールへのアクセスを遮断するような設定にするのも対処法の1つではありますが、納得のいかないまま締め付けられた現場は似たような別のツールを使い始める、ということになるかもしれず、それではいたちごっこなのです。
いきなり大きな改善提案は難しいかもしれません。時間のかからない小さな改善を1つひとつ実現させていくことで現場の部門からの信頼度を上げ、大きな改善につなげていくとよいでしょう。
コミュニケーションを取ろうにも時間がない!
しかし、情シスの大きな悩みはいつも「時間がない」ことです。日々の運用業務の傍らヘルプデスクがあり、また、メールでシステム関連の指示をしても反応のない"困った"スタッフへの対応で時間が取られる......。その毎日の中で、現場部門のニーズをくみ取るための時間を確保するのは、容易ではありません。
そこで、現在の業務の時間を減らすためのアウトソーシングを検討してみてはいかがでしょうか。例えば、自社内で管理しているサーバーを「アウトソース」できるクラウドサービスを活用するのは、有力案の1つです。
本コラムでもご紹介しているとおり、クラウドサービスには情シスの運用負担を軽減させる要素がたくさんあります。こういったサービスを活用し軌道に乗れば、情シスが新しいことに取り組む時間をきっと確保できるはずです。
そのような時間を確保できたら、まずは現場スタッフの業務・作業を情シスのスタッフが理解することに努めてみましょう。その改善策を同じ目線で考えることでシャドーITは減っていくのです。
photo:Thinkstock / Getty Images