働き方改革の機運が高まり、多くの企業が働き方改革を実践するのに伴い、個人所有のデバイスやアプリケーションが業務で使われる可能性も増えています。その方が業務をスムーズに回せていたとしても、放置すれば責任の問題など大きなトラブルになりかねません。こうした「シャドーIT」をどのように対策すればよいのでしょうか。
全2回 「テレワーク」時代の今知るべき「シャドーIT」のリスクと対策
《第1回》ガバナンスとセキュリティを脅かすシャドーIT
単に禁止しても業務部門から反発を招くだけ
シャドーITによるリスクを食い止めるには、シャドーITの使用を制限するしかありません。ただし闇雲にそれを着手する前に、なぜユーザーがシャドーITを使ってしまうのか、情報システム部門はその理由を考える必要があります。一番の理由として考えられるのは、会社が用意しているIT環境だけではニーズを満たしきれていないからということになるでしょう。
例えばこういう事例があります。ある企業ではシャドーITをなくそうとコンシューマー向けのオンラインストレージを使用できないようにしました。ところが業務部門のユーザーは、別のオンラインストレージを探して使おうとしたそうです。そうしたイタチごっこを何度か繰り返したのち、A社の情報システム部門は業務部門に対し、会社が指定したサービスとツール以外は使わないようにしました。すると、業務部門から「それでは仕事にならない」という苦情の声が上がったそうです。
結局のところ、シャドーITが使われていたのは、外部のビジネスパートナーと情報共有するための手段の使い勝手が悪いためだったといいます。情報システム部門が主導してツールを導入したものの、定着化を図るためのユーザートレーニングなどが十分でないことも大きな原因でした。
つまり、シャドーITで使われているクラウドサービスを単に「禁止する」というルールを押し付けたところでシャドーITをなくすことは難しいのです。
情報システム部門がまずやるべきなのは、言われたポリシーや要件に従うだけではなく、業務部門のユーザー視点によるニーズを把握することです。そのためにはコミュニケーションが必要です。業務部門への聞き取りを行い、ニーズを聞いた上でシャドーITの代替となるツールの候補を探します。そして業務部門に提案し、了解を得てからツールを導入するのです。情報システム部門が独断で選ぶのではなく、業務部門を巻き込んで決めることが大切です。これならば業務部門のユーザーも決定に従わざるを得ないし、そもそもユーザー視点の使いやすいツールが導入されていれば、シャドーITの発生を抑えられるはずです。
鍵を握るのは「ユーザー視点の使いやすいツール」
では、どんなツールならばシャドーITを抑止できるのでしょうか。もちろんニーズや用途によって選択するツールは変わってくるので一概には言えませんが、例えばMicrosoft Office 365やG Suite(Google Apps)のようなコラボレーションとコミュニケーションの機能を1つにまとめたクラウドサービスを導入するのも一つの解決策になるでしょう。そこまでの機能は不要という場合には、情報共有の場として、セキュリティ対策やバックアップなどの機能が充実したビジネスユーザー向けのオンラインストレージを選んでもよいでしょう。
とはいえ、シャドーITを完全になくすことは簡単ではありません。業務の利便性ではなく、悪意を持って情報を流出させようとするユーザーが存在する可能性もゼロはないからです。そこで対策の1つになるのが、クラウドアプリなどのシャドーITを可視化できる「CASB(Cloud Access Security Broker)」と呼ばれるツールです。
CASBは、米ガートナーが提唱したもので「複数のクラウド事業者と利用者の間にコントロールポイントを置き、クラウド利用の可視化や制御を行う仕組み」を指すものです。ユーザーがアクセスするクラウドサービスを可視化して機密情報の持ち出しを監視・制御するとともに、セキュリティポリシーに準拠していることを監査するなどの機能を備えており、クラウドサービスの利用が多くなる今日、シャドーIT対策に有効なツールとして注目を集めています。
また、業務部門のニーズの把握を一度きりにするのではなく、継続的に聞き取るスキームを作ることが望ましいでしょう。ユーザーがどのツールを使っているのかをモニタリングして数値化して、対策を図るなどITサービスマネジメント(ITSM)の考え方を取り入れ、次なる改善へと結びつける仕組みを構築する必要があります。資産管理ツールや先述のCASBの管理機能もこれに役立つでしょう。
これらのツールをうまく使いこなせば、シャドーITはおのずと減少し、セキュリティ対策と社内の利便性向上を前進させることができるはずです。