IT部門の業務は多岐にわたります。会社のネットワークを構築し、それぞれの部門に適切に稼動するマシンを配備し、すべてがスムーズに運用されるようにする責任があります。さらにセキュリティと安定性にも配慮しなければなりません。
どのような組織においても、また、全ユーザーがルールに従って操作していたとしても、このようなIT業務は大変な業務です。そこに、昨今では、シャドーITという強いプレッシャーが追加され、IT部門の業務はますます複雑化しています。
多くの部門で、あるいは個々の社員が、ITのレーダーをかいくぐってIT部門の知らないうちに、あるいはITの認可がないままアプリケーションを調達します。プライス・ウォーターハウス・クーパーズ(PwC)の調査によると、調査対象会社のIT支出の15から30パーセントが、正式なIT予算以外から支払われていました。
一般社員にはBYODが便利
この ITの急激な拡大は、「シャドーIT」と呼ばれて問題になっています。「シャドーIT」とは、「承認されていないIT製品またはITサービス」、あるいは、「IT部門が関与しないまま獲得されたすべてのアプリケーション」などと定義されます。
そもそもどうして「シャドーIT」が急増しているのでしょうか?様々なデバイスが職場で使われるようになり、個人デバイスの持ち込み(Bring Your Own Device, BYOD)に対する垣根は低くなり、(制約をつけるとしても)ある程度許容する会社も増えています。ただ、問題を生じさせているのは社員の個人デバイスそのものではありません。個人デバイスで使われているソフトウェアやアプリケーションが問題となります。ソーシャルメディア・プラットフォームやクラウド・ベースのアプリケーションを監視するのは大変困難です。Facebook Messenger や Dropbox などのプラットフォームを、IT管理者の見えないところで使い、ファイルの送受信を行ったりアプリケーションを走らせたりすることができてしまいます。
承認されていないソフトウェアがネットワーク上で使用されると様々な問題が起こります。帯域幅を大量消費することになり、ネットワークに遅延が生じます。ネットワークの遅延はコンプライアンスの問題にもつながりますし、データシェアリングしていれば悪影響も大きくなります。こういった問題は、ただでさえ忙しいIT部門に余計な負担を課し、不本意な追加予算が必要になる場合もあります。
問題はかなり深刻です。PwCの調査によると、IT管理者の半数がシャドーITを管理するために予算の50%が使われていると感じています。これは歓迎できる事態ではありません。ネットワークスペシャリストが400人のIT管理者に対して行った調査で、12%が最も強く希望するのは「シャドーITに光をあてて照らし出す」ことだと言っています。同時に、社員が、業務で使うコンピュータにどんなアプリケーションが入っているかを明示してくれたら、日々の仕事がずっと楽になるとも述べています。
時代に合わない調達プロセス
これほど問題が多いのに、なぜIT部門の承認を得ないで勝手にアプリケーションをダウンロードする社員がいるのでしょうか?IT部門での管理を回避したがるのでしょうか?個人への問い合わせを含むいくつかの調査で、3つの理由が判明しました。
- IT部門は対応が遅く行動力に欠ける。
- 特定のアプリケーションを提供し動作させるための専門知識がIT部門にない。
- IT部門の管理下に置くと複雑になり過ぎ、費用がかかり過ぎる。
シャドーITがはびこるのは、基本的に多くの企業のIT部門の調達プロセスが首尾よく機能していないことに起因していると言えるでしょう。数十年にわたって使われてきたプロセスは、再検討・再設計する時期に来ています。
何のためにシャドーITが必要なのかについても、もっと考慮する必要があります。それぞれの企業が、社員の要望をきちんと把握し、シャドーを抜け出ても効率的、効果的に業務を遂行できるようにする方策を立てなければなりません。それがひいては社員の勤労意欲の向上にもつながります。
一般社員の視点
社員は、そうしたくてIT部門の手続きを回避している訳ではありません。たいていは、早急に解決するべき具体的かつ深刻な問題があるのです。時間がかかるIT調達手続きをとるよりも、インターネットを介して安価なクラウド・ベースのソリューションを利用する方が当然はるかに簡単です。
Dropbox のような顧客ベースのアプリケーションは簡単にデータ転送できるツールとして、ユーザーの日常生活でよく使われます。会社でも同じように使っていいのではないかと考える社員が出てくるのも不思議ではないでしょう。メールにサイズが大きいファイルを添付できない場合、Dropbox へのリンクを作れば問題はすぐに解決します。操作は本当に簡単です。
シャドーIT問題を解決するための5つの方策
IT部門は、社員がこのようなプラットフォームを使っていることで生ずる問題を解決する必要があります。やみくもに禁止しようとしても反発を買うだけです。次に挙げるようなシャドーITの影響を軽減する方策を使い、社員から協力を得られるように対話を深めることが求められます。
- ネットワーク管理ソリューションを使用することが最初のステップです。問題が発生する前に、承認されていないアプリケーションを検出することができます。そのようなソリューションの1つにフローモニタがあります。
- 問題を分析する際は、ネットワークの帯域幅使用量が見えることが重要です。ユーザー、デバイス、アプリケーションがどこでネットワークの容量を超えて帯域幅を使用しているかがわかれば、ネットワーク管理者はそこから解決の糸口を見つけられます。
- 監視システムは問題があるデバイスを速やかに特定できなければなりません。誰がどんなデバイスを使って何にアクセスしていますか?
- ネットワークが遅延したり停止したりする原因につながる問題箇所は迅速に解明される必要があります。ネットワーク全体が明瞭に可視化されていれば問題解明に大いに役立ちます。
- 社員がクラウド・サービスを使うのを阻止したいなら、組織で独自のアプリケーションを用意したり類似のツールをインプリメントしたりすることが考えられます。そうすれば、データの安全性も保てますし、コンプライアンス規定を遵守するよう周知できます。
シャドーITをコントロール
シャドーITは必ずしも不利益ばかりを生じさせるわけではありません。調達手続きの複雑さが問題視されてよりシンプルに改善されたり、業務上の問題の迅速な解決に結びつく場合もあります。
ただ、そのようなシャドーITの効用は高いセキュリティが求められる環境では歓迎されません。セキュリティ重視の環境においては、シャドーITをなくすだけでは不十分で、暗闇にできる限りの光をあててネットワーク全体で何が起こっているのかを隈なく把握することが必要になります。シャドーITを阻止したり否定するだけでは、現実を直視しているとは言えません。
監視ツールを使うと、ネットワークのパフォーマンスをチェックでき、アプリケーションの可用性を監視できると同時に不正使用の防止にもつながります。それでも、シャドーITのコントロールには、IT調達プロセスをきちんと再検討して無駄を省き、迅速に調達できるようにすることが不可欠です。