　既存のITインフラへの多大な投資による期待を背景に、投資したモノ自体の運用だけにどうしても気が取られがちな経営者や管理者たち――彼らはまさしく「インフラの重力に魂を縛られた人々」と言える。もちろん既存ITインフラの管理は決して軽視できないが、それだけではシャドーITの脅威には対処できないのである。

自社に潜むシャドーITを発見する2つのポイント

　ここまでで（1）無許可のWebサービスを悪意なく仕事で使ってしまう「ニュータイプ社員」、（2）既存ITインフラの運用管理に目を奪われ、業務の実態にまで注意が届かない「インフラの重力に魂を縛られた人々」――という2つの存在が見えてきた。こうした中、企業は自社に潜むシャドーITをどのように発見すべきだろうか。

　1つ目のポイントは、「既存ITインフラの管理だけでは不十分であること」を認識することだ。IT管理者は慢性的な人手不足の中、自社で用意したインフラのセキュリティ対策に追われがちになる。しかし脅威はその“外側”にもあることを認識することが、シャドーITを発見するための第1歩である。

ニュータイプは使いづらい企業ITの生み出した社員の悲しい変種かもしれない　※写真はイメージです

　そして2つ目のポイントは、業務の実態と“従業員のニーズ”の間にあるギャップを理解することだ。

　ニュータイプ社員によるシャドーITの業務利用。これはそもそも、企業が従業員に対して適切な業務環境を用意できていないからこそ起きる問題だ。例えば「会議の記録を効率よく保存したい」「外出先でも社内システムのデータにアクセスしたい」「社外のメンバーと効率よくファイル共有したい」といった際、企業側が用意しているルールやシステムだけでこれらを実現することは意外と難しいのだ。

　ニュータイプ社員はシャドーITを駆使し、いかなる状況でも業務効率を下げない努力を行おうとする。例えば、帰社後に自宅のPCで顧客宛ての見積書を作成し、自分の会社アドレス宛てにメールで送っておき、翌朝の出社後に会社アドレスから顧客に見積書を提出する――といった具合だ。この場合、もちろん自宅のPCに顧客情報は残ったままである。

　また、筆者が最近経験した例を挙げると、名刺に手書きで「自分の個人メールアドレス」を記しておき、仕事のどんな依頼内容に対してもそのアドレスから昼夜関係なく返信する大手企業のベテラン営業がいた。個人アドレスであるため誤送信対策が施されているはずもなく、私宛てに全く無関係のメールが誤送信されてきたことも何度かあった。このベテラン営業が今もセキュアに業務を進められているのか、不安は残るばかりである。

シャドーIT自体は“悪”ではない？

前のページへ 1|2|3 次のページへ