「シャドーIT」を放置することで生じる、2つの経営リスクとは：把握できていないことも危険（2/3 ページ）

[横手絢一，ITmedia]

リスクを把握できていない状態こそ、最大のリスクになり得る

　総じて言えるのが「何がリスクか分かっていない状態が、そもそものリスクである」ということです。シャドーIT対策を行う上でSaaSアカウントの棚卸をして、コスト最適化を図っていくことは経営管理の観点で非常に重要な要素です。

　その一方でジョーシスが行った調査によると、「従業員ごとに利用しているクラウドサービス （SaaS）を全て把握できていますか」という質問に対し、「全て把握できている」と回答した企業はわずか18.7％と2割にも至っていないのが現状です。

従業員が使っているSaaSを把握していない企業は多い（出典：ジョーシス）

　SaaSアカウントの棚卸や管理については、従来のパソコンやモバイルといったデバイス管理とは異なり、マンパワーでは運用できないほど複雑化しています。従業員1人に対して10を超えるような貸与でも、有形資産であれば把握がしやすく手動で管理表を更新することで事足りていました。

　一方、無形資産の場合、従業員1人に対して10を超えるようなアカウントを付与するSaaSツールになると、アカウント有無や権限管理、パスワードなど、多岐にわたって情報を管理しなければならず、スプレッドシートやエクセルでの管理では限界が出てきます。

　ツールごとにデータをCSV（「カンマで値を区切ったもの」が入っているファイル）でダウンロードし、VLOOKUP（ブイ・ルックアップ：表データを縦方向に検索し、特定のデータに対応する値を取り出す）関数などを駆使して管理ができないわけではありません。

　ただ手動管理をしようとすると、ツールによってはCSVに対応していない、入退社者が出るたびにダウンロードをしなければならない、などの問題にぶつかります。年々SaaSツールが増えていく状況を踏まえれば、ヒューマンリソースでは追いつかないのが現実でしょう。

　このようにSaaSのアカウント管理、発行・削除なども追いついていない状況で、棚卸などの可視化とシャドーITリスクの洗い出しまでを現在のリソースで対応していくのは至難の業（わざ）と言えます。

　前述した調査結果では以下のような数字も出ています。「シャドーITの検知・対応ができていますか」という質問に対し、検知対応が完璧にできていると回答したのは19.4％と2割以下。このように、冒頭に述べた「何がリスクか分かっていない状態が、そもそものリスクである」ことに対して、対策が打てていない企業はまだまだ多く存在するということになります。

シャドーITの検知・対応ができていない企業は全体の8割にも上る（出典：ジョーシス）