「シャドーIT」を放置することで生じる、2つの経営リスクとは：把握できていないことも危険（3/3 ページ）

[横手絢一，ITmedia]

従業員のITリテラシー教育と利用状況の可視化を両輪で

　企業が把握していないところで、次々と新たなSaaS利用が増えていることが「シャドーITによるリスク」とすれば、対策において「従業員のITリテラシー向上」は非常に重要です。取り組みの実例として、企業内で情報セキュリティに関する研修や教育プログラムを行っているケースも増えています。

　代表的なのは、情報セキュリティにおける一般的な内容を網羅したISMS（情報セキュリティマネジメントシステム）研修です。しかしながら、研修内容をアップデートしていかなければ、現状の「シャドーIT撲滅」にはつながりません。

　そのため、企業によってはかなり踏み込んだ内容で研修に組み込んでいるケースもあります。例えば、業務中には仕事に関係のないNetflixやYouTubeを見ないことや会社のメールアドレスで申請なくSaaSツールのアカウントをつくらないことなど、より分かりやすく具体的な事例を示すことがキモになってくるでしょう。

　シャドーITの放置は重大なセキュリティ事故につながることもあり、経営リスクにもなりうるものです。IT部門としてリスク対策を講じるために、まずSaaS利用状況を知って「誰が」「何を」「どのくらい」使っているかを可視化すること。そして同時に「なぜリスクなのか」を従業員に理解浸透させ、今の時代に沿ったリテラシーをつけてもらうこと。この2軸を両輪で回していくことが重要だと言えるのではないでしょうか。

著者プロフィール：横手絢一

ジョーシス株式会社　CPO

　ジョーシス株式会社CPO。1991年京都府生まれ。京都大学卒業後、2014年に三菱商事に入社。「タイヤ販売･交換」のECサービス「TIREHOOD」の立ち上げに参画、同事業責任者を務めたのち、株式会社BEADの取締役COOを経て、20年にラクスルに入社。現在、ジョーシス株式会社のCPOを務める。