シャドーIT対策「野良アプリ禁止」はなぜ良い結果を産まないのか?
従業員の業務環境にどんな脅威があっても状況を把握できなければ守れない。だがシャドーIT対策として「野良アプリ禁止」を強制したところで問題は解決しない。なぜか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
クラウドサービスやローコード/ノーコード開発ツールは、企業が製品やサービスの開発やプロビジョニング、カスタマイズを迅速化するのに役立つ。しかし、この種の「ビジネスの機敏性」も使われ方によってはシャドーITに起因する問題をはらむ。
知らないものは守れないが、管理者がすべきことは「禁止」ではない
「シャドーIT」という用語は、IT部門が企業のIT資産の制御と可視性を失うことのマイナス面を説明する際によく使われる。一元化された「共有サービスモデル」は、企業が俊敏性とガバナンスの間で適切なバランスをとるのに役立つ。IT部門は、組織全体のさまざまな種類のシャドーITを特定し、適切に一元化されたサービスインフラを使用して各部門がビジネス目標を達成できるように支援する必要がある。
仮想デスクトップ管理ツールプロバイダーであるNerdioの製品担当バイスプレジデントのアモル・ダルヴィ氏は「従業員がタスクを完了するために独自のソフトウェアをダウンロードすることは、一見無害に見えるかもしれませんが、ITおよびセキュリティの専門家は『知らないことや見えないもの』を保護することは困難です」と述べる。IT部門は観測不可能ゆえにシャドーITがはらむセキュリティリスクから組織を守れなくなっている。
シャドーITは、ITサポート体制に悪影響が及ぶ可能性があるだけでなく、データ共有や知識共有を複雑にする可能性もはらむ。例えば従業員が独自にアプリケーションをインストールしてしまえば、問題が発生したときにIT部門はサポートできなくなる。一方のユーザーはアプリケーションを最新の状態に保つ責任が生まれる。だがアプリケーションに適切にパッチを適用できなければ、セキュリティ上の脆弱(ぜいじゃく)性が発生する可能性がある。
「組織全体でシャドーITの使用を抑え込むにはコミュニケーションが鍵をにぎる」とダルヴィ氏は述べる。アンケート調査やヒアリング調査は、ITチームにサポートのニーズに関する洞察を提供し、従業員が仕事をより効果的に行うために作業環境に独自の外部デバイスやソフトウェアの導入を検討している理由を知るきっかけになる。その情報を利用すれば、ITチームは従業員のニーズに応える一元的なサービスを提供でき、シャドーIT導入のリスクを回避できるようになる。
変化する「シャドーITの在り方」
初期のシャドーITは、営業チームが社内システムを置き換えるためのソフトウェアをセットアップする程度だったかもしれない。しかし、統合ツールや新しいAI(人工知能)製品をはじめ、さまざまなツールが登場したことでニーズはさらに複雑になっている。
「シャドーITは進化しており、現在は『市民開発ツール』や『ローコードプラットフォーム』などの別名で呼ばれることが多く、いずれにせよテクノロジー資産の分散管理に伴う問題の本質はほとんど変わっていない」と経営コンサルティング企業Protivitiのマネージングディレクター、ジェイソン・ブルッカー氏は説明する。
重要な課題の一つは「プロセスの分岐」だ。シャドーITを管理するためにさまざまな方法を採用しており、これが管理プロセスの脆弱化につながっている。その結果、プロセスの結果に一貫性がなくなり、管理やコンプライアンスの問題が発生する可能性が高まるのだ。
ブルッカー氏は「企業はシャドーITによるアプリケーションアクセス制御の問題に遭遇することが多い」と指摘する。この問題には、過剰な権限や資格の付与や解雇された従業員の削除の失敗、シャドーITアプリケーションが独自に管理するアクセス権限リストをクリーンアップするための定期的なレビューの欠如などが含まれることもある。
共有サービスを使用してシャドーITを排除するのではなく「管理する」
米PwCのクラウドおよびデジタル戦略プラクティスリーダーであるヴェンキ・ジャヤラマン氏は「ITチームはシャドーITを特定して定量化するためにビジネスプロセスを深く理解する必要がある」とアドバイスする。このアプローチは、企業内でシャドーITがどのように使用されているか、シャドーITが解決すべきビジネス上の問題は何かを明確化するのに役立ちます。
ジャヤラマン氏によると、多くのITチームは企業データやシステムへのアクセス時点でシャドーITを管理しようとしている。不正なアプリケーションが企業内にある他の資産にアクセスするのを防ぐ厳格な制御とプロセスによって、セキュリティとデータの整合性が向上する。ビジネスチームが便利で新しいアプリケーションを見つけた場合、IT部門と協力して、そのアプリケーションを「集中サービスインフラ」の一部として承認する必要がある。
「シャドーITの一元化は、多くの場合、リソースを大量に消費し、政治的に困難なプロセスだ」とジャヤラマン氏は認める。IT部門はこの問題への対応に備えなければならない。
これらの方針に沿った時、ビジネスチームが独自シャドーITの維持に不満を感じるならば「集中型サービス」を提供するアプローチが最も効果的だ。
専門家がシャドーITの一元化について議論
テクニカルサポートを一元化し、ビジネスサービスを共有することで、大幅なコスト削減も可能になる。ただし、この利点は全てのSaaSが常に提供しているわけではない。したがって、多くのIT部門は、シャドーITを全て排除することに取り組んでいるわけではに。代わりに、コストとセキュリティを最適化しつつ、ビジネス機能にある程度の柔軟性を与える方法でシャドーITを「管理する」ことに重点を置いている。
ビジネスと技術の俊敏性が重要な場合、ビジネス機能を一元化し、サービスを共有し、シャドーITを管理するには、ハイブリッド型のアプローチが最も効果的な方法となる可能性がある。検討すべきバリエーションは複数ある。
ビジネスニーズとITデリバリーのギャップを埋めるIT部門の体制の在り方
ブルッカー氏は、「ローコードおよび市民開発者の取り組みにとって有望な方法の一つは、中央のIT部門をビジネスユーザー向けの共有サービスプラットフォームとして再配置することだ」と提案した。チームはビジネス運営と緊密に連携してアプリケーションを管理できるため、ビジネスニーズとITデリバリーとの間の従来のギャップを解消する。IT部門は、アクセスと変更管理の定義と運用に集中し、それらのプロセスを管理するツールを提供できる。継続的な監視によって、ビジネス管理のアプリケーション環境の問題を検出し、修正できる。
一元化されたサービスについて適切な売り込みを行う
多くの場合、分散型シャドーITアプローチから共有サービスモデルに移行する取り組みは、否定的な監査レポートなどの有害なイベントによって推進される。「積極的なITリーダーは、組織がこの種のリスクを排除できるよう支援する方法を決定し、シャドーIT資産を管理するビジネスパートナーに一元化されたサービスが提供できる利点に焦点を当てる必要がある」とブルッカー氏はアドバイスした。
ITリーダーは、プロセスの自動化を進めるメリットと、ローコード/ノーコードツールによってIT部門が効率的な「IT as a Service」モデルを提供する方法をもっと主張すべきだ。例えばIT部門は、営業部門がクラウド販売プラットフォームをどう管理しているかを分析することから始めてみると良いだろう。
おそらく彼らはプラットフォームの変更を手動で構成する。このため、エラーやテスト、トラブルシューティングが発生する可能性がある。監査への対応もリスクだろう。
ブルッカー氏は「『営業チームの作業負荷を軽減し、その速度を高めるメリット』に焦点を当てて考えることで、一元化された共有サービスのアプローチによってITチームがどのように営業プラットフォームの監視と制御を強化し、束縛されていないシャドーITのセキュリティリスクを軽減できるかどうか」を実証できると述べた。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- 「アダルトビデオが無料です」――IE標的のトロイの木馬に要注意
ITmediaはアイティメディア株式会社の登録商標です。