Sphere System Consulting ltd. スフィアシステムコンサルティング株式会社

Vol.59 シャドーITと向き合う

 コラム

シャドーITと向き合う

 

社内のIT部門は情報システムを管理をする役割があります。しかし、管理外の利用がトラブルをもたらす場合があります。それがシャドーITと呼ばれる問題です。

 

私物のスマートフォンやタブレットまたはPCで、会社の許可を得ずに業務に利用してしまうことを指し、管理外でのITと言う意味でシャドー(影の)ITと呼ばれます。

 

シャドーITは、無許可で使われる端末が情報漏えいにつながる可能性があることから問題視されています。

 

シャドーITの広がる背景には便利なWEBサービスの普及があります。

 

便利なクラウドサービスはWEB上での情報共有や効率化に役立ちます。これらを完全に制限することは難しく、情報漏えいなどのセキュリティ事故を防ぎつつ安全な利用環境を用意することが理想です。

 

このシャドーITの問題は、規模の小さい企業にとっては対応が難しいのが現実です。規模が小さい組織では良くも悪くも公私混同が起きます。必然的に対応の優先順位は下がるので
小規模の組織ではあまり関係のない問題と言えます。ただし、組織が大きくなればいずれどこかで対応を迫られる問題ではあります。

 

シャドーITにはもう一つ別の意味があります。

大規模組織においては、事業部門が主導で情報システムを導入し、IT部門が関与しないシステムが生まれる現象があります。これもまたシャドーITと言える現象です。
いわば、シャドーシステムとも呼べるこの現象は、その背景に、事業部独自でシステム導入した方が早いといった理由が存在します。

 

理由はどうあれ、本来はIT部門が管理すべきシステムに例外を生むことになり、会社全体で見れば効率の悪い無駄を生む状況となります。

 

シャドーシステムは、システム導入に対する責任部署をどこに置くかの問題ではなく、IT部門という本来情報をすべて管理すべきところに情報が集約しないことが問題です。

2つのシャドーITを述べましたが、解決方法はその企業の状況によって様々です。

大事なのは、管理という「光」に対する「影(シャドー)」であり、完全に消滅させることは不可能という前提を知る事です。どんな方法で解決するかに関係なくこの前提を知る必要があります。

 

管理にも「コントロール」なのか「マネジメント」なのか2つの意味があります。
あやつる意味の強いコントロールではなく、主体性を持ったマネジメントの思考ができるかどうか。シャドーITを解決することは発生のコントロールではありません。むしろコントロールなど不可能です。

 

問題が発生している現場に向き合い、そこで求められている解決法を提示するしか方法はありません。