省庁が外部のメーリングリスト(ML)サービス「Googleグループ」の設定を間違えていたために、誰もが見られる状態になっていた――。この問題を知った時、冷や汗が流れるのを感じた、企業のIT部門は多いのではないだろうか。
この問題は、IT部門が管理できない“シャドーIT”に潜む危険性をまざまざと見せ付けたからだ。IT部門があずかり知らない端末やクラウドから機密情報が流出し、突如として企業が大きなトラブルに巻き込まれてしまう。シャドーITには、そうしたリスクが潜在していると指摘しても、言い過ぎではないはずだ。
今回の問題について、アイ・ティ・アール(ITR)のシニア・アナリストである舘野真人氏は「シャドーITに対する警告であり、IT部門は問題の意味を重く受け取るべき」と説明。管理できないシャドーITがもたらすリスクについて、どこの企業でも「情報流出といった事故が起きうる状況であり、すでに起きているかもしれない」と語り、今回のケースが局所的な問題ではないと説明する。
シャドーITは一般的に、私物のモバイル端末の業務利用を“解禁”するBYODとは正反対に、エンドユーザーが勝手に、IT部門の許可を得ずにモバイル端末を持ち込んで業務に活用する状況を指している。ここでは、その範囲を拡大して、IT部門が許可していない、管理者がいない“野良クラウド(rogue cloud)”も含める。IT部門が許可していないという点では、勝手な私物端末の持ち込みも野良クラウドも、リスクを抱えているからだ。
投資が回らなかった情報系
舘野氏は、省庁がGoogleグループを使っていた問題について、ファイル共有としても使われていたことに注目する。Googleグループのほかに、例えば「Dropbox」や「Evernote」、「SkyDrive」などファイルを共有するためにも使えるパブリッククラウドサービスは、マルチデバイスの普及とともに広まり、ユーザー数は拡大の一途をたどっている。この現象も、ITのコンシューマライゼーションの一つとも言うことができる。
舘野氏は、この状況について「企業のIT部門が情報系システムに長い間、手をつけてこなかった。投資も回せていなかった」ことが背景にあると解説する。「企業ITが後れていたために、情報系でもコンシューマライゼーションが浸透してきている」。エンドユーザーは、社外のサービスの方が利便性が高いために、ファイル共有でもパブリッククラウドを活用するというのが実態だ。
ファイルを共有するのに最も使われるのがメールでのやり取りだ。だが、メールボックスの容量には限界がある。メールには誤送信というリスクもある。いかにしてファイルを共有して業務を効率化すればいいのか。舘野氏が所属するITRにも、そうした問い合わせが2012年後半から増えてきているという。いわく「“宅ふぁいる便”に代わるものはないのか」。
もちろん企業のIT部門は、メールやグループウェアなどを含む情報系システムに手をつけてこなかったわけではない。手をつけられなかったというのが、実際の心情だろう。
IT部門の人員や予算は限られているし、やはり、企業のビジネスを回すのに必要な「基幹系システムという資産を守るのがIT部門の意識」(舘野氏)だからだ(加えて、クライアント端末の面倒を見るヘルプデスクのような仕事もあるのに、さらに仕事を増やしたくないという意識もあって、ファイル共有にまで手が回らなかったこともあるだろう)。