従業員がIT部門の許可を得ずにクラウドサービスを調達する問題について、BBCのインフラストラクチャ部門責任者がアドバイスする。
企業が好むと好まざるとに関係なく、従業員がIT部門の許可を得ずにクラウドサービスを調達し、業務で利用するようになってきている。
このようにSaaSなどのサービスを無許可で調達する問題への対処が困難だったことから、BBCは多面的なアプローチによって解決を試みることにした。
同社はこの慣習の根絶を試みるのではなく(多くの人がこのアプローチには効果がないと考えている)、従業員によるクラウドサービス利用に伴うリスクを最小限に抑えようとしている。
BBCのインフラストラクチャ戦略およびアーキテクチャ部門を統括するPaul Boyns氏は、ロンドンで開催のCloud World Forumで次のように述べた。「こうしたサービスを利用する従業員が知っておくべきことは何なのか、ということに注目している」
「われわれが制御できることもあれば、影響を及ぼしたいと思うこともある。これは長い旅だ。クラウド利用のあり方についてBBCが全体として一貫したビジョンを持ち、適切な管理や監視ができるようになるまでには、実際のところ、かなりの時間がかかるだろう」
Boyns氏は、従業員が自分自身と組織にとって適切なクラウドサービスを利用できるよう支援するに当たって、対処すべき8つの項目を挙げた。
- クラウドサービスなのかどうかを見分ける方法を教える
従業員にマネージドサービスと社内サービスの違いを理解させる。そうすることで、申し込もうとしているものが「この捉えどころのないクラウドというカテゴリに分類される」かどうかが分かるようになる。
- どういう場合にクラウドを使っても大丈夫なのかを伝える
自分の実行したい作業に適したクラウドサービスを判断できるようにする。
扱うデータの種類やビジネス機能の重要度といった要素によって、タスクがパブリッククラウドでの実行に適しているかどうかが決まることや、データを特定の地域のデータセンターに保管する必要があるかどうかなどを検討することについて、ユーザーを教育する。
- サービスの調達方法を検討する
皆さんの組織には、検討中のクラウドサービスをより簡単に、あるいはより有利な条件で調達するための仕組みがあるだろうか。
- 細かな条件に注意する
従業員が契約しようとしているサービスの諸条件に注意する。自社のデータの所有権をベンダーが主張できるような条件には、特に注意が必要だ。
「組織の一般のチームメンバーに、発注しようとしているサービスの条件を決める権限が与えられることはほとんどないだろう」(Boyns氏)
「組織にとって好ましくない条件で、従業員が組織を代表して契約を締結するのに必要なのは、ボタンを1回クリックすることだけだ」
- セキュリティリスクに注意する
従業員が社内のサービスとサードパーティーのサービスに同じログイン情報を使用する、といったリスクに注意する必要がある。
- コンプライアンスを確認する
こうしたサービスに預けるデータは、どんな規制の対象になるだろうか。例えば、そのデータは英国データ保護法などの情報保護法の対象なのだろうか。また、プロバイダーが米国愛国者法(編集部注:テロ攻撃に対応するための米国の法律。テロリズムと戦うことを目的として、情報収集に関する規制など、政府当局の権限を大幅に拡大させている)などの下でデータを共有する義務を負っている場合、自社が自国の情報保護法に違反してしまうことにならないだろうか。
- アプリに目を光らせる
不正行為を働くアプリケーション1つのために、組織が代償を支払う羽目にならないよう注意する必要がある。
「クラウドベンダーは、アプリケーションの挙動がおかしいと判断した場合、ソフトウェア制限を課すことがある」(Boyns氏)
これらの制限には、クラウドサービスが提供するAPIへのアクセスのブロックや制限などがある。
「こうした制限が、顧客であるBBCに課された事例もある。その場合、組織内の別のアプリケーションの挙動がおかしいと判断されたために、そのAPIを全く問題なく使用しているほかのアプリケーションも突然、制限の対象になってしまう」