企業を襲う「シャドーIT」問題--リスクを最小限に抑えるために

Nick Heath (TechRepublic) 翻訳校正: 川村インターナショナル 2014年06月26日 07時30分

  • このエントリーをはてなブックマークに追加

 従業員がIT部門の許可を得ずにクラウドサービスを調達する問題について、BBCのインフラストラクチャ部門責任者がアドバイスする。

 企業が好むと好まざるとに関係なく、従業員がIT部門の許可を得ずにクラウドサービスを調達し、業務で利用するようになってきている。

 このようにSaaSなどのサービスを無許可で調達する問題への対処が困難だったことから、BBCは多面的なアプローチによって解決を試みることにした。

 同社はこの慣習の根絶を試みるのではなく(多くの人がこのアプローチには効果がないと考えている)、従業員によるクラウドサービス利用に伴うリスクを最小限に抑えようとしている。

 BBCのインフラストラクチャ戦略およびアーキテクチャ部門を統括するPaul Boyns氏は、ロンドンで開催のCloud World Forumで次のように述べた。「こうしたサービスを利用する従業員が知っておくべきことは何なのか、ということに注目している」

 「われわれが制御できることもあれば、影響を及ぼしたいと思うこともある。これは長い旅だ。クラウド利用のあり方についてBBCが全体として一貫したビジョンを持ち、適切な管理や監視ができるようになるまでには、実際のところ、かなりの時間がかかるだろう」

 Boyns氏は、従業員が自分自身と組織にとって適切なクラウドサービスを利用できるよう支援するに当たって、対処すべき8つの項目を挙げた。

  1. クラウドサービスなのかどうかを見分ける方法を教える

     従業員にマネージドサービスと社内サービスの違いを理解させる。そうすることで、申し込もうとしているものが「この捉えどころのないクラウドというカテゴリに分類される」かどうかが分かるようになる。

  2. どういう場合にクラウドを使っても大丈夫なのかを伝える

     自分の実行したい作業に適したクラウドサービスを判断できるようにする。

     扱うデータの種類やビジネス機能の重要度といった要素によって、タスクがパブリッククラウドでの実行に適しているかどうかが決まることや、データを特定の地域のデータセンターに保管する必要があるかどうかなどを検討することについて、ユーザーを教育する。

  3. サービスの調達方法を検討する

     皆さんの組織には、検討中のクラウドサービスをより簡単に、あるいはより有利な条件で調達するための仕組みがあるだろうか。

  4. 細かな条件に注意する

     従業員が契約しようとしているサービスの諸条件に注意する。自社のデータの所有権をベンダーが主張できるような条件には、特に注意が必要だ。

     「組織の一般のチームメンバーに、発注しようとしているサービスの条件を決める権限が与えられることはほとんどないだろう」(Boyns氏)

     「組織にとって好ましくない条件で、従業員が組織を代表して契約を締結するのに必要なのは、ボタンを1回クリックすることだけだ」

  5. セキュリティリスクに注意する

     従業員が社内のサービスとサードパーティーのサービスに同じログイン情報を使用する、といったリスクに注意する必要がある。

  6. コンプライアンスを確認する

     こうしたサービスに預けるデータは、どんな規制の対象になるだろうか。例えば、そのデータは英国データ保護法などの情報保護法の対象なのだろうか。また、プロバイダーが米国愛国者法(編集部注:テロ攻撃に対応するための米国の法律。テロリズムと戦うことを目的として、情報収集に関する規制など、政府当局の権限を大幅に拡大させている)などの下でデータを共有する義務を負っている場合、自社が自国の情報保護法に違反してしまうことにならないだろうか。

  7. アプリに目を光らせる

     不正行為を働くアプリケーション1つのために、組織が代償を支払う羽目にならないよう注意する必要がある。

     「クラウドベンダーは、アプリケーションの挙動がおかしいと判断した場合、ソフトウェア制限を課すことがある」(Boyns氏)

     これらの制限には、クラウドサービスが提供するAPIへのアクセスのブロックや制限などがある。

     「こうした制限が、顧客であるBBCに課された事例もある。その場合、組織内の別のアプリケーションの挙動がおかしいと判断されたために、そのAPIを全く問題なく使用しているほかのアプリケーションも突然、制限の対象になってしまう」

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]