編集部からのお知らせ
新着記事まとめPDF「IBM分社のキンドリル」
ZDNet Summit 2021開催のご案内

企業を襲う「シャドーIT」問題--リスクを最小限に抑えるために - (page 2)

Nick Heath (TechRepublic) 翻訳校正: 川村インターナショナル

2014-06-26 07:30

  1. ベンダーロックイン

     サービスの利用をやめて、自社のデータを削除することがどれだけ容易にできるかを検討しなければならない。データやビジネス機能との関連で考えると、ロックインはどこまで許容できるだろうか。

どこに注意を向けるべきか

 BBCでのクラウド申込みのプロセスを監督するため、同社はクラウドポリシーを管理する中核的なグループを設置した。このグループは、法務、情報ポリシー、セキュリティ、アーキテクチャ、ITデリバリなど、さまざまな部門の代表者に加えて、多数のユーザー代表者で構成されている。

 主な役割は、クラウドサービスの使用状況を監視し、こうしたサービスの導入に関してBBCが規制、通知、連絡を行うべき方法を検討することだ。Boyns氏によると、グループはクラウド使用ポリシーの策定と伝達を行うほか、コンプライアンスワークフローも決定するという。このワークフローに従うことで、従業員は検討すべき項目を1つずつ確認していくことができる。

 「組織内の人間が利用できるワークフローを作成する。従業員がさまざまな質問をするのを支援し、最終的に次のようなことを言えるようにさせる。『事業継続性とデータの機密性、サービスの重要度を考慮すると、次のことが可能だ』。例えば、『欧州連合内のプライベートクラウドであれば、データを預けても大丈夫だろう』」

 大まかに言うと、この中心グループの責務は次のとおりだ。

  1. 市場の把握

     ビジネスユーザーに自分のニーズに応えるベンダーや製品にはどのようなものがあるのかを教えて、どの地域から調達すれば安全なのかをアドバイスする。

  2. 調達

     クラウドプロバイダーからの調達の仕組み(例えば包括契約)を決めて、より簡単にサービスに申し込めるようにする。そうした仕組みがあると、契約条件やコンプライアンスなどに関して組織が安心感を抱いているベンダーを引き立てることができる。

  3. 仲介サービスを設ける

     クラウドサービスの利用には作業の増加が伴う。例えば、複数のベンダーとの契約やサービス管理、課金体系に対応する必要がある。社内グループとサードパーティーのどちらがそうした作業を担当すべきなのかを考えなければならない。

  4. プライベートクラウドホスティング

     パブリッククラウドサービスが適切でない、または存在しないところにプライベートクラウドサービスを構築する。この作業は、社内のIT担当者、またはサードパーティーベンダーが行う。

 これらの取り決めは、従業員による自前でのサービス調達に起因するリスクに企業が対処するうえで役立つかもしれない(現代のビジネスで、このシナリオは実際に発生しているようだ)、とBoyns氏は述べた。

 「組織には、さまざまなクラウドサービスのニーズを持つさまざまな人間が存在する。IaaSを利用してソリューションを導入したいと考える技術者かもしれないし、ビジネスプロセスに照準を合わせたものを求めるビジネスリーダーかもしれない」

 「私は、これがクラウドサービスの正しい利用方法だと言っているわけではないが、従業員による自前でのサービス調達をやめさせるのは極めて困難だ。したがって、従業員がほかの選択肢を探す必要性をほとんど感じないようなサービスが出てくるまで、われわれはそうした従業員の行動に伴うリスクの軽減方法を考えていかなければならない」

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]