これらの「クラウド無法地帯」による問題点は、実際にクラウドサービスを利用する個人観点での問題と、その利用者やサービスを抱える企業としての観点での問題の2つに大別できる。
(1)利用者の業務における問題点
一言でクラウドサービスを利用するといっても、各クラウドサービスのサービスレベルやその品質は多岐にわたっている。
そのため、各事業部門や利用者個人が独自にクラウドサービスの導入を判断した場合、業務に直接的に影響がある機能要件やコスト面には目が行くものの、可用性や機密性など、非機能要件についての検討がおろそかになり、その結果、システム障害やセキュリティインシデント等が発生した際、適切な初期対応ができず、より大きな問題に発展するケースがある。
このケースにおいて想定される問題の具体的な例としては、バックアップやログの取得といった仕組みが検討されず、災害などが発生してデータが喪失した際に復旧ができないことや、セキュリティインシデント発生時に必要なログが取得できず解析ができないことなどが挙げられる。
さらに、利用者や事業部門が独自にクラウドサービスを導入していることで、情報システム部門との連携も不十分となり、障害やインシデントの対応やサービスの復旧に遅延が生じ、業務影響が拡大することも懸念される。
このような問題は、短期に見れば利用者や事業部門単位での問題と言えるが、中長期的には企業全体の問題になり得るリスクをはらんでいる。
(2)全社のガバナンスが及ばないことによる問題点
前回は、情報システム部門がクラウド化のトリガを引くことが全社的なITガバナンスの強化につながると説明したが、情報システム部門がクラウドサービスを推進したところで、実際にサービスを導入する際に、利用者が個人単位、あるいは事業部門単位で独自に対応を進めることにより、情報システム部門がシステムの全容を把握できないことになるため、ITガバナンスが及ばない部分が発生する。
これにより、OSやアプリケーションへのパッチファイル適用や、アンチウィルスをはじめとするセキュリティツール等の管理が行き届かなくなり、結果、組織としてのセキュリティレベルが担保できない可能性がある。
個人情報の漏えいなどのセキュリティインシデント例
さらに、長期的にみると、既に利用されなくなったサーバやデータを情報システム部門が把握できず、クラウド上に放置されるなど潜在的なセキュリティリスクにもつながる。
一方で、これらの事態を防ぐため企業としてのガバナンスを効かせようとしても、既にクラウドサービスの乱用が進んでしまっている状況では、情報システム部門における管理は煩雑になる。結果としてクラウドサービスを含む企業全体でのITシステムの管理コストは増加し、クラウドサービスの導入がマイナスに働いてしまう可能性がある。