ジョーシスは、SaaS管理リスクの実態をテーマとしたプレス向け説明会を開催した。
シニアエコノミストの川端隆史氏は、2018年ごろに話題になった「2025年の崖」を振り返り、そこから6年が経過した現在も「一部企業を除き、効果的な対処はできていない」と指摘した。同氏は「DX」と言いながら実際には「デジタイゼーション」(アナログデータをデジタルデータに変換するプロセス)や「デジタライゼーション」(デジタル技術を活用したビジネスプロセスの改善・効率化)といった段階にとどまっている例が多く、その先にある「本来のDX」(企業の在り方を根本的に改革するコーポレートトランスフォーメーション)にまで至っていないことが多いと指摘した。
ジョーシス シニアエコノミストの川端隆史氏
最近大きく報道された某食品会社が統合基幹業務(ERP)システムの刷新に失敗した結果、長期にわたって主力製品の出荷が止まってしまった事例などにも触れ、「急ピッチでDXを進めた弊害」が多数見られることも指摘した。
その上で、川端氏は「レガシーシステムに対してSaaSの導入が一気に進んだことがDXの主役というか影の立役者なのか、非常に重要な点である一方、ITガバナンスの欠如も生んでしまっている」ことを課題として挙げた。同氏は「SaaSを中心にしてDXを行っていく、オンプレミスからSaaSになっていく。まずクラウドの世界があり、その一部としてSaaSが出てきているが、便利になったのはいいものの、ガバナンスへの対応がまだ固まっていない」と問題提起した。
川端氏は、SaaSの急増によって引き起こされる課題として「煩雑なID管理作業の増大」や「ヒューマンエラーのリスク増大」を挙げた。そのほか、現場や個人の判断で導入されてしまうSaaSが「シャドーIT」となってガバナンス問題を引き起こし、退職者のIDが削除されないことで外部からのアクセスを許してしまい、情報漏えいにつながるリスクが生じているとし、DXを見据えたITガバナンスの要諦としてSaaS管理に取り組むことの重要性を強調した。
ジョーシス VP of GTMの芹澤倫史氏
続いて、VP of GTMの芹澤倫史氏がSaaS起因の情報漏えい問題について解説した。同氏はまず、2023年9月に報道されたSaaSからの情報漏えいで逮捕者が出た事件を取り上げた。これは建設業の人材派遣会社で発生したもので、同業他社へ転職した容疑者がもとの会社で使用していた名刺管理のクラウドサービスにアクセスしたのに加え、転職先の会社内でログインのためのID/パスワードを共有して営業活動などに活用し、個人情報保護法違反(不正提供)などの疑いで逮捕されたというもの。
退職者のアカウントを放置せず無効化しないといけない、という話はID管理の基本として繰り返し指摘されているが、それが実際にどれほどの被害につながり得るかを実証してしまった形となっている。
芹澤氏はこの件を内部不正として位置付けた上で、内部不正が発生する条件として「動機」「機会」「正当性」の3つを挙げ、「この3つの条件がそろうと内部不正しやすいと言われている」と紹介した。この場合、動機となるのが転職である。業界内で人材の取り合いが起こる中で、人材の価値を左右するのが「経験」「人脈」「業務知識」であり、「それらを証明するエビデンスがデータとなってしまうため、会社の情報を抜き出してエビデンスとして見せたいという気持ちになる」という。
従来の社内システムから情報を抜き出そうとすると大量のファイルをダウンロードするなどの手間が掛かり比較的発見も容易だったが、SaaSに移行したことで情報のコピーが簡単になった上、転職が増えたことでSaaSのアカウントを管理する担当者の作業が追い付かない状態になっていることが不正の実行につながっているという。
