会社の業務を効率化する、こうしたミッションを与えられるのが、「情報システム部門(=情シス)」だ。業務システムの立案から開発、稼働後の保守運用、セキュリティの確保、エンドユーザーへの教育や問い合わせなど“IT”あるところ情報システム部門ありと言えるだろう。
中でもセキュリティに関して頭を悩ませる情シス担当者は多い。スマートフォンやタブレットの登場、新たな“クラウド”サービス、フラッシュメモリを含めた記憶媒体の多様化…社内の機密データが外部と触れる機会が増え、情シス担当の悩みは深くなるばかりだ。
今回は、情シス担当が今最も悩んでいる「シャドーIT」をテーマに、2社の担当者から匿名の形で現場の声を聞いた。(聞き手:ZDNet Japan)
“野良”クラウドが生み出すセキュリティの穴
--昨年、大手ITベンダーのクラウドサービスで大々的な情報流出が起きました。官庁の機密に当たる情報が誰でも閲覧できる状態にあり、ベンダー側で対応しても解決ができなかったなど、クラウドサービスの利点と欠点が顕著に出た一件ではないでしょうか。まず皆さんの職場では、このあたり現状はいかがですか?
情シス担当者A(以下、情A):私の会社は非IT系で、ある特殊な業界向けに人材紹介からイベント設営など幅広いサービスを提供しています。クライアントは一般企業と比べて機密性の高い情報を扱っていることもありますが、正直当社はあまりセキュリティに注意を払っているとは言えない状態にあります。
情シス担当者B(以下、情B):弊社はIT系でウェブサービスを提供しており、セキュリティ性を意識したシステム構築を行っています。しかし、完璧であるかは自信がもてません。社員しかアクセスできないファイルサーバを構築していますが、外部とやりとりの多い部署、帰宅してから仕事をしようと考えている社員は、フラッシュメモリやオンラインストレージサービスを活用しています。監視の目が行き届かないのが正直なところです。
--ITがビジネスの現場に浸透してきて、FAXによる情報伝達はメールに代わり、現在はファイル共有、共有しての編集までできるようになってきています。そして外部とやり取りも増えている。これは時代の移り変わりから必然な流れだと思いますが、そのためには、会社の“内側”をある程度オープンにしなければならない、という転換点かもしれません。したいことが自社のシステムでできなければ、どうしても外部のサービスを使ってしまいたくなる。
情B:そうですね、クラウドが登場してから、ファイル共有=クラウドの感覚ができた気がしています。コンシューマライゼーションの流れも入ってきたため、社員が個人でクラウドを使ってファイル共有をしてしまう。管理側が管理できない場所で機密情報が扱われてしまうんですよね。
情A:うちの会社ではBYODは認めておらず、業務利用するスマートフォンやタブレットは会社から支給しています。タブレットからは会社の共有ネットワークにアクセスできるが、共有サーバへアクセスして閲覧することはできません。
しかし、サーバで閲覧ができないなど、制限があると社員が感じてしまえば、社員はDropboxやEvernoteなどを使ってしまい、個人のPCに会社の情報が流れる“穴”を作ってしまいます。しかし、会社としては「使うな」としか言えないんです。
--利便性の高いクラウドサービスがたくさん現れているため、社員自らが勝手に働きやすい環境を作ってしまう。こうした「野良クラウド」の管理は情シス担当が抱えるジレンマですね。