どうする？　把握できない“シャドーIT”のリスク--情シス担当者が語る 「現場の悩み」 - (page 3)

クラウドの存在に悩む情シス、打開策はあるのか

--それではこうした「野良クラウド」には、どのように対応していけば良いと考えていますか？

情A：リスクがあることを社員側に教育をすることが大事だと考えています。

オープンソースやHTTPSのような情シスにとっては当たり前の言葉も、現場の人間には「？？？」になってしまうので、簡単な言葉で伝えるよう努力をしています。弊社で昔あった話ですが、Dropboxに5GB以上ものデータを入れてしまった社員がいました。同じフォルダを共有していた社員の中には5GBが保存できない人もいて、他の業務に支障を出してしまったそうです。

共有しやすい便利さがある裏には、こうした意図せず周りに迷惑をかけてしまうこともあると意識してもらわなければなりません。

情B：社員が個人の感覚で使っているので教育も難しいですよね。セキュリティ、つまりは情報を守るって実は運用の話なんだと考えています。

アメリカでは、入社する段階で社員とNDA契約を結ぶ会社も多いそうです。この契約が野良クラウド利用や個人のIT活用にも大きく影響するという調査結果を読んだことがあります。情Aさんのお話を聞いていて、社員側にリスクと共に責任も理解して貰わないといけないように感じました。

--セキュリティは、「起きた」時には意味をなさず、「起きそう」を防ぐために存在しています。それ故に投資対効果が見えず、なかなか経営者も首を縦に振れないことも情シス担当の悩みのひとつですね。

情A：獲得できるであろう売り上げをなくしてしまうかもしれない、これを防ぐのがセキュリティ、情シス部門の役目なんだと思っています。しかし、費用対効果を重視されてしまうと、導入を決めるまでに大きな労力、時間がかかります。そして、導入した後でも効果が出ているのか、都度都度で図式化して見せなければならない苦労があります。この労力がまた、情シス部門を苦しめてもいます。

情B：J-SOX法が盛り上がったときは、経営者に「やらないとまずいですよ」と言えたのですけど、いまは「業務を改善しよう」という流れで伝えないといけないので、効果の図式化を求められることは格段に増えましたね。

情A：ストレージ容量もどんどん膨らんでいってますよね。だから設備投資もし続けていなければならない。しかし、「何で今までと同じではダメなんだ」と返されてしまうことはあります。

--情Bさんは、先ほど、オンラインストレージを使っていると仰っていましたが、セキュリティ面はどのように確保しているのですか？

情B：弊社が利用しているのは、オンラインストレージでも外部のクラウド環境にデータを保存するのではなく、社内サーバをクラウドのように利用する「DatAnywhere」というソフトウェアを使っています。社員はDropboxを使う感覚で利用し、私たち情シス担当は今までと変わらず社内のファイルサーバを管理するのみで権限などの管理の二重化を回避でき、利便性を損なわずセキュリティ面も確保できるんです。

--なるほど、外部にデータを保存するオンラインストレージサービスではなく、社内のハードウェアが活用できるオンプレミス型に目を向けたんですね。

情A：クラウドサービスが登場して、ITを利用するハードルは下がりました。そのため、他部署は情シス部門の仕事が減ったように感じるかもしれません。しかし、ITの“リテラシー”は以前と変わっていないため、情シスの仕事は増えており、実効性の高い方法もとれないなど、「クラウド」が大きな悩みのタネにもなっているんです。社員のニーズ、経営者のニーズ、私たち情シスのニーズを満たせるのであれば、下手にクラウドサービスにこだわらわず、オンプレミス型に目を向けても良いのかもしれませんね。