ITスペシャリストコラム

ビジネスのデジタル化で進むシャドーIT。セキュリティ事故は誰の責任?

ビジネスにスピードが求められ、ICTの利用スタイルもどんどん多様化しています。例えば、遠く離れた開発グループや研究チームのメンバー同士が連絡を密にするためにクラウドサービスを利用したり、開発データの一時的な保管場所としてオンラインストレージを活用したり、それが他の団体、企業の間で行われることもよくあるケースです。これらは事業部門が直接クラウドサービスを契約し運用していることが少なくありません。

このようなシャドーITの利用は、当然情シス部門の管理範囲外となりますが、もしセキュリティ事故が起きたら・・・。今回はクラウドの運用で問題となることが多い「管理とセキュリティ」についてお答えします。

なぜ外部のクラウドサービスを使うのか

事業部門が独自にクラウド利用を始めるのは、クラウドサービスが備える対応のスピード感に大きなメリットを見出しているためです。

事業部やプロジェクトなどの単位で個別に導入するクラウドも、安全に使われているのであれば問題はありません。シャドーITで問題なのは、その運用と管理が中途半端になりがちなことでしょう。

たとえば、あるメンバーが設定した共有ファイルが、そのプロジェクトが完了した後も残っている場合があります。また、メンバーが他部署に異動し、クラウド上のアカウントが放置状態になることもあります。このような例は分かりやすいものですが、いずれも悪意ある人物が利用すれば情報漏洩の原因となるセキュリティホールとなってしまいます。

一部門のセキュリティ事故も、会社全体の問題に

シャドーITの問題は、万が一情報漏洩などが発生すれば、会社全体としてのイメージを大きく損なうことにあります。

社内の一部門が勝手に始めたサービスとはいえ、問題が起きれば、それを言い訳にはできません。シャドーITでのセキュリティ確保をどうするか。管理の範囲外とはいえ情シス部門や総務のIT担当者が頭を悩ませるのはこのためです。

シャドーITを作らなくても良いクラウドメニューを用意する

事業部門のクラウドに対する期待はスピード感であって、独自に利用することが目的ではありません。

そこで、事業部門や研究部門の要望に情シス部門が先回りし、これらに対してスピーディに提供可能なクラウドを情シス部門が用意しておくという対処法が考えられます。つまり、情シス部門が窓口となり、クラウドサービスを社内に提供するのです。

このようにして用意したクラウド環境は、必ず情シス部門を経由して契約するサービスになります。このため、その内容は会社のセキュリティポリシーやガイドラインに合致した、ガバナンスが利いたものとなります。また、コストを含めた運用面も情シス部門が管理できることになります。

成功のポイントは、メニューを絞って、分かりやすく、スピーディに

この方法を成功に導くポイントは、情シス部門が提供できるクラウドの内容をメニュー化して、利用したい事業部門にはその中から選んでもらうことです。

メニューは、サービスレベルとセキュリティレベルを軸に数種類くらいが妥当でしょう。あまり種類が多いと管理が煩雑になります。さらに、クラウドを利用する事業部門の要望を個別に聞きすぎると、サービスの提供開始が遅れます。クラウドを利用する事業部門ごとに差ができ、管理負荷がますます高まり、全体へのサービス提供がスピーディに行えなくなるでしょう。これでは、クラウドのメリットを大きく損なうことになってしまいます。

少しくらい機能性を我慢してもらうくらいのイメージで、問題はないはずです。また、ここで重要なのは、全ての利用申請に対して、個別に「相談」「調整」に応じるのではなく、あらかじめ用意されたメニューからの「選択」を基本とすることです。

メニューを分かりやすくすること、メニューで対応できない一部の申請のみ個別調整に応じるようにして運用をシンプルにすることが、クラウド利用のメリットをもっとも大きく引き出すことにつながるのです。

2017年11月9日

富士通株式会社 オファリング推進本部
ハイブリッドITオファリング統括部長
藪田 有司

製造業のお客様を中心に、ICTインフラ最適化のプロジェクトに数多く参画。現在は各種のクラウドサービス、オンプレミス環境も含むICTインフラ基盤のオファリングの企画提供を行う。

[写真]

おすすめ情報はこちら

「ハイブリッドIT」に関するお問い合わせ・ご相談

Webでのお問い合わせ

お電話でのお問い合わせ

ページの先頭へ