シャドー IT、特に許可されていないビジネス アプリケーションの使用は、一般的には良いことではありません。シャドー IT は生産性の向上につながることもありますが、企業を潜在的なセキュリティ リスク、コンプライアンス問題、財務上の負債にさらす可能性もあります。
分析、人工知能、データ管理ソフトウェアおよびサービス企業 SAS のエグゼクティブ バイス プレジデント兼 CIO である Jay Upchurch 氏は電子メールで、CIO は何年もの間シャドー IT に対処してきたと述べています。「これらの不正なソリューションが組織内に導入されると、通常、次の 2 つの理由のいずれかで IT 部門の注目を集めます。1 つは、そのソリューションが成功し、組織全体で価値がある可能性があるため、もう 1 つは、組織とその顧客にセキュリティ リスクをもたらすためです。」
シャドー IT は、既存のエンタープライズ ツールがユーザーのニーズを満たしていない場合によく発生します。「ユーザーが代替手段を求める理由を理解することで、潜在的なギャップや開発の機会を洞察できます」と、ISG の Ventana Research 部門のデジタル テクノロジー研究ディレクター、Jeff Orr 氏は電子メール インタビューで述べています。「IT 部門は、あらゆる要求を無視または拒否する「ノー」部門であると言う人もいます」と同氏は付け加えます。「業務を遂行するために、エンタープライズ ユーザーは機転を利かせ、タスクを達成するための独自のソフトウェア ツールを見つけてきました。」
ロイヤル・カリビアン・グループのサイバーリーダーで陸上および船上のサイバーセキュリティを担当するジェイソン・ストッキンガー氏は、その疑わしい評判にもかかわらず、シャドーITは多くの既存の企業導入ソリューションよりも日常のビジネスニーズに合致していることが多いと指摘する。「シャドーITが表面化した場合、組織の技術リーダーはビジネスリーダーと協力して、目標と期限の整合性を確保する必要があります」と、同氏は電子メールでアドバイスしている。
検出ツール
シャドー IT の課題にうまく対処するには、その存在を見つけて特定する必要があります。クラウド アクセス セキュリティ ブローカー (CASB)、セキュア Web ゲートウェイ (SWG)、およびデータ損失防止 (DLP) 機能は、シャドー IT の使用を検出しようとしている組織にとって不可欠なツールです。「これらのテクノロジーは、アクセスされたアプリケーションに必要な可視性を提供し、機密データが従業員によって意図せず共有されるリスクを組織が制御するのに役立ちます」と、クラウド セキュリティ ソフトウェア プロバイダー Skyhigh Security のグローバル クラウド脅威リーダーである Rodman Ramezanian 氏は述べています。「たとえば、DLP ポリシーは、機密データの投稿をブロックしたり、機密コンテンツのコピー アンド ペーストを防止したりできます」と、電子メール インタビューで述べています。「さらに、これらのツールは、AI アプリケーション内の会話履歴を自動的に無効にして削除できるため (これは組織にとってますます懸念事項となっています)、企業のデータがシステムのトレーニングに使用されないようにすることができます。」
課題への取り組み
シャドー アプリケーションが検出されたら、Upchurch 氏は部門リーダーと協力して状況の重大さを理解してもらうことを推奨しています。「IT の責任をあなたや IT チームに移すことが、彼らにとってなぜ有利なのかを示してください。」そうすることで、CIO が善意の従業員の好奇心をうっかり抑え込まないようにすることができます。「また、生産性を向上させる新しい方法の障害ではなくパートナーになるというコミットメントを示すことにも役立ちます。」
Orr 氏は、新しいツールを検討し評価するためのプロセスを作成することを勧めています。「組織が正式に採用されているツールを推奨する手段を持っている場合、シャドー IT ツールで発生する状況の多くは回避できます」と同氏は説明します。シャドー IT ツールのリスクに関する教育と認識を促進し、新しいツールを導入するためのスムーズなプロセスを作成することで、企業のビジネス チームのニーズに対応する IT の意欲を示すことができます。
場合によっては、広く使用されている不正なアプリケーションを影から引き抜き、IT の主流に取り込むことが理にかなっています。「有用なシャドー IT ツールの導入を検討する際、IT 部門は企業のセキュリティおよびプライバシー ポリシーへの準拠を評価します」と Orr 氏は言います。他のアプリケーションと同様に、評価中に特定された問題に対処する必要があります。
シャドー IT ツールの潜在的な価値を評価する際には、それを公式のエンタープライズ IT エコシステムにうまく統合する方法を評価することが重要です。「この統合では、ユーザー、データ、ビジネス、サイバー、法令遵守など、さまざまなリスクにさらされることなく、ツールを安全に採用して組み込む組織の能力を優先する必要があります」と Ramezanian 氏は言います。「組織が生産性の機会を活用しながら利益を守るには、イノベーションとリスク管理のバランスを取ることが最も重要です。」
IT リーダーは、ベンダーにサポートを依頼することも検討するかもしれません。「現在のソフトウェア プロバイダーのライセンスでは、公式ツールに同様の機能を追加する機会が得られる可能性があります」と Orr 氏は言います。
最後に
シャドー IT 開発者の創意工夫に報いることは、微妙な課題を提起すると Ramezanian 氏は言います。「(彼らの) ツールは特定のニーズに対応し、効率性を高めるかもしれませんが、シャドー IT の無制限な拡散は、セキュリティ、コンプライアンス、統合の面で大きなリスクをもたらします。」
Stockinger 氏は、シャドー IT という用語が一般的には好きではないと述べている。「従来の IT 担当者がこの用語を開発した理由は、偏見と柔軟性のなさに基づいています」と同氏は説明する。「IT リーダーが価値の提供に重点を置き、組織構造にあまり重点を置かなければ、おそらくビジネス (ユーザー) は収益を生み出すために製品やサービスを提供する別の方法を見つけざるを得なかったでしょう。」