「もはやシャドーITはなくならない」ガートナーが示す現実解:ニュースピックアップ
IT調査会社のガートナーの調査によると「もはやシャドーITはなくならない」ようだ。情シスはこの状況にどのように付き合っていくべきか。
ガートナージャパン(以下、ガートナー)は2024年9月4日、DX(デジタルトランスフォーメーション)の取り組みにおける「シャドーIT」の現状に関する調査結果を発表した。
エンドユーザーが会社に知らせずに導入する「シャドーIT」は、元来は極力避けるべきで、専門知識のあるIT部門が管理、統制することが望ましいとされてきた。
しかし、昨今はビジネス部門がDXを主導するケースの増加や、クラウドの普及により、ビジネス部門がITソリューションを選定、導入する機会や環境が整ってきた。
「シャドーIT」の見方に変化 ガートナーが示す“現実解”とは?
ガートナーによると、高まり続けるIT需要やIT部門における深刻な人材不足を背景に、企業における「シャドーIT」の見方に変化の兆しが出てきているという。調査結果を見てみよう。
ガートナーが国内のユーザー企業を対象として2024年4月に実施した調査によると、回答企業の7割以上がDX関連プロジェクトにITベンダーを活用していることが分かった(図1の「積極的にITベンダーを活用」と「必要に応じて補完的にITベンダーを活用」の合計)。
DXプロジェクトでも特に利用頻度が高いクラウドサービスにおいてITベンダーを選定、交渉する部署を尋ねたところ、43.3%の回答企業は、ビジネス部門の意向が反映されやすい「非IT部門(既存のビジネス部門、IT部門と共同で新設した専任部門、部門横断的なチームなど)」が選定、交渉の主体となっていることが分かった。
こうした結果について、同社の土屋隆一氏(シニア ディレクター アナリスト)は「昨今、国内では内製化の取り組みが話題になっている。今回の調査結果から、依然としてITベンダーへのニーズは旺盛であることがうかがえる。管理を担当すべきIT要員が慢性的に不足している状況を鑑みても、今後もシャドーITは減ることはなく、むしろ増えることが見込まれる。シャドーITのリスクを低減しつつ、適切な形でビジネス部門に一部のIT調達を委ねられる仕組みを検討することが、企業にとって喫緊の課題といえる」と説明する。
なお、ガートナーでは、全社共通のフレームワークにより取引リスクを評価し、「低リスク」の取り引きについてはビジネス部門の権限と責任の下に調達を委ねる仕組みを「セルフサービス」と称している。これはIT部門が存在を掌握できていないシャドーITとは意味を区別している。効率的なリソース配置や迅速性の向上を目的に、企業は、今後ビジネス部門のセルフサービスによる調達を増やす必要に迫られていると指摘している。
ビジネス部門のクラウド調達はセキュリティやベンダー評価が課題
同調査では、「ビジネス部門が主体的にクラウド調達に関わっている」と回答した企業(全体の43.3%)に対し、効果と課題を尋ねている。その結果、ビジネス部門が効果として最も多く挙げたのは、「ビジネス部門の要件を最大限織り込んだサービスを調達できた」(57.6%)だった。
一方、ビジネス部門が主体となりクラウドを調達する際の課題については、「課題がない」と回答した企業は6.2%にとどまり、93.8%が何らかの課題を抱えていることが明らかになった(図2)。
具体的には、「ベンダーへのセキュリティ評価がされない、あるいは不十分」(39.3%)、「調達するサービスと周辺システムとの互換性が検証されない、あるいは不十分」(38.8%)という回答が多く、これまで指摘されてきたシャドーITに対する懸念が根強いことが浮き彫りになった。
「ベンダーへのデュー・デリジェンス(財務・信頼性評価)の不足」を指摘する回答も29.2%を占めている。
これらの結果を受け、土屋氏は「昨今では、業界に特化したソリューションや、ニッチな技術を提供するクラウドを採用することも多い。こうしたベンダーの財務、経営面の脆弱(ぜいじゃく)性リスクについては、あらかじめ感知し、採用時にコンティンジェンシプラン(緊急事態の発生時に、被害を最小限にとどめて事業への影響を低減するための計画書)も併せて検討することが重要だ」と説明する。
また、土屋氏は、図2の「既存システムと(一部または全部)重複した機能のサービスを購入してしまう」(25.8%)について、「潜在リスクは大きな課題であり、軽視すべきではない」と指摘する。
この結果に対して土屋氏は「重複したサービスの購入は、無駄な支出や機能重複による社内システムの複雑化を招き、障害の増加につながる恐れがある。ソーシング・調達・ベンダー管理(SPVM)を担うリーダーは、ビジネス部門によるセルフサービスを認めるだけではなく、多角的にクラウドのリスクを評価する必要がある」と課題を指摘する。
対策として、ビジネス部門がセキュリティやITインフラおよび運用(I&O)担当者、ITアプリケーション担当などのIT部門の関係者と協働して「ベンダーのリスクを一次評価できる仕組みや、社内で推奨するクラウドを優先利用させるなどの調達ルールを策定すること」が必要だとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
パンク寸前の情シス、でもIT業務の外注サービス「6割が利用予定なし」はなぜ? 実態調査
情報システム部門の負荷を軽減したいと考えるときに、選択肢の一つとなるのが、業務の一部を切り出してIT系BPOサービスに委託することだ。しかし、キーマンズネットの調査によると、サービスの認知度が高い割に、回答者の多くが「利用予定なし」と答えた。その理由とは。
情シスは多忙でも「あのツール」は使わない おカネ以外の3つの理由とは?
情報システム部門のヘルプデスク業務やITサービス管理の複雑化、煩雑化に伴う負担は重いが、それらを支援するツールの導入は進んでいない。キーマンズネットの調査で浮かび上がったその理由とは。
EOS後もWindows 10を「使い続ける勢」の言い分 中小企業はなぜWin 11への移行をためらうのか?
ノークリサーチの調査によると、Windows 10のサービス終了時点では回答者のうち過半数がWindows 10を使い続ける見込みだ。何が中小企業のWindows 11への移行を阻むのか。
シャドーITを禁止せず、生産性を落とさないために
クラウドサービスが普及した理由は便利だからだ。それ故に社員が勝手に利用する「シャドーIT」につながる。対策はあるか。