検索
連載

「もはやシャドーITはなくならない」ガートナーが示す現実解ニュースピックアップ

IT調査会社のガートナーの調査によると「もはやシャドーITはなくならない」ようだ。情シスはこの状況にどのように付き合っていくべきか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 ガートナージャパン(以下、ガートナー)は2024年9月4日、DX(デジタルトランスフォーメーション)の取り組みにおける「シャドーIT」の現状に関する調査結果を発表した。

 エンドユーザーが会社に知らせずに導入する「シャドーIT」は、元来は極力避けるべきで、専門知識のあるIT部門が管理、統制することが望ましいとされてきた。

 しかし、昨今はビジネス部門がDXを主導するケースの増加や、クラウドの普及により、ビジネス部門がITソリューションを選定、導入する機会や環境が整ってきた。

「シャドーIT」の見方に変化 ガートナーが示す“現実解”とは? 

 ガートナーによると、高まり続けるIT需要やIT部門における深刻な人材不足を背景に、企業における「シャドーIT」の見方に変化の兆しが出てきているという。調査結果を見てみよう。


図1 DXプロジェクトの取り組みにおけるITベンダー活用状況(出典:ガートナーのプレスリリース)

 ガートナーが国内のユーザー企業を対象として2024年4月に実施した調査によると、回答企業の7割以上がDX関連プロジェクトにITベンダーを活用していることが分かった(図1の「積極的にITベンダーを活用」と「必要に応じて補完的にITベンダーを活用」の合計)。

 DXプロジェクトでも特に利用頻度が高いクラウドサービスにおいてITベンダーを選定、交渉する部署を尋ねたところ、43.3%の回答企業は、ビジネス部門の意向が反映されやすい「非IT部門(既存のビジネス部門、IT部門と共同で新設した専任部門、部門横断的なチームなど)」が選定、交渉の主体となっていることが分かった。

 こうした結果について、同社の土屋隆一氏(シニア ディレクター アナリスト)は「昨今、国内では内製化の取り組みが話題になっている。今回の調査結果から、依然としてITベンダーへのニーズは旺盛であることがうかがえる。管理を担当すべきIT要員が慢性的に不足している状況を鑑みても、今後もシャドーITは減ることはなく、むしろ増えることが見込まれる。シャドーITのリスクを低減しつつ、適切な形でビジネス部門に一部のIT調達を委ねられる仕組みを検討することが、企業にとって喫緊の課題といえる」と説明する。

 なお、ガートナーでは、全社共通のフレームワークにより取引リスクを評価し、「低リスク」の取り引きについてはビジネス部門の権限と責任の下に調達を委ねる仕組みを「セルフサービス」と称している。これはIT部門が存在を掌握できていないシャドーITとは意味を区別している。効率的なリソース配置や迅速性の向上を目的に、企業は、今後ビジネス部門のセルフサービスによる調達を増やす必要に迫られていると指摘している。

ビジネス部門のクラウド調達はセキュリティやベンダー評価が課題

 同調査では、「ビジネス部門が主体的にクラウド調達に関わっている」と回答した企業(全体の43.3%)に対し、効果と課題を尋ねている。その結果、ビジネス部門が効果として最も多く挙げたのは、「ビジネス部門の要件を最大限織り込んだサービスを調達できた」(57.6%)だった。

 一方、ビジネス部門が主体となりクラウドを調達する際の課題については、「課題がない」と回答した企業は6.2%にとどまり、93.8%が何らかの課題を抱えていることが明らかになった(図2)。


図2 ビジネス部門がベンダーの選定・交渉を担当することで生じている課題(複数選択可)(出典:ガートナーのプレスリリース)

 具体的には、「ベンダーへのセキュリティ評価がされない、あるいは不十分」(39.3%)、「調達するサービスと周辺システムとの互換性が検証されない、あるいは不十分」(38.8%)という回答が多く、これまで指摘されてきたシャドーITに対する懸念が根強いことが浮き彫りになった。

 「ベンダーへのデュー・デリジェンス(財務・信頼性評価)の不足」を指摘する回答も29.2%を占めている。

 これらの結果を受け、土屋氏は「昨今では、業界に特化したソリューションや、ニッチな技術を提供するクラウドを採用することも多い。こうしたベンダーの財務、経営面の脆弱(ぜいじゃく)性リスクについては、あらかじめ感知し、採用時にコンティンジェンシプラン(緊急事態の発生時に、被害を最小限にとどめて事業への影響を低減するための計画書)も併せて検討することが重要だ」と説明する。

 また、土屋氏は、図2の「既存システムと(一部または全部)重複した機能のサービスを購入してしまう」(25.8%)について、「潜在リスクは大きな課題であり、軽視すべきではない」と指摘する。

 この結果に対して土屋氏は「重複したサービスの購入は、無駄な支出や機能重複による社内システムの複雑化を招き、障害の増加につながる恐れがある。ソーシング・調達・ベンダー管理(SPVM)を担うリーダーは、ビジネス部門によるセルフサービスを認めるだけではなく、多角的にクラウドのリスクを評価する必要がある」と課題を指摘する。

 対策として、ビジネス部門がセキュリティやITインフラおよび運用(I&O)担当者、ITアプリケーション担当などのIT部門の関係者と協働して「ベンダーのリスクを一次評価できる仕組みや、社内で推奨するクラウドを優先利用させるなどの調達ルールを策定すること」が必要だとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る