侍だけではデジタルビジネスのセキュリティ対策として不十分である理由：イベントレポート（1/2 ページ）

ガートナー ジャパンは2016年10月5日から7日にかけてCIO向けカンファレンス「Gartner Symposium/ITxpo 2016」を開催した。本稿ではその中から、セキュリティ関連のセッションを紹介する。

[田尻浩規，＠IT]

　ガートナー ジャパンは2016年10月5日から7日にかけて、主としてCIOなどの「リーダー層」を対象としたカンファレンス「Gartner Symposium/ITxpo 2016」を開催した。今年で21回目となる同イベントには3日間で延べ1300人以上（うち470人以上がCIO）が参加。モバイルやクラウド、IoTといったテクノロジによって実現される「デジタルビジネス」などのキーワードを軸に、新たなITトレンドの中でリーダー層が果たすべき役割について各方面から提言がなされた。本稿では、その中から特にセキュリティ関連のセッションをピックアップして紹介する。

シャドーITは、実は革新をもたらし得る「日向のIT」である

ガートナー リサーチ部門 バイス プレジデント 志賀嘉津士氏

　初日に行われたセッション「シャドーITを味方につける秘訣」では、ガートナー リサーチ部門 バイス プレジデント 志賀嘉津士氏が近年問題視されている「シャドーIT」について、「管理者の立場から一方的に“敵視”するのではなく、ユーザー視点に立って（条件付きで）受け入れていくべきだ」と訴えた。

　志賀氏は、シャドーITが生まれる原因は「全体最適やセキュリティリスクの最小化を求めるIT部門と、ビジネスのスピードや成果を求める事業部門／従業員個人との関心のミスマッチにある」とした上で、トレンドマイクロが2014年に実施した調査「個人用デバイス・ツールの業務利用実態 2014」の結果を引き合いに出し、「スマートデバイスの業務利用を禁止されている企業のユーザーのうち、8割以上が何らかの業務データを個人所有の端末に保存している。もはやIT部門がこの動きを止めることはできない」と指摘した。

　そこで志賀氏が推奨する1つの方法が、シャドーITの“正規IT化”だ。「上から押し付けられたものではなく従業員が自発的に利用するシャドーITは、従業員のシステムに対する“真のニーズ”を反映しているともいえる。これをうまく正規のITとして取り込むことができれば、企業にとって幾つものメリットがある」（志賀氏）。

　志賀氏はその例として、中古車販売業者IDOM（旧:ガリバーインターナショナル）のケースを挙げる。IDOMでは、若い従業員たちの間でLINEの業務利用がまん延し、セキュリティ上の問題が懸念されていたが、LINEのビジネス版である『Works Mobile』（LINEの兄弟会社が提供。UIはLINEと変わらない）を導入したところ、導入後数日で従業員たちの間にまたたく間に普及したという。

　「IDOMのケースではLINEでの“練習”があったため、導入時の教育コストがゼロで済んだ。IT部門への問い合わせもほとんどなく、従業員同士でのピアサポートが活発に行われた。従業員の自発性を阻害しないことにより、IT部門の管理負荷を軽減することができた例だ」（志賀氏）

　志賀氏はこの事例から得られる教訓として、「シャドーITを正規ITにするには、操作性、機能性でシャドーITに劣ってはならない」というポイントを挙げた。従業員にとってなじみのあるシステムや、使い勝手の良いシステムをうまく導入することができれば、現場の自発性を損なわずに済む。また、「いきなりIT部門が関与するのではなく、ある程度シャドーITの”勢力”が育ってから正規ITに移行していく」こともポイントであるとした。早い段階からIT部門が介入してしまうと、導入が立ち消えになってしまうことがあるからだ。

　さらに志賀氏によれば、シャドーITを”黙認”している企業の例もあるという。例えば、プロジェクトごとの人の入れ替わりが多いある製造業者では、メンバーのキャリアやプロフィールを「LinkedIn」に登録する習慣がいつの間にか根付いており、非常に重宝されていた。そこでIT部門はLinkedInに代わるシステムを構築しようとしたが、「LinkedInがあるからいいじゃないか」という反応が起こり、結果的にはそのまま利用を黙認することにしたという。

　もちろん、セキュリティ面での懸念もあったが、この企業ではそうしたデメリットよりも、業務上役立つというメリットを取った。このように、「シャドーITのデメリットとメリットをてんびんに掛け、場合によっては黙認する動きも起き始めている」（志賀氏）。

　だだし、当然のことながら、全てのシャドーITを黙認して良いわけではない。世の中には、ユーザーが入力した文章や画像データを（ユーザーが明示的にオプトアウトしない限り）インターネット上で公開してしまうようなサービスも存在している。そこで志賀氏は、「黙認しても良さそうなシャドーITのチェックポイント」として、以下の5ポイントを挙げた。「『これらを満たしていれば絶対に安全』と言うことはできないが、8割程度は黙認しても問題ないと考えている」という。また同氏は、「CASB（Cloud Access Security Broker）のようなクラウドアプリケーション向けのセキュリティ対策技術を組み合わせるのも有効だろう」と述べた。

1. メジャーである
2. 開発が継続している
3. 動作が安定している
4. 不審な広告を表示しない（安易にFacebookの「いいね！」とリンクしない）
5. フリーミアムである

※「フリーミアムは有料版と同じ基盤を使用しているという点で、ある程度信頼が置ける」（志賀氏）という。

　最後に志賀氏は、「そもそも、シャドーITという言葉自体が管理者視点のものだ。ユーザーにとって、それは自分たちのニーズを満たしてくれる“サニーサイドIT”に他ならない。IT部門は禁止ばかりするのではなく、サービスカタログを発信し、ユーザーにメリットをもたらす部門にならなければならない。シャドーITを『企業に革新をもたらす可能性のある新たな芽』と認識することで、ビジネス成果につなげることができる」とメッセージを送った。