シャドーITがもたらすリスクを軽減する「セルフサービス」とは
土屋氏は講演冒頭、今回の話の中心となる「セルフサービス」の定義を説明した。これは、エンドユーザー組織が自身でリスクを判断し、必要最低限のITサポートを受けながら調達を完了させ、説明責任を果たすというものだ。ポイントは、エンドユーザーがリスク評価と責任を自ら担う点にある。
シャドーITとの違いは何か。同氏は、「シャドーITはIT部門が導入状況を把握できないが、セルフサービスでは定期的な棚卸しを通じて管理が可能になる」と述べる。セルフサービスなら、統一基準でリスク評価のばらつきを防ぎ、互換性やシステム構成も考慮した調達プロセスで、システムの複雑化を防げるという。説明責任も調達段階で明確化できる。土屋氏は「シャドーITからセルフサービスの考え方へと切り替えることで、IT部門は少人数でのリスク管理が可能になり、ガバナンスの強化を目指せる」と語った。
セルフサービスとシャドーITの違い
出典:Gartner(2024年11月)[画像クリックで拡大]
次に土屋氏は、ビジネス部門によるクラウド調達に関するGartnerの調査結果を紹介。DXプロジェクトでクラウドベンダーの選定をIT部門以外が行うケースは4割を超え、その結果、非IT部門のサービス要件が反映されやすくなるという効果も見受けられた。一方、非IT部門がベンダー選定を行う際の課題としては、セキュリティ評価の不足や互換性確認の不備、デューデリジェンスの不足、重複した機能の購入などが挙がっており、94%が何らかの課題を感じているとのことだ。
シャドーITのリスクはセキュリティに限らず、重複機能の購入による無駄な投資、互換性のないシステム導入による運用問題、コンプライアンスに問題のあるベンダーとの契約による法令違反のリスクなども挙げられる。これらが連鎖した結果、保守や運用のコスト増加といった問題が生じると土屋氏。「こうしたリスクへの対応としてIT部門の人員増加を提案する意見もあるが、クラウド調達に関する人材が不足していることから、人員増は現実的ではなく、セルフサービス化は待ったなしだ」と強調した。
