組織内にシャドーITの問題がないと思っているなら、それは現実を否定しています。全容を把握しているつもりでも、クラウド・セキュリティ・ツールだけではコントロールできないのです。上記の結論は、主に組織内のシャドーITの問題を明らかにしたIT専門家と、クラウド・セキュリティ・ツールを販売するベンダーに基づいています。
ここでいうシャドーITとは、企業のIT部門の支援や承認を得ずに、組織内のエンドユーザーによって導入されるクラウドサービスのことです。クラウドコンサルタントの2nd Watchが133人のITプロフェッショナルを対象に12月に実施した調査によると、この問題はビジネス上の必須事項となっています。
調査によると、組織内のほとんどの事業部門が、クラウドサービスにアクセスするためにIT部門をバイパスしていることが判明しました。また、IT部門は事業部門向けにクラウド・サービスを提供する需要がある一方で、彼らが提供する74パーセントの回答は、事業部門が使用するサービス全体の37パーセントにすぎません。
クラウドセキュリティツールは最善を望むのみ
遅かれ早かれ、クラウド・セキュリティ・ツールは、企業のITセキュリティを危険にさらす可能性のあるサービスの利用を発見するのに役立つでしょうが、唯一の解決策ではありません。
「ニューヨークを拠点とする金融サービス会社のオペレーション・マネージャー、イグナシオ・マクビーチ氏は次のように述べています。「ボトルネックになったり、技術革新を止めたりすることは避けたいと考えています。
McBeatch社は、カリフォルニアに本拠を置くクラウド・セキュリティ・ソフトウェア・プロバイダーであるSkyhigh Networks社の製品を購入し、IT部門が知らない間にどれだけのサービスが利用されているかを評価したところ、562の未承認サービスが検出されました。
これらのサービスは、GmailやFacebookなどのパーソナル・アプリケーションから、Google Analytics、Amazon Web Services、Internap Network Services、Rackspaceなどのインフラストラクチャー・アズ・ア・サービスまで、さまざまなソースから提供されています。software-as-a-serviceのインスタンスも数多く稼働しています。
また、スカイハイのソフトウェア・スイートは、IT部門が完全に単独で使用しているかどうかにかかわらず、企業が環境内の全サービスにセキュリティフレームワークを設定することを可能にします。しかし、経験豊富なIT担当者であっても、シャドーITをビジネスから根こそぎ排除することは、ソフトウェアや専門サービスだけでは困難です。
「ソフトチョイスのビジネス開発マネージャーであるマイク・ケイン氏は、次のように述べています。"
このアセスメントの後でも、一元管理およびセキュリティ管理のために、別のアプリケーションがポータルに接続されることがあり、数カ月後には、IT部門が把握していない外部アプリケーションを購入していることが判明しました。
シャドーITにつながるのは、不注意やエンドユーザーの単純な利便性への欲求だけではありません。一部のクラウド・サービス・ベンダーは、企業のIT部門を積極的に迂回し、ビジネス部門に自社製品を売り込もうとしています。
「ファイル共有サービスプロバイダーであるシグニアントの製品管理担当副社長であるリック・クラークソン氏は、次のように述べています。IT部門の販売サイクルが遅いために、事業部門が自力で外部の支援を求めることがよくあります。「IT部門の販売サイクルが遅いために、事業部門が自力で外部の支援を求めるようになることがよくあります。
シャドーITの減速には巧みな売り込みが必要
シャドーITを根絶するためには、企業ITはビジネス部門にとってより魅力的な存在となり、彼らの要求に応え、クラウド・サービス・プロバイダーを打ち負かす必要があります。
ソフトチョイスのケイン氏は次のように述べています。「本当に重要なのはコミュニケーションとトレーニングであり、多くの場合、IT担当者がそのスキルセットを持ち合わせていないのですが、それは変えることができます。ソフトチョイスは自らの経験から、アプリケーションに関するより良いトレーニングを提供する必要性と、さらに重要なこととして、セキュリティと規制の戦略を成功させるためにはコミュニケーションが不可欠であることを指摘しています。
一元化されたセキュリティと管理ポータルを介したシングルサインオンは、企業のIT導入に準拠するようユーザーを誘引できる新しいアプリケーションの一例です。
