シャドーITを別の観点からとらえる

シャドーITは、IT部門には頭痛の種です。IT部門のコントロールが及ばないところで、勝手にソフトウェアをダウンロードして使われてしまうと、IT部門が管理することはできなくなってしまいます。IT部門にとっては迷惑千万な話ですが、全否定するだけではない、別の視点からの捉え方もあるようです。

通常、シャドーITが発生するのは、拙速になりかねない迅速なワークフローをIT部門が許可しないためか、ITが介入することで作業の俊敏性が損なわれるためです。一般社員が、時間がかかるITの指導や監督をすり抜けて、自分たちが今やりたいことをするために、独自にソリューションを実装します。これは、一般に大きな問題と考えられています。

ただ、ものごとには二面性があるもので、別の観点から考えてみると、必ずしも問題ばかりだとは言い切れません。IT部門や、ひいては会社にとって、シャドーITの肯定的な側面は何でしょうか？SaaS 主導型の企業ランドスケープにおいては、シャドーITに対する考え方は見直されるべきでしょうか？シャドーITは、実際の深刻な問題につながる一面はあるものの、それ自体が問題そのものというわけではありません。

Torii の CEO である Uri Haramati 氏をポッドキャストにお招きし、シャドーITに関する別の捉え方についてお聞きしました。Torii は、ビジネスネットワーク上のデータソースを統合し、ワークフローの敏速化やコスト削減に貢献する SaaS ベースのソリューションを提供しています。

トランスクリプト

Greg: では、始めましょう。今日の話題には大変興味があります。私が話を聞くIT管理者は、たいてい、シャドーITを明らかな問題だという認識に立っているからです。自分が管理するIT環境で起こってほしくないことであり、解決する必要がある他の問題につながる可能性を否定できません。Torii がIT部門に何を提言しようとしているのか、それから、ご自身のITとの関わりについて教えていただけますか。

Uri: はい。まず私の経歴について説明すると、私は過去10年ほどの間に複数の会社を作りました。会社の規模を拡大することを目指しつつ、オペレーションも担当していました。オペレーションには、もちろん、ITと SaaS およびソフトウェアが含まれます。３年ほど前に、ソフトウェアとテクノロジーの進展を実感して、SaaS 管理に関連する会社を立ち上げようと、前の会社を退職しました。そのときは、SaaS を管理する方法がありませんでした。

現代の企業は、概して何百ものクラウドベースのソリューションを使用していますね？それぞれが関連しているので、そうならざるを得ないのですが、会社のソフトウェアをどうすれば集中的に管理できるのかという問題があります。その問題を解決するのが Torii です。ソフトウェアをうまく管理できるよう支援します。高度なワークフロー自動化エンジンを使用して、ユーザーにライセンスされたすべてのクラウドアプリケーションを自動的に検出してマッピングします。そして、企業はコストを削減し、タスクやテクノロジーの管理のためにかかる時間を短縮し、生産性と一般的なプロセスをスピードアップできます。それが私がやりたかったことであり、Torii はそれを提供します。

Greg: 前に少し触れたように、初めて話したときの話題はシャドーITでしたが、必ずしも悪いこととは言えないとの見解でした。特定のシナリオでは、シャドーITは問題ではないと思うのはなぜですか？

Uri: まあ、一般的には、シャドーITは良くないと言われていますね。たくさんのタスクが必要になり、IT部門と会社全体にとっては面倒な問題です。Torii のブログでは、シャドーIT 関連の様々な側面を述べています。悪い面、やっかいな面は、明らかですね？シャドーITは新しいものではありません。始まりは...、シャドーITに関する初期の議論は、BYODが許されるようになり、自分のデバイスに会社の環境外にあるモバイルアプリをインストールするようになったときだったと思います。SaaS が認知され、企業が SaaS 環境とクラウドベースのアプリケーションを採用し始めると、新しいソリューションにサインアップして、誰かからコントロールされることなく簡単に新しいソフトウェアを使い始められるようになりました。

そして、考慮に入れるべき別のトレンドがあります。それは、人口統計の変化です。若い世代が増えており、今、ミレニアル世代は米国の労働力の35％近くに達していると思います。ミレニアル世代は、ソフトウェアが席巻する世界に生まれた人々です。ボタンをクリックするだけでアプリがダウンロードできます。そういった人たちが、「サインアップしてツールを使い始めてみよう」と思うのはごく自然なことです。

概念的には、シャドーITは良いものではなく、大きな問題を引き起こしかねない側面があります。ですが、シャドーITの背後にある動機としては、実際には「良かれと思って」始まる場合がほとんどです。どうしてシャドーITを使用するのかについてのNDTによる調査があるのですが、60％が効率を上げるため、という理由でした。つまり、誰かがITへの確認なしに新しいツールを使用するのは、問題があってその解決策を見つけたので、早く解決して生産性を上げたいというのが理由です。この基本的には好ましい動機付けは、シャドーITについて考えるとき、無視されがちです。どうでしょう、理にかなっているのではありませんか？

Greg: ええ、その通りですね。シャドーITは特定のシナリオでは問題ではないということでしょうか。私自身について言えば、私はIT部門にとってはやっかいな存在だと思います。言われた例のように、私はしょっちゅうアプリをダウンロードしていますから。IT部門は、そういったアプリをビジネス環境に展開する前にテストしたいはずです。ところが、常に事前に何もかもテストできるかと言うと、現実には無理でしょう。みんな、何でもさっさと片づけてしまいたいからだと思います。そうではありませんか？

Uri: そうですね。シャドーITの良いところを確認してみましょう。まず、それは個人がより多くを達成したいという動機付けを示す指標です。最新のテクノロジーやこれまでとは違うテクノロジーを使って、より良い仕事をしたい、または仕事をより良い方法で進めたい、という好ましい動機付けがあります。もう一つの観点は、シャドーITの最大の貢献者は誰かということです。それは、通常、テクノロジーの早期採用者です。

IT部門としては、そういったテクノロジーの早期採用者が誰なのかを認識できれば、そのような社員を、社内のIT部門の拡張とみなして積極的に参加してもらうことができます。多分、財務部門、マーケティング部門、営業部門、製品部門など、社内の様々な部門に、仕事の生産性を向上させて働きやすい環境を作るために新しいツールを使い始める早期採用者がいるはずです。特定できれば、実際にIT部門の拡張としてうまく協働できるのではないでしょうか。そういった社員は、新しいツールの使用に対してより敏感に反応し、IT環境やIT認可ソリューションに対する優れた社内テスターに​​なります。セキュリティや測定については、しっかり学習してもらうことは前提になるかもしれません。

Greg: 興味深い視点です。私は今までそんな風に考えたことがありませんでした。これは、IT 部門にとっても、目から鱗かもしれません。これはおそらくIT部門と開発部門が互いに協力し合って作業する方法です。開発部門は、多分新しいソリューションを実装しながら、製品をリリースするわけで、IT部門は開発部門と連携して作業する必要があります。しかし、可視性についてはどうでしょうか？たとえば、誰かが新しいツールを実装してうまく機能している場合、IT部門ではその社員がITに通知せずに何かを使用していることをどのようにして把握し、「あぁ、このツールは社内ネットワークに実装した方がいいかもしれない、このツールは社員のためにIT部門で実装した方がいいかもしれない」などと議論できるのでしょうか？というのは、シャドーITの問題は、IT部門が使われているツールやソリューションについて把握していないことに起因するからです。監視することで可能なのか、それとも...。お聞きしたいのは、シャドーITソリューションが自社のネットワークに実装されていることをIT部門でどのように積極的に発見することができるのか、ということです。

Uri: いい質問ですね。というのは、それは私たちが Torii を創設しようとしていたときに気づいた問題だからです。私たちは、「うーん、混沌としていて誰にもコントロールができていない状況だね。例外的なマッピングから始めてみよう。」というところから出発しました。何が使用されているか、どの程度使用されているか、それに対していくら支払っているか、に関する自動マッピングを行いました。私たちは様々なテクノロジーを持っていました。各種 SaaS ソリューションの署名とログインをマップするブラウザ拡張機能や、G Suite アカウントに接続されたサードパーティのアプリケーションなどですが、G Suite Torii に接続すると、誰かが接続したすべてのツールを G Suite API から表示できます。

シャドーIT用に Torii が使用する情報のソースは他にもあります（Slack など）。Slack はソフトウェアのハブになり、100以上のツールを Slack に接続している企業さえあります。Slack を Torii に接続すると、接続されたソフトウェアの数やそれらのソフトウェア、誰が接続したかを表示できます。つまり、この人がこのサードパーティソフトウェアを使用しているということがわかります。今、この情報をチェックしてみると、数字は驚異的です。1,000を超えるアプリケーションが使われている会社もあります。

私たちは、会社Aに通知を送信し、協力が得られれば、使われているアプリを検出します。そのアプリが何をするものか、ドメインは何かを伝えます。新しいツールを発見し、更新するのに何をするかの足跡をたどるにはどうすればいいかが理解できるようになりました。先ほどの話のように、影に隠れていて誰も知らなかったものでした。ですからそれらに関するポリシーもワークフローもありません。新しいツールが発見され、誰がそれを使い始めたかがわかった会社やIT部門は、その個人にアプローチして、何か質問があるか尋ねるというパターンがあることが判明しました。

これらの部分はほぼ自動化されています。新しいアプリが使用されていることがわかったら、使用した最初の人にいくつかの質問が書かれたフォームが送信されます。質問は、もっと調査が必要か、使用しているツールに対してもっとよく理解したいかどうかなどを確認するためのベーシックな質問です。たとえば、「ツールにPIIをアップロードしますか？」、「社内システムに統合したいですか？」、「支払いは自分でするつもりですか？」といった質問で、質問への回答によって、IT部門は、「フォローアップが必要かどうか」、「すぐに停止すべきかどうか」、「もっとよく調査する必要があるかどうか」などを判断して、アクションを開始することができます。この質問フォームはあらゆる方向に発展していきます。「わかりません。」、「どう評価しますか？」、「いくらですか？」、「置き換えられたツールは何ですか？」、などなど。シャドーITの問題点は、セキュリティ面の不安とデータフローのわかりにくさです。会社が支払いを行っているツールが、誰かによって誰も知らないシャドーITの中に隠されてしまい、使われていないといった醜悪な側面もあります。

Greg: なるほど。たとえば、話に出た Slack について考えてみましょう。会社が、JIRA か Microsoft Teams を使用するよう推奨し、支払いも行われていたとして、そのために実装したにも関わらず、誰かが Slack を使用しているのがわかったら、どうなるでしょうか？社員とIT部門との間で、どっちがいいのか、何らかのやり取りがあるかもしれません。

Uri: その通りです。そして、管理されていないと想定した場合（200人が Slack を使っていればIT部門でも把握するでしょうが）、何が起こるかというと、新入社員がIT部門に新しいライセンスを申請したときに、社内で Slack が使われていたことを知らなかったのだと認識します。そこから、IT部門で何か対応しなければならない、という話になります。しかし今は、誰かが Slack を使い始めたら、IT部門ではすぐにそれを把握できます。するとIT部門は、「いいでしょう、今月はチーム内で自由にテストしても構いません。その期間が終了したら、何がいいのか、Microsoft Teams とはどう違うのか、どちらを使うのがいいと思うかを報告してください。」と、通知することに決めるかもしれません。このような過程を経て、統合すべきか、移行すべきか、どちらかを停止すべきか、といった最終判断を下すことができます。これは、一種のIT評価プロセスのアウトソーシングになりますね。

Greg: そうですね。すでに社員が使用していますから、多分、IT部門でのテスト時間も大幅に短縮できるでしょうね。

Uri: はい。また、追加するケースもあります。誰かがソフトウェアを使用していて、Torii のようなソリューションで検出され、シャドーITとして停止することになったとします。そして、例えば6か月後に、IT部門でそのツールの使用を検討することもあり得ます。そうなった場合、IT部門は以前の使用者にコンタクトして、「以前、このツールを使っていましたね？評価したと思いますが、何か意見はありますか？何か問題はありましたか？何がどう違って、どうしてその結論に達したのですか？」などと質問することができます。IT部門で管理する前に、IT部門の認知の下で、ランダムなチームが何かを使い始めたり、停止したりする、一種のポストモダンでもあります。すべての情報とすべての人に関する透明性が得られます。

しかし、結局のところ、こういったことが可能なのは誰もが技術に精通しているからですよね？皆、以前よりもはるかに技術通であり、テクノロジーについてよく知っています。そして、ソフトウェアは、個人で管理しコントロールすることがはるかに簡単になりました。新しいツールをどう使えばいいか、簡単に理解できるようになりました。つまり、新しいツールの情報を獲得して、簡単に使い始めることができます。したがって、最新のテクノロジーまたは最高のテクノロジーの使用を促進する場合、ツールの使用に関して透明性を確保し、ツールの使用についての説明責任がしっかり守られるなら、様々な SaaS が急速に普及している時代に、より迅速に行動し、より適切に作業することをしない理由はありません。

Greg: そうですね。ところで、Torii のような SaaS ソリューションは、これまで述べてきたシャドーITの危険性を緩和するのにどのように役立つのでしょうか？また、SaaS、あるいはスマートオートメーションとも呼べると思いますが、を使うことで、シャドーITを容認しながらそれに伴うリスクを軽減することができる例を教えていただけますか？

Uri: ええ、1つは、前に説明したワークフローです。新しいアプリが発見されたときに使うワークフローを設定することができます。新しいアプリが使われたらIT部門に通知するよう設定できます。同時に、新しいアプリを最初に使った人に質問フォームを送信し、セキュリティ部門の誰かにも通知するようにすることも可能です。質問フォームの受信者がフォームに記入して返信したら、そのフォームをX、Y、Zに送信するように設定することができます。

もう1つは、トレンドに関する学習と理解です。Torii では、リスク軽減を目的としたセミナーツールを用意しています。これは Torii のデータベースの一部であり、エンジンは Box と Dropbox が同様の目的で使用されていることを理解しています。Box を公式に採用している会社で、Dropbox がどこかの部門またはリモートサイト内でよく使われるトレンドが確認されたらすぐに理解でき、リスク軽減や最適化などを行うことができます。

ライセンスについても同様です。誰かが何かの使用を停止した場合に対応するワークフローを設定しておきます。ライセンスを削除したり、ツールを使用するのを停止した人に「このツールが使用されていませんが、ライセンスをこちらで使ってもいいですか？」という質問を送信したりといったワークフローを設定することができます。シャドーITとは少し違いますが、スタック全体の透明性と可視性の両方を向上させることであり、全社でのテクノロジーに関する説明責任を果たすことです。

Greg: ということは、シャドーITをそれほど積極的に肯定しているわけでもないのですね。アジャイル性を確保するには、実際には、適切なツールをインストールし、自動化し、プロセスをしっかり管理することが好ましいということだと思います。IT部門で新しいソリューションを実装するプロセスとしては、それが正しいですね。興味深いです。

Uri: ええ、まったくそうです。シャドーITに光を当て、その背後にある動機を正しく理解し、なぜシャドーITが使われるのかを知っておくことが重要です。おそらく、気を付ける必要があることがあり、プロセスやポリシーを少し緩めることも考慮してみるべきかもしれません。そういう気づきは、シャドーITの良い面かもしれません。レガシーテクノロジーと古い最小限のツールを使用していて、より優れたテクノロジーやより良い新しいソフトウェアを導入することで現状を改革したり更新したりしようとしていない場合、それは何かを見逃しているということを意味する指標であり、また…

Greg: おそらく時代に後れをとることにもなりますね。

Uri: ええ、時代に後れをとります。新しいより優れたテクノロジーを使用することは、競合していく上で優位性を確保することにつながりなります。時として先取りしようとし過ぎる場合もあります。既存のツールとほとんど同じことをするだけの、時代の先端風のソフトウェアや素晴らしいものに見えるツールがあるので気を付けなければなりません。ですが、時には、しっかりした見解に立ってきっちりしたプロセスを備えた新しいツールが、会社の発展を後押しすることもあります。

Greg: そうですね。さて、そろそろ時間になったようです。本日はご参加いただきありがとうございました。シャドーITについての新しい洞察、それに関連する Torii の支援についてお話しいただき、本当に感謝しています。

Uri: こちらこそ、ありがとうございます。お招きいただいてITのことについて話すのは楽しかったです。