ビジネス部門のクラウド調達が「しくじりがち」なワケ、ガートナー流「リスク低減術」

ビジネス部門によるクラウド調達の「問題点」とは

　ITを取り巻くビジネス環境は急速に変化しており、DX推進などビジネス部門主導のプロジェクトが増加している。特にクラウドサービスはIT部門を通さずに導入できるため、ビジネス部門が自由に採用されてきた。その結果、システムの複雑化やセキュリティリスクが生じてしまっているのが現状だ。

　こうした状況について、IT部門にインシデント対応や保守運用の負担が集中している現状がある。その現状について、「ビジネス部門のテクノロジー活用を尊重しつつも、リスクを適切に管理する必要があります」と話すのは、ガートナー シニア ディレクター,アナリストの土屋 隆一氏だ。


　土屋氏によると、ガートナーが2024年に実施した調査の結果では、国内企業のDXプロジェクトでビジネス部門がクラウドベンダー選定や交渉を主導するケースが43％に達しているという。また、ビジネス部門が主導になって実現できた効果としては「ビジネス部門のサービス要件を最大限織り込めた」ことがトップとなっている。

ビジネス部門が主導すると起きがちな「ある問題」

　ただ、このようなIT部門以外がベンダー選定を行うケースでは、問題が生じることも少なくない。上記のガートナー調査によると、IT部門以外の組織がクラウドベンダーの選定・交渉をする中で、何らかの課題があると回答したのは、94％にも及ぶ。


　土屋氏も実際、顧客との話し合いの中で「IT部門に断わりなく、ビジネス部門が勝手にセキュリティの弱いソリューションを導入してしまう」という問い合わせをよく受けると説明する。「セキュリティの樽」という概念の通り、システム全体のセキュリティは、最もセキュリティが弱い部分によって決まってしまうため、ビジネス部門が導入したセキュリティが弱いソリューションから、マルウェアやID乗っ取り被害などが生じる懸念があるのだ。

　さらに土屋氏は、シャドーITは誕生してから継続するリスクが数多くあり、セキュリティに限ったことだけではないと断言する。

「ビジネス部門が際限なくクラウド調達を進めることで重複した機能により無駄な投資が発生し、既存システムとの互換性問題で稼働率が低下する可能性もあります。また、不適切なベンダーとの取引がコンプライアンス・リスクを引き起こしたり、IT部門の保守負担も増加することも考えられます。シャドーITはIT部門だけではなく、全社的なリスクとして捉えて管理統制を強化すべきです」（土屋氏）

　その一方で、管理統制を担うIT部門の人員を簡単に増やせるわけではないのが現状だ。

　日本情報システム・ユーザー協会（JUAS）が実施した「企業IT動向調査報告書2024」では、IT職種別の「人員が不足している」という質問に対して、回答者の76％が情報セキュリティ担当を、64％がベンダー管理担当、62％が運用管理担当など、人員がそれぞれ不足していると示されている。

　では、こうした状況を踏まえつつ、限られたリソースの中でビジネス部門によるクラウド調達を成功させるにはどうすればよいのだろうか。 【次ページ】クラウド調達を管理する「2つ」のポイント