[筆者: James Quigley ](CanvasのCEOで協同ファウンダ、Washington, DC郊外のコワーキングスペースRefraction Restonの協同ファウンダ。)
今ぼくが原稿を書いているまさにこの時点でも、多くの企業のIT部門は、社員や部課などからのITプロジェクトのリクエストの、膨大なリストを抱えている。それらにはたとえば、倉庫業務のためのモバイルのカスタムアプリもあれば、Salesforce.comをバックエンドのオフィスシステムと統合したいというリクエストもあるだろう。
この無限に長いリストを管理するために、IT部門は、リクエストを会社の業績に与える影響の大きさや、現時点での重要性の順に並べ替えたりする。そして整列したリストの上の方に来るのは、売上を上げたり、顧客体験を改良するプロジェクトになりがちだ。逆に、ロジスティクスを合理化するなどの内部的なリクエストは後回しにされる。そしてこのやり方では、プライオリティの高いリクエストは完了するが、その他大勢は未着手のまま放置されたり、着手されてもだらだらとデリバリが遅れがちになる。
これらの問題は、IT部門の責任ではなく、また彼らのさまざまな社内顧客が悪いのでもない。イノベーションが急速に進む今日では、社員や各部課等は、自分たちのアイデアが実装されるのを何週間も何か月も待つことはできない。ITが慢性過負荷であることを知った彼らは、Webやモバイル上などですぐに使えるアプリケーションや、クラウドサービスを利用しようとする。それが、今ではShadow IT(シャドーIT)と呼ばれているトレンドの起源だ。それは、大まかな定義としては、IT部門が知らないうちに、あるいは認めたおぼえがないのに、社内的に作られて/使われてしまうアプリケーションやITソリューションを指す。
シャドーITはイノベーションを推進するか?
世界の200名のCIOにアンケート調査をしたBrocadeの報告書によると、回答者の83%が、部課等によるクラウドサービスの勝手な利用を経験している。それどころか最近まで、企業の役員やIT部門は、シャドーITをセキュリティやコントロールを脅かす危険な兆候とみなしていた。しかし、シャドーITを悪者視せずに、むしろ、イノベーションを促進し費用を低減するための貴重なツール、と考えたらどうだろうか? 企業が社員を‘市民デベロッパ’とみなし、プロダクトやプロセスが完成するまでの過程で革新的なアイデアを自由に持ち込んでよい、と彼らを奨励したらどうだろう?
ITのスペシャリストでない社員が社内でイノベーションを主導する機会は、現状では、従来的なアプリケーション開発や製品開発の方式に、邪魔されてぽしゃることが多い。しかしシャドーITの勃興は、ある面では、人不足力不足のITにまかせていたのではいつまで経ってもらちが明かないプロジェクトを、自分たちで前へ進めたい、という社員の欲求を反映している。
そうすることによって、一般社員が‘市民デベロッパ’(citizen developers)になる。それは、組織内のITスペシャリストでない人たちが、自らの力を発揮して、 ITが無関与のまま、自分たちのビジネスニーズを満たすソリューションを即席で構築展開することを指す。それがうまくいき、他の部課が見倣うようになると、このイノベーションが全社化する。
シャドーITはIT部門の仕事を楽にするか?
リストのうしろの方へ追いやられてしまいがちなITタスクは、現場仕事の生産性を上げるものとか、コミュニケーションを簡素化するもの、プロセスを改善するもの、などが多い。これらは顧客や消費者に関連するセクシーなプロジェクトではないが、でも、業績向上に大きく貢献するものもありえる。
企業はシャドーITのセキュリティリスクと、市民デベロッパによるイノベーションを封殺する機会損失とを、秤(はかり)にかけてみるべきだ。
今人気が盛り上がっている企業向けのメッセージングアプリSlackは、シャドーITがイノベーションを刺激しITのリソースに余裕を作り出す好個の例だ。Slackのデプロイは多くの企業において“land and expand”方式(まず上陸、それから拡大)で行われている。ひとつの部署が使い始めて好評が社内に広まり、まるで山火事のように利用が全社に広がる、というパターンだ。
IT部門が自分たちの過負荷を防ぐためには、自ら進んで社内の顧客たちの先手をうち、彼ら自身の力で問題解決に取り組むよう仕向けるべきだ。そうすればIT部門は、専門知識と専門技能を要する高度なイノベーションのプロジェクトに専念できる。言い換えると企業のIT部門は、率先して、シャドーITの推進役に徹した方がよい。
シャドーITのセキュリティは大丈夫か?
2015年のVanson Bourneの調査によると、イギリスのエンタプライズのCIOの89%が、未承認のシャドーITは企業に長期的なセキュリティリスクをもたらす、と感じている。もちろん、目の届かないところで社員たちがアプリケーションやサービスをデプロイするときには、セキュリティの弱点について十分注意しなければならない。ときには、IT経験の浅い社員が勝手に導入したテクノロジによって、既存のシステムやネットワークが破壊されることもありえる。それは、不注意によって弱点を見過ごすことよりも、さらに危険だ。
企業はシャドーITのセキュリティリスクと、市民デベロッパによるイノベーションを封殺する機会損失とを、秤(はかり)にかけてみるべきだ。シャドーITが、会社のメインシステムのデータに触るかどうかも、よく調べなければならない。データを変えないまでも、重要な企業情報の勝手なアーカイブを作ったりしないか? そのシャドーITの環境は、どれだけ安全か? シャドーITはデフォルトではセキュアではないが、事前に重要なパラメータをすべてチェックすれば、良い防備ができる。
シャドーITにおけるIT部門の役目
シャドーITのネガティブなイメージは、それがIT部門に隠れて秘密裏に行われる、という考え方にも原因がある。そういう場合も少しはあるかもしれないが、でもいちばん多いのは、そういうことが行われているのをIT部門は知っているけど、そのwho、what、howなどの詳細を知らないケースだ。その効果も、IT部門は認識していない。今年の初めにCloud Security AllianceがIT部門の役員に対して行った調査[PDF]によると、役員たちの72%は、自分の会社でどれだけのシャドーITアプリケーションが使われているか知らない。会社内のシャドーITの全体像を把握している者は、わずかに8%だった。
組織がシャドーITから十分な利益を得るためには、IT部門が具体的に指導的役割を発揮すべきである。その背後にあるプラットホームを技術的によく調べて承認したり、あるいは自ら新しいサービスやアプリケーションを発見してもよい。そしてそれらの発見を社内の市民デベロッパたちに伝えれば、シャドーITの効果そのものが大きく向上するだろう。
社内における市民デベロッパの登場は今後数年間で業界共通のテーマになり、そしてシャドーITのポテンシャルを前向きに歓迎する企業こそが、明日のイノベーションと繁栄にいちばん近い位置につけるだろう。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa)