情報システム部を孤独にさせない（シャドーITのリスク）

■EUCの副作用

聞き慣れない言葉「シャドーIT」という言葉を聞いた。

ウィキペディアによれば
「企業・組織側が把握せずに従業員または部門が業務に利用しているデバイスやクラウドサービスなどのITのこと」
とされている。

BYODとあまり区別はつかないが、スマホが普及し始めたあたりから問題視されてきている。
今でも状況は変わらないのかと思ったら、かえって悪化しているようだ。

https://cybersecurity-jp.com/security-measures/28258
シャドーITとは？企業におけるリスクの種類とその対策方法を徹底解説

・社員が会社のネットワークを無視してメールをする。
gmailなどはその代表だろう。
・組織のプラットフォーム以外でワークフローを展開する
FaceBook（コミュニケーション）、SanSan（名刺管理）、Googleグループ、インターネットの経理システムなどいろいろある。

かつてEUC（End User Computing）などと奨励していたことをあざ笑うように利用者は勝手にITの活用をしている。

情報システム部門はどんな対策を用意すべきなのだろうか。
こうしたクラウドサービスを使うときのガイドライン（罰則も入れること）をつくる以外に手はないのだろうか。
組織の管理下に置くことを前提にいくらルールを設けようと、ユーザーが勝手に使うことを止める方法はない。

■マネジメントを強化しても旨く行くのか

マネジメントの強化と言うことでは指針としてISOの枠組みがある。
　情報セキュリティではISO27001（通称ISMS）がある。

もともと情報セキュリティはITの一分野なので興味というか仕事の一分野として認識していた。結局は返上したが「ISMSの審査員」の資格まで保有していた。
　返上した理由は、それまで一部ホスティングサービスの利用はあったものの、オンプロミスが主流だったものが急激にクラウドに移行し始めたことがある。

情報セキュリティの原則としてCIAがある。
　有名な基準なので引用しておく。

機密性 （confidentiality）
許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性

完全性（integrity）
資産の正確さおよび完全さを保護する特性

可用性 （availability）
許可されたエンティティが要求した時に、アクセスおよび使用が可能である特性

さて、クラウドサービスを使うと云うことはどういうことだろうか。昨今のいろいろな事故を見ていると漏洩リスクやがないとはとても云えない。また滅多にはないのだがデータの消失リスクも存在する。ランサムウエアも侮れない。そんな中で、CIAの基準で見ると、他社が見れないとしてもクラウドサーバーの管理者は「する／しない」は別にしてもデータ操作が可能なことには変わりない。機密性が担保できているとは云えない。

そうした中で、こうした技術を背景としたISMSの構築はどうあるべきかの議論が難しく、自分自身が正解を持てないこともあり、審査の世界から離脱した。

現在、クラウドに関しての規格としてISO27017が用意されている。
　ISO27017は、取得すれば、社内の情報セキュリティ体制を整備できるとともに、自社顧客にデータ管理の安全性を示すことができると言うことが期待されている。
　しかし、ISOは「何を監視しなければならないか」は記述されているが「具体的な何」は示されておらず、ましたやどうやっても記述されていないので、具体的な施策は自分たちで考えなくてはならない。

■　情報システム部門の憂鬱

すでに30、40年前から情報システム部門の過負荷は問題視されており、当時は「バックログ」（積み残し）が課題の一つであった。しかし潜在的には、情報システム部門と現場部門とのコミュニケーション不足、あるいは相互認識の齟齬による不信感が土台に合ったのではないかと思う。それは今でも変わらないかもしれない。

現在の経営は、あるいは営業は「勘と度胸と経験」などと言われていたが、今は「客観的な判断基準」と「戦略」が必須である。そうしないと社員がついてこない。情報戦略も同じである。

情報システムについてはわからなので「よろしく」、あるいはコストセンターなので営業部門の言うことは「文句を言わずにやれ」では、まともな対応はできない。

情報システム部門の発する言葉にも耳を傾けなければならない。そうしないと、ある日突然、事故に巻き込まれる。

＜閑話休題＞