Gartner、デジタル・トランスフォーメーションの取り組みにおける「シャドーIT」の現状に関する調査結果を発表

ガートナージャパン株式会社 (本社：東京都港区、以下Gartner) は、 デジタル・トランスフォーメーション (DX) の取り組みにおける「シャドーIT」の現状に関する調査結果を発表しました。

エンドユーザーが社内に公知せずに導入する「シャドーIT」は元来、極力避けるべきものであり、専門知識を有するIT部門が極力、管理・統制することが望ましいとされてきました。しかし、昨今はビジネス部門が主導するDXの増加や、クラウドの普及により、ビジネス部門自らがITを選定・導入する機会や環境が整ってきました。高まり続けるITへの需要とIT部門における深刻な人材不足を背景に、企業におけるシャドーITへの見方に変化の兆しが出てきています。

7割以上の回答企業がDXにおいてITベンダーのサービスを活用

Gartnerは2024年4月に、国内のITユーザー企業で、ITシステムの構築／導入／保守／運用および、サービス委託先の選定に関与している担当者を対象とした調査を実施しました。DX関連のプロジェクトにフォーカスして、企業がITベンダーをどの程度活用しているかを尋ねたところ、7割以上の回答企業がITベンダーを活用している (「積極的にITベンダーを活用」と「必要に応じて補完的にITベンダーを活用」の合計) ことが明らかになりました (図1参照)。

一方、DXプロジェクトでも特に利用頻度が高いクラウド・サービスにおいてITベンダーの選定・交渉する組織を尋ねたところ、43.3%の回答企業は、ビジネス部門側の意向が反映されやすい「非IT部門 (既存のビジネス部門、IT部門と共同で新設した専任部門、部門横断的なチームなど)」で選定・交渉が行われていることが明らかになりました。

シニア ディレクター アナリストの土屋 隆一は次のように述べています。「昨今、国内では内製化への取り組みが話題になっていますが、今回の調査結果からは依然、ITベンダーへのニーズは旺盛であることがうかがえます。管理を担当すべきIT要員が慢性的に不足している状況を鑑みても、今後もシャドーITは減ることはなく、むしろ増えると見込んでいます。シャドーITのリスクを低減しつつ、適切な形でビジネス部門に一部のIT調達を委ねられる仕組みを検討することは、企業にとって喫緊の課題と言えます」

Gartnerでは、全社共通のフレームワークにより取引リスクを評価し、「低リスク」の取引についてはビジネス部門の権限と責任の下に調達を委ねる仕組みを「セルフサービス」と称しています。これはIT部門が存在を掌握できていないシャドーITとは意味を区別しています。効率的なリソース配置や迅速性の向上を目的に、企業は、今後ビジネス部門のセルフサービスによる調達を増やす必要に迫られています。

セキュリティ評価の不足と既存システムとの互換性検証不足が主な課題

本調査では、ビジネス部門が主体的にクラウド調達に関わっていると回答した43.3%の企業に対し、実際の効果と課題についても質問しました。ビジネス部門が実現できた効果として最も多く挙げたのは、「ビジネス部門の要件を最大限織り込んだサービスを調達できた」でした (57.6%)。

一方、ビジネス部門が主体となりクラウドを調達する際の課題については、全体を通して「課題がない」と回答した企業はわずか6.2%にとどまっており、残りの93.8%が何らかの課題があることが明らかになりました。個別の回答を見ると「ベンダーへのセキュリティ評価がされない、あるいは不十分 (39.3%)」「調達するサービスと周辺システムとの互換性が検証されない、あるいは不十分 (38.8%)」という回答が特に高く、シャドーITが過去から持つ懸念事項が根強いことが改めて浮き彫りになりました (図2参照)。

上記結果では、ベンダーへのデュー・デリジェンスの不足を指摘する回答も29.2%を占めています。土屋は次のように述べています。「昨今では、業界に特化したソリューションや、ニッチな技術を提供するクラウドを採用することも少なくありません。こうしたベンダーの財務／経営面の脆弱性リスクについては、あらかじめ感知し、採用時にコンティンジェンシ・プランも併せて検討することが重要です」

「また、『既存システムと (一部または全部) 重複した機能のサービスを購入してしまう (25.8%)』は、潜在リスクが大きな課題であり、軽視すべきではありません。重複したサービスの購入は、無駄な支出や機能重複による社内システムの複雑化を招き、結果的に障害の増加につながる恐れがあります。ソーシング／調達／ベンダー管理 (SPVM) を担うリーダーは、ビジネス部門によるセルフサービスを認めるだけではなく、多角的にクラウドのリスクを評価する必要があります。そして、IT部門の関係者 (セキュリティやITインフラストラクチャ&オペレーション [I&O]、ITアプリケーション担当) と協働し、ビジネス部門自らがベンダーのリスクを一次評価できる仕組みや、社内で推奨するクラウドを優先利用させるなどの調達ルールを策定することが今後求められます」

Gartnerのサービスをご利用のお客様は、リサーチノート「デジタル・トランスフォーメーションにおける『シャドーIT』の現状」 ならびに「ビジネス部門によるクラウド調達のリスクとその処方箋」で詳細をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、ニュースルームよりご参照ください。