「超ハイレベルなエクセルのマクロ」を作っちゃう人は迷惑なのか…社員の「野良IT」を活かせる組織の条件
2025年5月28日(水)16時15分 プレジデント社
※写真はイメージです - 写真=iStock.com/mapo
写真=iStock.com/mapo
※写真はイメージです - 写真=iStock.com/mapo
■組織が承認していないサービスを勝手に利用する「シャドーIT」
一般の人にはなじみのない言葉だと思うが、ITの世界では「シャドーIT」という言葉がある。
シャドーITとは、「企業や官公庁などの組織が承認していないITサービスを従業員が勝手に業務に利用すること」と言われている。
例えば、組織から支給されたPCで承認を得ずに、クラウドの大容量のファイル送信システムを利用したり、Slackを利用したり、SalesforceのようなSaasを利用したりすることが該当する。
また、そうしたクラウドサービスだけではなく、組織から支給されたPCで承認を得ずに、GmailやLINE、Zoomといったツールを使うこともシャドーITに含まれる。
組織としてのシャドーITに対する規制は、規則での利用制限・禁止と、PCで利用制限をかけるという二つの軸がある。
一般的な組織の場合は、シャドーITを禁止することを規則で定めているだけで、PCでの利用制限がかけられていないケースも多く、あまり意識せずにGmailやGoogleドライブを使っているケースも多い。
セキュリティに厳しい組織の場合は、アプリケーションをインストールする権限が利用者には与えられておらず管理用権限を必要としている場合や、特定のウェブサービスへのアクセスをネットワーク上で規制しているケースもある。
■禁止されているITサービスは利用してはならない
そもそもシャドーITを規制しているリスク管理上の理由は主に二つある。
一つは情報漏洩リスクを回避するためで、二つ目はマルウェア・ウィルス感染リスクを回避するためだ。
個人情報の漏洩や機密情報の漏洩は組織にとって大きな問題で、マルウェアの感染等で基幹システムが停止すれば大きな影響を及ぼす。
シャドーITが原因というわけではないようだが、2024年6月にKADOKAWAが大規模なランサムウェア攻撃を受けて、事業に大きな影響が出た事例を記憶している読者も多いだろう。
実際、シャドーITの利用が原因の情報漏洩は多数発生している。
注意が必要なのは、PCでの利用制限がないからといっても規則で禁止されているITサービスを安易に利用してはならないことだ。もし、なんらかの問題が起きれば、個人としての責任が追及されるからだ。
■シャドーIT対策未実施の企業が多い理由
アシュアードが2024年2月に発表した調査結果では、シャドーITにさまざまな課題を感じつつも、「従業員1000名以上の企業の6割がシャドーIT対策未実施」となっている。
シャドーITを禁止しているリスク管理上の理由として、情報漏洩とマルウェア・ウィルス感染があるが、情報システム部門からすれば管理上の問題もある。
現場で様々なITツールを勝手に導入されると、ネットワーク負荷の問題や、トラブル発生時の対応、コスト管理など様々な運用・管理上の問題が発生する。
そのため、管理部門としてはシャドーITを禁止したくなるのだが、様々なITツールが業務効率を上げる効果があることも理解しており、システムとして規制することが難しいことも分かっている。
だからこそ、シャドーITを禁止しておきながら、シャドーIT対策未実施、という中途半端な状態が生まれるわけだ。
■許可を得れば各種ITツールを使える組織も少なくない
逆にいえば、組織の状況にもよるが、各種ITツールやソフトウェアについて、情報システム部門等の管理部門の許可を得れば利用できるようになっている場合も多い。
許可されるかどうかはケースバイケースだと思われるが、規則で禁止されているITサービスを勝手に利用して問題を起こすリスク(責任を追及されるリスク)を考えれば、許可を求めることも考えるべきだろう。
写真=iStock.com/takasuu
※写真はイメージです - 写真=iStock.com/takasuu
とはいえ、同じITサービスでも、許可を受ければ問題なく、許可を受けなければシャドーITと呼ばれることに若干の違和感はあるかもしれない。
実際は、管理部門の誰かのPCにある許可リストに掲載されているかどうかの違いしかなく、許可を受けたからといってリスクが大きく変化するわけではないからだ。
だったら、利用可能なITサービスをリストにしてくれよ、と現場としては言いたくなるが、どんどん新しいITサービスが出てくる現状ではそうした対応も小さな組織では難しいだろう。
管理部門も何かことがおきれば責任を問われるわけで、できるだけリスクを回避しようとするからだ。管理部門も大変なのだ。
■リスクを回避するかイノベーションを優先するか
シャドーITを厳しく規制している組織と、ほとんど規制していない組織の違いは、簡単に言えば組織風土だ。
厳しく規制している組織の代表例は官公庁で、Zoomすら使えず、メールで添付ファイルを送るときには上司をccに入れなければならないといった組織もある。
ほとんど規制していない組織の代表は、大学だろう。多くの大学では学生を含めてBYOD(Bring Your Own Device=私物デバイス持ち込み)で、個人所有のPCを大学のネットワークに接続し、大学の各種システムが利用できるようになっている。
大学の外から大学のシステムに接続する場合は多くの場合でセキュリティがある程度確保されるVPN(Virtual Private Network)経由となっているが、クラウドサービス等の利用には制限がなく、シャドーITという概念はほとんどない。
この違いはおそらく、リスク回避指向とイノベーション追求指向の違いだろう。
官公庁は、イノベーションよりもリスク回避を優先し、大学はリスク回避よりもイノベーションを優先しているということだ。
この視点の違いは、企業経営者にとっても重要なはずで、シャドーITは、情報システム部門や管理部門だけの問題ではなく、経営、組織風土の問題だと認識すべきだろう。
写真=iStock.com/FabrikaCr
※写真はイメージです - 写真=iStock.com/FabrikaCr
■ExcelやAccessを使って現場が作る「野良IT」
厳密な定義があるわけではないが、シャドーITに対して野良ITという言葉もある。
ここでは野良ITを、外部のクラウドサービス等ではなく、ExcelやAccess等の許可されたアプリケーションソフトのマクロやVBA等を使って現場が作った業務システム、と定義する。
情報システム部門等が把握していないという点はシャドーITと同じだが、シャドーITと根本的に違うのは、情報システム部門等が規制できない、という点だ。
なにしろ、ほとんどの組織で使われているMicrosoftのOffice365に含まれている、ExcelやAccessの機能を使っているだけだから、規制のしようがない。
とはいえ、現場が情報システム部門等に相談することなく作ったExcelやAccessのマクロやVBAを使ったシステムで問題が起きることもある。
例えば、そうした野良ITを作った担当者が退職したことで修正等ができなくなり業務が止まったり、Accessファイルの2GB制限でシステムが停止して業務が止まったりといったことも起きている。
しかし、こうした野良ITを責めるのは酷だろう。
なにしろ、野良ITを作った個人(時には少人数のチームのこともある)は、良かれと思って、ルールの範囲内で努力しただけなのだから。
ネットで少し調べると、野良ITに対して批判的な管理指向の強い人達からは、野良IT自体をIT部門の許可制にすべきだといった意見も見られるが、現実的ではない。
例えば、営業所から集めた売上データを本部の担当者がマクロで集計を自動化することも野良ITにあたると思うが、Excelのマクロを使うことをIT部門の許可制にできるわけがないからだ。
少なくともシャドーITに該当しない範囲での野良ITは規制できないし、規制すべきでもない。
■野良ITのある組織は二つの意味で能力が高い
そもそも野良ITが存在する組織は二つの意味での能力が高い。
一つ目は、野良ITを作れるだけの能力が組織メンバーにあるという点だ。ChatGPTのような生成系AIが登場してから、マクロやVBAプログラミングのハードルが劇的に下がったとはいえ、ExcelやAccessのマクロやVBAを使って一定の業務システムを作るには、相当のスキルと論理的な思考能力が必要だ。そうした能力のあるメンバーが何人もいる組織の能力は相当高い。
二つ目は、組織風土だ。野良ITを作れるということは、それだけその組織がイノベーションを追求し、新しい挑戦を許容する組織風土を持っていることを表している。
何をやるにも上司や管理部門の許可が必要で、少しのミスでも厳しくとがめられるような組織風土の場合には、野良ITに取り組もうとは誰も思わないだろう。
うまくいった場合のメリットよりも、何か問題が起きたときのリスクのほうが大きいからだ。
写真=iStock.com/tadamichi
※写真はイメージです - 写真=iStock.com/tadamichi
■現場とIT部門、管理部門のコミュニケーションが大切
さらに情報システム部門や管理部門が野良ITをなんとかしなければ、と思っているのであれば、それは現場のITスキルが相当高い、ということなのだから、規制するよりもその能力を活かしつつリスクを回避する方法を考えれば良い。
それには許可制や申告制といったルールをつくることよりも、現場とIT部門、管理部門のコミュニケーションを円滑に密に行えるように工夫し、どこでどんな野良ITがあるのかが自然と把握できるようにして、さらに一定の支援体制を作ることが重要だろう。
そうした風土があれば、野良ITを作る人達の経験・スキルが蓄積されていき、退職や異動があっても、それを別の担当者が引き継ぐことができるようになっていくはずだ。
何かトラブルがあって現場で手に負えない状況になっても、IT部門が適切な支援や対応ができるようにもなる。
「仕方ねえよな、全く」と笑いながら、対応できるIT部門があるとすれば、その組織は相当イノベーティブなはずだ。
----------
宗 健(そう・たけし)
麗澤大学工学部教授
博士(社会工学・筑波大学)・ITストラテジスト。1965年北九州市生まれ。九州工業大学機械工学科卒業後、リクルート入社。通信事業のエンジニア・マネジャ、ISIZE住宅情報・FoRent.jp編集長等を経て、リクルートフォレントインシュアを設立し代表取締役社長に就任。リクルート住まい研究所長、大東建託賃貸未来研究所長・AI-DXラボ所長を経て、23年4月より麗澤大学教授、AI・ビジネス研究センター長。専門分野は都市計画・組織マネジメント・システム開発。
----------
(麗澤大学工学部教授 宗 健)
関連記事(外部サイト)
