ガートナージャパン(Gartner)は9月4日、DX(デジタルトランスフォーメーション)における「シャドーIT」の現状についての調査結果を発表した。
従来、シャドーITは避けるべきものであり、IT部門が管理することが望ましいとされてきた。しかし、最近ではクラウドの普及によりビジネス部門がITを選定・導入する機会や環境が整ってきたことから、企業におけるシャドーITへの見方に変化の兆しがあるという。
Gartnerは2024年4月、国内のITユーザー企業でITシステムの構築/導入/保守/運用および、サービス委託先の選定に関与している担当者を対象に調査を実施した。DX関連プロジェクトでのITベンダーの活用状況を確認した結果、7割以上の企業がITベンダーを活用していることが分かった。
一方、DXプロジェクトで利用頻度の高いクラウドサービスにおけるITベンダーの選定・交渉する組織を尋ねたところ、43.3%の企業がビジネス部門の意向が反映されやすい「非IT部門」(既存のビジネス部門や新設の専任部門など)で選定・交渉が行われていることが明らかになった。
同調査によると、ビジネス部門が主体的にクラウド調達に関わる企業のうち、57.6%が「ビジネス部門の要件を最大限反映したサービスを調達できた」と効果を感じていた。一方、93.8%の企業が何らかの課題を抱えており、特に「ベンダーへのセキュリティ評価がされない、あるいは不十分」(39.3%)や「調達するサービスと周辺システムとの互換性が検証されない、あるいは不十分」(38.8%)といった課題が指摘されている。
この結果では、ベンダーへのデュー・デリジェンスの不足を指摘する回答も29.2%を占めており、ガートナージャパン シニア ディレクター アナリストの土屋 隆一氏は次のように述べている。
「昨今では、業界に特化したソリューションや、ニッチな技術を提供するクラウドを採用することも少なくありません。こうしたベンダーの財務/経営面の脆弱性リスクについては、あらかじめ感知し、採用時にコンティンジェンシ・プランも併せて検討することが重要です。また、『既存システムと(一部または全部)重複した機能のサービスを購入してしまう(25.8%)』は、潜在リスクが大きな課題であり、軽視すべきではありません。重複したサービスの購入は、無駄な支出や機能重複による社内システムの複雑化を招き、結果的に障害の増加につながる恐れがあります。ソーシング/調達/ベンダー管理(SPVM)を担うリーダーは、ビジネス部門によるセルフサービスを認めるだけではなく、多角的にクラウドのリスクを評価する必要があります。そして、IT部門の関係者と協働し、ビジネス部門自らがベンダーのリスクを一次評価できる仕組みや、社内で推奨するクラウドを優先利用させるなどの調達ルールを策定することが今後求められます」(土屋氏)