シャドーITとは何か？ノーコード・ローコード時代の“見えないIT”のリスクと対策

シャドーITとは何か？ノーコード・ローコード時代の“見えないIT”のリスクと対策

本記事で解決できるお悩み

• 従業員による非承認ツールの利用が増え、IT環境が可視化できていない
• シャドーITを抑制したいが、現場の業務効率化ニーズとの板挟みになっている
• ノーコード／ローコードを推進したいが、属人化や統制の崩れが懸念される

シ。-シャドーITという古くて新しいリスクについて-

「シャドーIT」と聞くと、多くの人は眉をひそめる。ルール違反。情報漏洩。統制崩壊。監査NG。——そうした言葉が、反射的に思い浮かぶかもしれない。

　だが、少しだけ立ち止まって考えてみたい。シャドーITは、本当に“悪”なのだろうか？

　現場は、怠けているわけではない。むしろ逆だ。目の前の仕事を止めないために、誰よりも必死に工夫している。公式のシステムが遅い。手続きが重い。改善が進まない。それでも成果は求められる。締切は待ってくれない。その結果として、管理外のIT利用が生まれる。

　個人のクラウドに資料を置く。承認されていないSaaSを試す。ノーコード／ローコードで業務アプリを作る。生成AIで下書きを作る。そしてその行為は、いつの間にか組織の“影”となる。

　シャドーITは、現場の反乱というよりも、組織のITが抱える構造的な課題が表面化した「症状」と捉えることもできる——。

　本記事では、シャドーITの定義とリスク、発生メカニズムを整理したうえで、シャドーITが加速する構造を解説します。加えて、ノーコード／ローコード時代だからこその向き合い方を提示し、制度設計によってITガバナンスと業務効率性を両立させる現実的なアプローチを考察します。

0. そもそもシャドーITとは？

　一般に「シャドーIT」とは、情報システム部門やIT統制の管理下にない形で、現場が独自に導入・利用しているITツールやサービスを指します。会社として正式に承認していないにもかかわらず、業務で利用されているITのことです。

　例えば、USBメモリや個人のGmailアカウントでのデータ送信、個人PCへの業務データ保存、企業が許可していないSaaSや生成AIサービスの利用などが該当します。

　では、シャドーITの何が問題なのでしょうか？シャドーITは、単なるルール違反ではありません。

　第一に、そもそも安全性が担保されていないITツールやサービスを従業員が利用してしまう危険性があるという問題です。一般的には、情報システム部門のほうが現場の従業員に比べてITに関する知識は豊富であると考えられます。極端な話、現場の従業員が便利そうだからとダウンロードしたアプリケーションが、実はマルウェアやスパイウェアだったという可能性も否定できません。そのため、情報システム部門が利用を許可したITツールやサービスのみを利用するほうが、現場が独自の裁量で勝手にITツールやサービスを利用するよりセキュリティリスクは低いといえます。

　では、安全性が十分に担保されているITツールやサービスであれば勝手に利用したりダウンロードしたりしても問題ないのかといえば、そういうわけでもありません。

　第二の問題は、シャドーITが存在すると、データの所在が不明確になってしまうということです。どの部門が、どのクラウドに、どの情報を保存しているのか把握できない状態では、情報漏洩やインシデント発生時の初動対応が遅れます。

　第三に、シャドーITは内部不正の温床となってしまうという点です。Gmailなどの個人のツールを利用して業務が行われることが常態化している組織では、退職者の個人のツールに業務データが残ってしまいます。そのため、内部不正や外部流出のリスクが高まります。

　最後に、ノーコード・ローコード時代特有のリスクとして、属人化とブラックボックス化も無視できません。ある担当者が独自に作成したノーコードアプリが、引き継ぎなく放置されてしまえば、これも情報システム担当部門などによるIT統制下にないので、広義には「シャドーIT」といえるでしょう。仕様もデータ構造も分からないまま、業務だけが依存していけば、保守が行われないため時間が経つにつれセキュリティリスクが拡大してくと同時に、事業継続リスクにもなります。

　見えないということは、管理できないということです。そして管理できないものは、最終的に経営リスクになります。

　最後に、シャドーITが発生するメカニズムについても確認しておきましょう。ここで重要なのは、シャドーITが必ずしも悪意や意図的なルール違反から生まれるわけではない、という点です。多くの場合、現場は「これを使えば仕事が前に進む」という合理的な判断から行動しています。言い換えれば、シャドーITは合理性の結果として自然発生している側面があります。

　では、なぜこうした管理外の利用が起きるのでしょうか。

　情報セキュリティ分野でよく引用される理論に「不正のトライアングル」があります。人は、「動機」「機会」「正当化」の三要素が重なるとき、ルールの外側に踏み出しやすくなるとされています。

　シャドーITの文脈でいえば、締切や業務逼迫という業務上のプレッシャーがあり、クラウドやインターネットから簡単にダウンロードできる環境があり、「仕事のためだから」という心理的な正当化が働きます。こうした条件が重なることで、管理外のIT利用は自然に発生しやすくなるのです。

　そうしたルール違反をしている社員に対して注意を行うことはもちろん必要です。ですが、それは対症療法にすぎません。シャドーITの根絶を目指すのであれば、こうした構造が成立してしまう組織の在り方に目を向けることこそが欠かせません。

1. シャドーITが加速する構造

　シャドーITは、決して新しい問題ではありません。

　思い返せば、EUC（End User Computing）の時代から、その兆候はありました。現場がExcelマクロで業務を自動化し、Accessで簡易データベースを作り、ファイルサーバーの奥深くに“誰も仕様を知らない業務システム”が眠っている——。こうした光景は決して珍しいものではありません。

　野良RPAも同様です。ある部署が独自に契約したRPAツールで業務を自動化し、担当者の異動や退職とともにシナリオがブラックボックス化する。気づいたときには誰も触れない「自動化された業務」だけが残る。コンサルティングを行う中で、私自身、こういうエピソードはよく耳にしてきました。

　そして現在、それがクラウドによって一気に拡張しました。かつては、サーバーを立てるにも時間と予算が必要でした。しかし今は、クレジットカード一枚でSaaSを契約でき、無料トライアルで業務データをアップロードできる時代です。また、CDを購入してITツールをPCに取り込んでいた時代とは異なり、アプリケーションのダウンロードはMicrosoft Storeなどから容易に行えます。

　余談にはなりますが、IT業界には、「許可より謝罪（Permission is easier to ask forgiveness than permission）」という有名な言葉があります。まずやってしまい、後で説明すればよい、という意味です。

　スタートアップ文化においては、この姿勢がイノベーションを加速させてきました。私自身、起業家育成のカリキュラムのあるプログラミングスクールに通っていたこともあり、IT業界のこうした文化への理解はあるつもりです。ただし、誤解してはならないのは、この言葉が情報セキュリティの軽視を意味するわけではない、ということです。成熟したスタートアップやテック企業ほど、セキュリティ設計にはむしろ敏感です。スピードと統制は対立概念ではなく、両立させるべきものだという認識が共有されています。

　便利そうだから試してみる。とりあえずこのWebツールにアップしてみる。このAIに資料を読ませてみる。その一つひとつは小さな行為であり、一見するとIT業界の「許可より謝罪」的な文化とも非常に親和的に見えます。しかし、それが積み重なったとき、組織は自分たちのデータがどこにあり、誰がアクセスでき、どのように処理されているのかを把握できなくなります。

　前述のプログラミングスクールで、私は「ITの今後を予測することは難しいものの、『中央集権から分散へ』という大きな方向性だけは変わらない」と学びました。中央銀行が発行を独占する通貨から、個々人がマイニングできる暗号資産へ。巨大資本を有するホテルチェーンから個々人が自宅を宿として貸し出せるAirbnbへ。「Disrupt」の本質は常に中央集権から分散へという流れです。これは、限られたITエンジニアしか開発を行えない時代からノーコード・ローコードやAI駆動開発へという開発技術のトレンドとも符合します。

　しかし、分散化は統制モデルを再設計しなければ、無秩序へと傾きます。

　中央集権型の承認フローを維持したまま分散化を進めれば摩擦が生まれます。統制を放棄すれば、リスクは拡散します。分散化したITを、再び中央に集め直すことは現実的ではありません。現場はすでにノーコードや生成AIを使い始めていますし、その流れを力で止めれば、ITは地下に潜るだけです。

　では、どうすればよいのでしょうか。

　弊社では、分散化を前提にした統制モデルへと、アップデートすることが必要であると考えています。IT部門がすべてを開発し、すべてを承認し、すべてを管理するという中央集権モデルは、スピードと柔軟性の面で限界に来ています。一方で、完全な自由化はリスクを外部化します。

　求められているのは、「管理」と「現場の自律性」の間にある中間解です。そのヒントの一つが、市民開発です。

2. 市民開発はシャドーITを減らしうるか？：「ワクチン」としての市民開発

　では、市民開発を推進すればシャドーITは減るのでしょうか。

　結論から言えば、「やり方次第」です。

　ノーコード／ローコードツールを全社に配布し、「自由に作ってよい」と宣言して、情報システム部門はそれ以上何も現場に介入しないと仮定しましょう。このとき、野良アプリが増え、データ連携が複雑化し、責任の所在がさらに曖昧化することは、1990年代のEUCの挫折から見ても容易に想像がつくでしょう。この状態は統制の緩和ではなく、統制の崩壊であり、言葉を選ばずに言えば、いわば「情シス部門公認のシャドーIT」が大量に生まれただけだといえます。

　一方で、市民開発をガバナンスされた枠組みの中で推進するならば、話は変わります。

　標準ツールを定め、データ接続を制御し、ログを取得する。従業員が作成したアプリケーションに対して簡易なレビュー体制を設けるとともに、棚卸しを定期的に行う。市民開発者向けのガイドラインや教育プログラムも整備する。

　こうした仕組みを整えた上で現場の自律性を認めるならば、市民開発は地下に潜っていたシャドーITを地下から地上へ引き上げる装置になります。

　ここで、市民開発はワクチンのように機能します。

　ワクチンは、ウイルスを完全に消し去るものではありません。弱毒化し、制御可能な形で体内に取り込むことで、免疫を獲得する仕組みです。同様に、ガバナンスされた枠組みの中で推進された場合には、市民開発はシャドーITを使ってでも業務改善したいというエネルギーを情報システム部門が制御・管理可能な形にする上で有用な仕組みだといえます。

　問題は「使うな」ではなく、「どう使わせるか」です。

3. まとめ

　本記事では、「シャドーIT」という用語とシャドーITの問題点、さらに発生メカニズムについて紹介しました。また、弊社の見解として、シャドーITの解決にはガバナンスの取れた市民開発が有用となりうることを示しました。

　では、市民開発に必要なガバナンスとは何でしょうか？

　まず、市民開発の前提となるガイドラインの明文化です。どのデータを扱ってよいのか、どのデータは扱ってはならないのか。外部サービスとの接続はどこまで許容されるのか。ログ取得や監査証跡はどのように担保するのか。曖昧なままでは、市民開発は再びシャドーITへと回帰します。

　次に重要なのが、人材育成です。

　ノーコード・ローコードツールを扱えるだけの人材ではなく、データ分類やアクセス制御、監査の意味を理解した「ITガバナンスを理解する市民開発者」を育成する必要があります。分散化時代のDXは、開発スキルと統治リテラシーの両立を前提としています。

　さらに、可視化と追跡可能性を担保する基盤の整備も欠かせません。たとえばMicrosoft Purviewのような統合データガバナンス基盤を活用すれば、データの所在や分類、アクセス状況を横断的に把握できます。分散した市民開発環境であっても、データ統制の“背骨”を通すことが可能になります。

　市民開発ガイドラインの策定、人材育成、そして可視化基盤の整備。これらを一体として設計することではじめて、市民開発はシャドーITの温床ではなく、分散化時代の統治モデルとして機能します。

筆者：W.S.

ITガバナンスおよび市民開発推進を得意領域とするコンサルタント。中堅〜大手企業のIT統制設計・DX推進支援に従事。
個人開発者としてJavaScriptおよびFirebaseを用いたWebアプリ開発にも取り組み、開発現場と統治設計の両面からDXを研究している。
同志社大学大学院経済学研究科博士後期課程修了単位取得退学。

＼今なら無料！／

【30分DX無料相談 実施中】

「業務を効率化したいけれど、どこから手をつければいいかわからない…」「どのツールが自社に合っているのか、比較検討したい…」「市民開発をどのように推進すればよいか、専門家の意見を聞きたい…」

そんな悩みに、経験豊富なDX推進コンサルタントが個別に対応！

→ お申込みはこちら：https://www.qloba.com/forms/10862?_gl=1*1iahbda*_g...