“ローグクラウド”実装が急増　管理部門の新しい頭痛の種

　設定などの面倒な作業が不要で、簡単に導入してすぐに使える一般向けクラウドサービスは、企業に新しい課題をつきつけている。サービスをすぐに使いたい部門や従業員が、システム部門を経由せず外部のクラウドサービスを利用するケースが増えており、情報流出などが起こっているのだ。こうしたクラウドは「ローグクラウド（Rogue Cloud）」と呼ばれ、管理上の大きな問題になりつつある。

実態がつかめないローグクラウド実装数

　Symantecが1月16日に発表した調査レポート「Avoiding the Hidden Costs of Cloud 2013 Survey」によると、企業でシステム部門を経由せずに導入されるクラウドが増えているという。例えば、提携先とすぐに共有したい資料があるときに、システム部門に知らせず、Dropboxを利用するとか、営業マネージャーが勝手にSalesforce.comを導入するなどの例がある。

　この調査の対象となった29カ国3236社のうち77％が、社内のITインフラで管理したり統合できないクラウドがあると回答した。大企業だけでみると、比率はさらに高く83％にのぼる。「驚いたことに、よくある問題となっている」と調査レポートは記している。

　「ローグクラウド」のRogueは「離脱した」などの意味だ。ローグクラウドはシステム部門の管理が及ばないため、情報セキュリティなどのリスクが生じる。実際、Symantecの調査ではローグクラウド実装があった企業や組織の40％が、秘密情報の露出を経験した。さらに4分の1もの企業が、製品やサービスの窃盗、アカウントの乗っ取り、Web資産の破壊などの被害を報告したという。

「IT部門を経由するとプロセスが複雑になる」

　ローグクラウドの問題は早くから指摘されており、例えば。2010年にMicrosoftが発表したクラウドの経済性に関する報告書も触れている。また、情報システム向けの情報サイト、CIO.comも何度か取り上げており、例えば、2011年7月の記事では、ローグクラウドの実態を詳細にレポートしている。

　当時、米国企業のITマネージャーで、クラウドコンピューティングやSaaSを利用・テスト中とした人は半分にも満たなかった。だが、実際はシステム部門が知らないところでクラウドサービスは導入されており、コメントしたForresterは、非公式なローグクラウドが公式なクラウドの2倍以上あると予想していた。

　Forresterのアナリストは「システム部門が自社内で利用されているクラウドサービスの数を少なく見積もりすぎていたことに驚いている」と述べている、また調査で、部門が独自にクラウドサービスを導入できる予算を持っていることも分かった。事業マネージャーの69％が「システム部門を経由せず、直接サービスを購入するための予算がある」と回答している。Forresterは、システム管理部門が社内のIT利用について把握できなくなっていることに警鐘を鳴らした。

　この記事は1年以上前のものだが、今回のSymantecの報告書からは、問題が深刻化していることがうかがわれる。アンケートでは、20％が「勝手にクラウドを実装してはいけないことを知らなかった」と回答している。目的で最も多かったのは「時間とコストの削減」という。「システム部門を経由すると、プロセスが複雑になる」と考えたようだ。これは2011年のCIO.comの記事と同じで、当時の調査でも「簡単だから」（61％）、「IT部門を経由すると時間がかかる」（50％）という事業部門側の意見が並んでいる。

　ローグクラウドを取り上げたVMwareの2012年5月のブログでは、仮想化とインフラのクラウド化というエンタープライズのトレンドは、モバイルとITのコンシューマリゼーション（コンシューマー化）と似ている、と分析する。背景にあるのは速度、利便性、低コスト。そして、さらに拍車をかけるのが、OSやWebブラウザに依存しないアプリの急増だ。これによって、部門や社員は容易に最新技術にアクセスできるようになった。しかも、メリットは無視できない。

　「これはIT部門に新しい課題をつきつけている」とVMwareのブログは言う。システム部門がどうやって関連性のある存在で有り続けるか、データの安全性、規制順守などをどのように徹底するのか、事業部門側にシステム部門の作業の価値をどう認識させるか――などが課題となる。

システム部門の存在価値を示すとき

　では、システム部門がその存在価値を認められるには、どうすればいいのか――。Symantecは、情報と人についてのポリシーにフォーカスすること、ポリシーの伝達/モニタリング/徹底を挙げる。

　CIO.comはより具体的で、（1）事業部門が望むものを得られる方法を用意する、（2）高速な調達プロセスを用意する、（3）クラウドや最新技術を活用して仕事のいいとこ取りをする、（4）シンプルに、そしてバリューを見せる――といった対応を勧める。自動プロビジョニング、事業側がアプリを配信できるアプリストアのようなインターフェイスの提供、バックアップの提供などを通じて、ユーザーやクラウド事業者がIT部門を中抜きしないよう立場を確保することが大切だという。

　Symantecの報告書を取り上げたInfo WorldのDavid Linthicum氏は「システム部門の多くが、ローグクラウドは明らかに脅威であると感じ、そのユーザーを責めるだろう。だが、自分たちの効率の悪さをよく考えるべきだ」と苦言を呈する。さらに、「クラウドコンピューティングの利用で、システム部門自身もさまざまな作業を容易にできるのだ」と考え方の転換を促す。

　これに対し読者（システム担当者も多い）からもいろいろな声が出ている。記事には、「理解が深まった。ありがとう」とLinthicum氏の主張に賛同する書き込みもあれば、「監査が規制順守をチェックするとき、責められるのはわれわれだ」「部門がローグクラウドを利用するのは、いっこうに構わない。われわれの作業負荷が減るから歓迎だ。だが、われわれは、仕事のためにポリシーに従わなければならない」という意見もあった。

　Symantecの報告書は、ローグクラウドのほか、バックアップと復旧、オンラインストレージの非効率、規制順守、SSL証明書の管理を「クラウドの隠れたコスト」として挙げている。