シャドーIT:すべての組織が直面するリスクとメリットのバランスをとる
抽象
セルフサービスレポートは、その日の約束された土地です。 Tableau、Cognos Analytics、Qlik Sense、またはその他の分析ツールのいずれであっても、すべてのベンダーがセルフサービスのデータ検出と分析を推進しているようです。 セルフサービスにはシャドーITが付属しています。 私たちはそれを仮定します を 組織は、ある程度、影に潜むシャドーITに苦しんでいます。 解決策は、それに光を当て、リスクを管理し、利益を最大化することです。
概要
このホワイトペーパーでは、レポートの進化と、誰も話さない汚い秘密について説明します。 ツールが異なれば、必要なプロセスも異なります。 時にはイデオロギーさえ。 イデオロギー 「社会政治的プログラムを構成する統合された主張、理論、目的」です。 取得するつもりはありません 政治的、社会 しかし、私はビジネスとITプログラムを伝える言葉を考えることができません。 Kimball-Inmonデータベースは、同様の方法でイデオロギー論争を分割していると思います。 言い換えれば、あなたのアプローチ、またはあなたの考え方は、あなたの行動を推進します。
経歴
時 IBM 5100 PC 最先端の技術でしたが、10,000ドルで、キーボード、5K RAM、テープドライブを内蔵した16インチの画面が表示されます。 
体重は50ポンド強です。 会計に適しており、これは小さなファイリングキャビネットのサイズの自立型ディスクアレイに接続されます。 本格的なコンピューティングは、メインフレームのタイムシェア上の端末を介して行われました。 ((画像)
「オペレーター」はデイジーチェーン接続されたPCを管理し、外界へのアクセスを制御しました。 オペレーターのチーム、または後日のシステム管理者とDevOpsは、成長を続けるテクノロジーをサポートするために成長しました。 技術は大きかった。 それらを管理したチームはより大きかった。
コンピュータ時代の初めから、企業管理とIT主導のレポート作成が一般的でした。 このイデオロギーは、「会社」がリソースを管理し、必要なものを提供するという、ずんぐりした保守的なアプローチに基づいて構築されました。 カスタムレポート、またはサイクル外の時間枠のレポートが必要な場合は、リクエストを送信する必要があります。
プロセスは遅かった。 イノベーションはありませんでした。 アジャイルは存在しませんでした。 そして、古代の聖職者プールのように、IT部門はオーバーヘッドと見なされていました。
欠点にもかかわらず、それは理由のために行われました。 このようにすることにはいくつかの利点がありました。 全員が従うプロセスがありました。 フォームはXNUMX回記入され、オフィス間郵便で送付されました。 組織全体からのデータ要求は、予測可能な方法で並べ替えられ、シャッフルされ、優先順位が付けられ、処理されました。
単一のデータウェアハウスと単一の企業全体のレポートツールがありました。 中央チームによって作成された定型レポートは、 真実の単一バージョン。 番号が間違っていた場合、全員が同じ間違った番号で作業しました。 内的整合性については、言いたいことがあります。 
このビジネスのやり方の管理は予測可能でした。 手頃な価格でした。
それから15年か20年前のある日、すべてが爆発しました。 革命がありました。 計算能力が拡張されました。 ムーアの法則 –「コンピューターの処理能力はXNUMX年ごとにXNUMX倍になる」–が守られました。 PCはより小さく、どこにでもありました。
より多くの企業が、長年使用してきた本能ではなく、データに基づいて意思決定を行うようになりました。 彼らは、業界のリーダーが過去のデータに基づいて意思決定を行っていることに気づきました。 すぐにデータはほぼリアルタイムになりました。 最終的に、レポートは予測的になりました。 最初は初歩的でしたが、分析を使用してビジネス上の意思決定を推進することの始まりでした。
経営陣が市場を理解し、より良い意思決定を行うのを支援するために、より多くのデータアナリストとデータサイエンティストを雇うことにシフトしました。 しかし、面白いことが起こりました。 中央のITチームは、縮小するパーソナルコンピュータと同じ傾向には従いませんでした。 それはすぐに効率的で小さくなったわけではありません。
しかし、分散型テクノロジーに対応して、ITチームもより分散化され始めました。 または、少なくとも従来はITの一部であった役割が、現在はビジネスユニットの一部になっています。 データとビジネスを理解しているアナリストは、すべての部門に組み込まれていました。 マネージャーはアナリストに詳細を尋ね始めました。 次に、アナリストは次のように述べています。「データ要求をXNUMX回入力する必要があります。 承認されるのが最も早いのは、今月のデータ優先順位付け会議です。 その後、IT部門がデータのリクエストを処理するのに、ワークロードに応じてXNUMX〜XNUMX週間かかる場合があります。 しかし、…データウェアハウスにアクセスできれば、今日の午後にクエリを実行できます。」 そして、それは行きます。
セルフサービスへの移行が始まりました。 IT部門は、データの鍵を簡単に把握できました。 レポートと分析のベンダーは、新しい哲学を受け入れ始めました。 それは新しいパラダイムでした。 ユーザーは、データにアクセスするための新しいツールを見つけました。 彼らは、データにアクセスできれば、官僚機構を迂回できることを発見しました。 次に、独自の分析を実行し、独自のクエリを実行することで所要時間を短縮できます。
セルフサービスのレポートと分析の利点
大衆へのデータへの直接アクセスとセルフサービスレポートを提供することで、多くの問題が解決されました。 
- 集中。 簡単にアクセスできる専用ツールは、すべてのユーザーをサポートし、すべての質問に答えるために、単一の日付の付いた多目的のレガシーレポートおよび分析ツールに取って代わりました。
- アジャイル。 以前は、ビジネスユニットは生産性の低さによって妨げられていました。 先月のデータのみにアクセスすると、機敏に作業できなくなりました。 データウェアハウスを開くことでプロセスが短縮され、ビジネスに近い人々がより迅速に機能し、重要な傾向を発見し、より迅速に意思決定できるようになりました。 したがって、データの速度と価値が向上します。
- 権限がある。 ユーザーが意思決定を行うために他の人の専門知識と可用性に依存する代わりに、彼らは自分の仕事をするためのリソース、権限、機会、および動機を与えられました。 そのため、ユーザーは、データへのアクセスと分析自体の作成の両方を組織内の他の人に依存することから解放できるセルフサービスツールを使用して権限を与えられました。
セルフサービスのレポートと分析の課題
ただし、セルフサービスレポートで解決された問題ごとに、さらにいくつかの問題が発生しました。 レポートおよび分析ツールは、ITチームによって一元管理されなくなりました。 そのため、単一のチームがレポートを管理するときに問題にならなかった他のことは、より困難になりました。 品質保証、バージョン管理、ドキュメント、リリース管理や展開などのプロセスは、小さなチームによって管理されていたときに自分たちで処理しました。 レポートとデータ管理に関する企業標準があった場合、それらはもはや実施できませんでした。 ITの外部で何が起こっているかについての洞察や可視性はほとんどありませんでした。 変更管理は存在しませんでした。 
これらの部門管理されたインスタンスは、 影の経済 これは「レーダーの下で」発生するビジネスを指し、これはシャドーITです。 ウィキペディアはシャドーITを「情報技術 (IT)中央情報システムの欠点を回避するために、中央IT部門以外の部門によって展開されたシステム。」 いくつかの定義 シャドウIT もっとbroadITまたはinfosecの管理外にあるプロジェクト、プログラム、プロセス、またはシステムを含めること。
うわあ! 徐行。 シャドーITが、ITが管理していないプロジェクト、プログラム、プロセス、またはシステムである場合、それは私たちが思っていたよりも普及しています。 それはどこにでもあります。 もっと率直に言うと、 あらゆる 組織は、それを認めるかどうかにかかわらず、シャドーITを持っています。 それは程度の問題に帰着します。 シャドーITに対処する上での組織の成功は、いくつかの重要な課題にどれだけうまく対処できるかに大きく依存します。 
- セキュリティ。 シャドーITによって作成された問題のリストの一番上にあるのは セキュリティリスク。 マクロを考えてください。 組織外に電子メールで送信されたPMIとPHIを含むスプレッドシートを考えてみてください。
- データ損失のリスクが高くなります。 繰り返しますが、実装またはプロセスの不整合のために、個々の実装はそれぞれ異なる場合があります。 これにより、確立されたビジネス慣行が守られていることを証明することが困難になります。 さらに、使用法とアクセスの単純な監査要求にも対応することが困難になります。
- コンプライアンスの問題。 監査の問題に関連して、データアクセスとデータフローの可能性も高まり、次のような規制への準拠がより困難になります。 上場企業会計改革および投資家保護法、GAAP(一般に認められた会計原則)、HIPAA(健康保険の携帯性と説明責任に関する法律) その他
- データアクセスの非効率性。 分散ITが解決しようとする問題のXNUMXつはデータの速度ですが、予期しない結果には、たとえば、データの有効性について議論し、彼らの隣人の番号と彼らのズボンの座席によってソフトウェアを管理しようとしています。
- プロセスの非効率性。 テクノロジーが複数のビジネスユニットによって独立して採用される場合、それらの使用と展開に関連するプロセスも同様です。 いくつかは効率的かもしれません。 他の人はそれほど多くありません。
- 一貫性のないビジネスロジックと定義。 標準を確立するためのゲートキーパーはありません。テストとバージョン管理が不足しているため、不整合が発生する可能性があります。 データまたはメタデータへの統一されたアプローチがなければ、ビジネスにはもはや真実の単一のバージョンがありません。 部門は、欠陥のあるデータや不完全なデータに基づいてビジネス上の意思決定を簡単に行うことができます。
- 企業ビジョンとの整合性の欠如。 シャドーITは、ROIの実現を制限することがよくあります。 ベンダー契約や大規模な取引を交渉するために導入されている企業システムは、バイパスされることがあります。 これにより、過剰なライセンスやシステムの重複が発生する可能性があります。 さらに、それは組織の目標とITの戦略的計画の追求を混乱させます。
肝心なのは、セルフサービスレポートを採用するという善意が意図しない結果につながったということです。 課題は、ガバナンス、セキュリティ、およびビジネスの調整というXNUMXつのカテゴリに要約できます。
間違いなく、企業は最新のツールでリアルタイムデータを活用する権限を与えられたユーザーを必要としています。 また、変更管理、リリース管理、バージョン管理の規律も必要です。 では、セルフサービスレポート/ BIはデマですか? 自律性とガバナンスのバランスを見つけることができますか? 見えないものを統治できますか?
ソリューション
BIセルフサービススペクトル
影に光を当てると、影は影ではなくなります。 同様に、シャドーITが表面化しても、もはや恐れることはありません。 シャドーITを公開することで、ビジネスユーザーが要求するセルフサービスレポートの利点を活用すると同時に、ガバナンスを通じてリスクを軽減できます。 シャドーITの統治は、撞着語のように聞こえますが、実際には、セルフサービスに監視をもたらすためのバランスの取れたアプローチです。 
私が好き この 著者のアナロジー(から借りた キンボール)レストランのビュッフェに例えられるセルフサービスのBI/レポート。 ビュッフェは、という意味でセルフサービスです あなたはあなたが望むものを何でも手に入れることができます それをテーブルに戻します。 だからといって、自分でキッチンに行ってステーキをグリルに載せるというわけではありません。 あなたはまだそのシェフと彼女のキッチンチームが必要です。 セルフサービスのレポート/BIでも同じです。抽出、変換、保存、セキュリティ保護、モデリング、クエリ、管理を通じてデータビュッフェを準備するITチームが常に必要になります。
食べ放題のビュッフェは、例えでは単純すぎるかもしれません。 私たちが観察したことは、レストランの厨房チームの参加の程度が異なるということです。 いくつかでは、伝統的なビュッフェのように、彼らは後ろで食べ物を準備し、それが食べる準備ができたらスモーガスボードをレイアウトします。 あなたがしなければならないのはあなたのプレートをロードしてあなたのテーブルにそれを戻すことです。 これは、ラスベガスMGMグランドビュッフェまたはゴールデンコーラルのビジネスモデルです。 スペクトルのもう一方の端には、ホームシェフ、ブルーエプロン、ハローフレッシュなどの企業があり、レシピと材料をドアに届けます。 いくつかの組み立てが必要です。 彼らは買い物と食事の計画をします。 残りはあなたがします。
その中間のどこかに、おそらく、材料を準備したモンゴルグリルのような場所がありますが、それらを選択して、生の肉と野菜のプレートをシェフに渡して火にかけます。 この場合、最終結果が成功するかどうかは、(少なくとも部分的には)うまく調和する材料とソースの組み合わせを選択するかどうかにかかっています。 それはまた、あなたが選択しなければならない料理の準備と品質、そして時々彼自身のタッチを加えるシェフのスキルにも依存します。 
BIセルフサービススペクトル
セルフサービス分析はほとんど同じです。 セルフサービス分析を使用している組織は、スペクトルのどこかに分類される傾向があります。 スペクトルの一端には、MGM Grand Buffetのような組織があり、ITチームは引き続きすべてのデータとメタデータの準備を行い、企業全体の分析およびレポートツールを選択してエンドユーザーに提示します。 エンドユーザーが行う必要があるのは、表示したいデータ要素を選択してレポートを実行することだけです。 このモデルのセルフサービスは、レポートがITチームによってまだ作成されていないことだけです。 Cognos Analyticsを使用する組織の哲学は、この範囲の端にあります。
ドアに届けられる食事キットに非常に似ている組織は、エンドユーザーに必要なデータとそれにアクセスできるツールの選択を含む「データキット」を提供する傾向があります。 このモデルでは、ユーザーが必要な答えを得るために、データとツールの両方をよりよく理解する必要があります。 私たちの経験では、QlikSenseとTableauを活用する企業はこのカテゴリに分類される傾向があります。
Power BIのようなエンタープライズツールは、モンゴルグリルのようなものです。
さまざまな分析ツールを使用する組織を一般化して「BIセルフサービススペクトル」のさまざまなポイントに配置することはできますが、実際には、会社が新しいテクノロジーを採用する、ユーザーの能力が向上する、管理など、いくつかの要因によって位置が変わる可能性があります。アプローチを指示する場合もあれば、企業がデータ消費者にとってより自由なセルフサービスのよりオープンなモデルに単純に進化する場合もあります。 実際、スペクトル上の位置は、同じ組織内のビジネスユニット間でさえ異なる場合があります。
アナリティクスの進化
セルフサービスへの移行に伴い、組織がBI Buffet Spectrumで右に移動するにつれて、従来の独裁的なCentersofExcellenceは共同の実践コミュニティに置き換えられました。 ITは、これらのマトリックス化されたチームに参加して、配信チーム全体のベストプラクティスを社会化するのに役立ちます。 これにより、ビジネス側の開発チームは、ガバナンスとアーキテクチャの企業境界内で作業しながら、ある程度の自律性を維持できます。 
ITは警戒を怠らない必要があります。 独自のレポート(場合によってはモデル)を作成するユーザーは、データセキュリティのリスクを認識していない可能性があります。 潜在的なセキュリティリークを防ぐ唯一の方法は、新しいコンテンツを積極的に検索し、コンプライアンスを評価することです。
統治されたシャドーITの成功は、セキュリティとプライバシーのポリシーが確実に遵守されるようにするために実施されているプロセスにも関係しています。
セルフサービスのパラドックス
統治されたセルフサービス分析は、制御に対して自由を与える極地の力を調整します。 このダイナミクスは、ビジネスとテクノロジーの多くの分野で発揮されます。 イノベーションと運用。 敏捷性とアーキテクチャ。 部門のニーズと企業の利益。
シャドーITを管理するためのツール
リスクと利益のバランスを取ることは、持続可能なシャドーITポリシーを開発するための鍵です。 シャドーITを活用して、すべての従業員がそれぞれの役割で優れた能力を発揮できる新しいプロセスとツールを発見することは、まさに賢明なビジネス慣行です。 複数のシステムと統合する機能を備えたツールは、ITとビジネスの両方を和らげることができるソリューションを企業に提供します。
シャドーITによって引き起こされるリスクと課題は、ガバナンスプロセスを実装して、セルフサービスアクセスを介してデータを必要とするすべての人が確実に高品質のデータを利用できるようにすることで大幅に軽減できます。
重要な質問
重要な質問シャドーITの可視性と制御に関連してITセキュリティが回答できる必要があります。 これらの質問に答えるためのシステムまたはプロセスが整っている場合は、セキュリティ監査のシャドーITセクションに合格できるはずです。
- シャドーITをカバーするポリシーはありますか?
- 組織内で使用されているすべてのアプリケーションを簡単に一覧表示できますか? バージョンと修正レベルに関する情報がある場合は、ボーナスポイント。
- 誰が本番環境で分析資産を変更したか知っていますか?
- シャドーITアプリケーションを使用しているのは誰か知っていますか?
- 本番環境のコンテンツが最後に変更されたのはいつか知っていますか?
- 製品版に欠陥がある場合、簡単に以前のバージョンに戻すことができますか?
- 災害時に個々のファイルを簡単に回復できますか?
- アーティファクトを廃止するためにどのようなプロセスを使用しますか?
- 承認されたユーザーのみがシステムにアクセスし、ファイルをプロモートしたことを示すことができますか?
- あなたがあなたの数の欠陥を発見した場合、それがいつ(そして誰によって)導入されたかをどうやって知るのですか?
まとめ
さまざまな形のシャドーITがここにあります。 そのメリットを活用しながらリスクを管理できるように、それに光を当てて公開する必要があります。 これにより、従業員の生産性が向上し、ビジネスがより革新的になります。 ただし、メリットへの熱意は、セキュリティ、コンプライアンス、およびガバナンスによって抑制される必要があります。
参考文献
エンパワーメントとガバナンスのバランスをとるセルフサービス分析を成功させる方法
