「少人数の情シス」が抱えるセキュリティ問題はどうすれば解決できるか

少人数の情シス部門が抱える問題とは

もともと中堅中小企業では、ITリテラシーの高い人が、社内のヘルプデスク的な対応をした結果、情シスとしての機能を持たされてしまったケースが多い。本人は必死でITを勉強してはいるが、必ずしも体系的な研修を受けているわけではないので、カバー範囲は限られてしまう。こうした“便利屋さん”だけでは、現代の複雑なシステムやセキュリティ問題を解決することは不可能だ。

もう一方で、昨今のオープン化・クラウド化の流れが、「少人数の情シス」を加速化させているという皮肉な側面も指摘できる。

かつては企業内のシステムは、自社内におけるスクラッチ開発が主流であったため、システム開発をリードする社内人材の確保・育成はどんな企業においても重要な課題だった。

たとえ詳細設計以下の実際のシステム構築は外部ベンダーに委託する場合でも、それによって実現すべき業務内容を整理し、仕様を策定し、かつアップデート方針を決めるのは情シスの仕事。業務とシステムの両方に精通する人材が不可欠だった。

ところが、近年はシステムのオープン化が進んだことにより、簡単に業務システムを構築できるパッケージソフトウェアの導入が進んでいる。またクラウドコンピューティングなどのアウトソーシングサービスの活用も進んでいる。システムをパッケージで構築し、その運用もクラウドに預けてしまえば、細かい仕様設計は不要となり、サーバ管理などのメンテナンスも軽減化される。

これを見て経営者は、社内にそれほど多くの情報システム担当を抱える必要はないと判断し、部門の人員削減が進むことになる。オープン化・クラウド化の流れを受けた、一定の人員削減は不可避だとしても、システムの根幹がわかる社員までいなくなるのは問題だ。もし社内で技術情報の継承が断絶してしまえば、システムの内容は“ブラックボックス”化されてしまい、今後の改修さえ困難になる。

業績が悪化するとそれを人員削減で乗り切ろうとする企業は多いが、中堅中小企業の中には、真っ先に人員が削減される部門として、情報システム部門が槍玉にあがることがある。いかにシステムやセキュリティがこれからの企業の生死にかかわる重要問題だと力説しても、経営者には「コンピュータのお守りをするだけの人」としか受け取ってもらえない場合もあり、かくして少人数の情シス問題は深刻な病状を抱えたまま進行してしまうことになる。

しかしながら、この問題を放置しておくのは、セキュリティ問題に限っても由々しきことではある。サイバー攻撃がますます高度化・複雑化している一方で、デバイスやネットワークの多様化により、個人情報やマイナンバーなど守るべき対象もまた拡大し続けている。この問題をどう解決するかが、今ほど真剣に問われている時期はない。

一人で社内システムのすべてを任されることになった担当者は、今どんなことに悩んでいるのだろう。あり得る悩みを列挙すれば例えば次のようになるだろう。

より具体的にみていこう。

ITが本業ではなく、知識やスキルを得るための時間も取ることができない

これは先に述べた、ITリテラシーが高いばかりにシステム担当者に指名されてしまった人の愚痴でもある。IT業務を他の仕事との兼任で担当せざるを得ない人も同じ悩みを抱えている。

相談する相手が社内にいない。システム全般、しかもセキュリティまで管理をする必要がある

ITを十分に理解し、業務内容について相談できる人が社内にいないのは不幸だ。新しい技術やソリューションを導入しようにも、それが正しい戦略なのかどうかを判断できない。もしシステムがうまく動かなければ、責任は一人に覆い被さる。脆弱なセキュリティが攻撃されて被害が出れば、それは単に一社の問題に収まらない。一人で対応しているのに、セキュリティトラブルが起きればクレームの嵐は真っ先に自分の方に飛んでくる。不安を抱えたままの日々が続いていく。

マイナンバー管理などシステム・セキュリティの課題は増加する一方だが、システム管理者は一人。運用管理負担は増加するばかり

マイナンバーを含め、企業が外部から秘匿すべき情報は年々増える一方だ。これは中堅中小企業も例外ではない。マイナンバー管理ソリューションなど、いくつかの解決方法が登場しているのだが、日々のメンテナンスに追われて、それを勉強したり導入したりする時間が取れない。

誰が作ったのか仕組みもわからないシステムが多数なので、セキュリティが不安

かつてのシステムを構築した技術者の多くはすでに退職・離職してしまっている。たとえコードを読み解いても、つぎはぎだらけで、セキュリティホールも散見される。本当は全面的な改修が必要なのに、そのための人員もコストも限られている。古いシステムを騙し騙し使わざるを得ない。

一人なので、システムの障害対応や障害復旧に時間がかかる

サーバ障害が発生し、夜中に呼び出されても一人ではできる対応に限りがある。いっそクラウドの活用を考えたいが、それを経営層にどうやって説得するかに悩んでしまう。

これらの悩みは、セキュリティに限らず、システム全般に及んでいることがわかる。「システムの管理負担を下げるために仮想化を導入したい。だが、人的労力・投資コストの問題から踏み切れない」「BCP（事業継続計画）対策が気になる（とはいえ、あまりコストはかけられない）」「毎日の運用に追われ、新しいシステム開発を企画したり、検討する余裕がない」「時代とともに、セキュリティ、ネットワークインフラ、法改正などに伴うシステムの運用管理範囲が大きくなった。一人ではとても勉強が追いつかない」

など、担当者に話を聞けば、日頃の悩みや鬱憤はいくらでも噴出するのである。

解決策は、単純にいえば「人員の増加」だろう。しかし、ITに詳しくないメンバーをどれだけ増やしても、かえって担当者に負荷がかかるだけだ。また昨今の企業経営の状態からすれば、単に「人を増やして欲しい」というだけの戦略なき人員増加はなかなか認められないだろう。

そこでまず検討したいのが、情報システム部門の役割を改めて社内に認知させる取り組みだ。例えば、Webの活用だ。企業ブランドの確立、広報・宣伝、新規顧客開拓、一般消費者向けマーケティングや販売などで、今やWebの活用は極めて重要になっている。中堅中小企業で、こうしたWeb戦略を担うのは情報システム部門をおいて他にはない。情シスはこれまでは裏方であったが、今や業績アップの最前線を担う戦略部署であることを、まずは経営トップに理解してもらい、その役割を社内に周知させることが必要になる。

セキュリティ対策についても然りだ。情報漏えいやシステムダウンによる業務中断や信用失墜といったリスクが、いかに企業の存続にかかわる大問題なのか。声を大にして経営トップに訴えるべきである。

そうした訴えに聞く耳をもつ経営者であっても、部署の「人員増」には難色を示すかもしれない。そのときこそ、外部ベンダーのソリューションやクラウド型サービスの導入を訴えるチャンスである。情シスの人員が限られているからこそ、積極的にクラウドを活用し、組織のスリム化やコストダウンを図るべき、というように、視点を変えて訴えてみるのも手だろう。

そうした活動を通して、システム強化やセキュリティ問題に取り組む気運を、全社的・組織的に生み出していくことが必要だ。経営のトップダウンが強く、社員数が比較的少ないという中堅中小企業の特徴は、ここでは有利な条件になり得るだろう。

セキュリティ対策について言えば、システム担当者が一人でもできる対策、社内全員の協力無しにはできない対策、さらに外部ソリューションベンダーの支援を受けて初めて可能になる対策というように、対策のフェーズをいくつかに分け、それらを順次、戦略的に導入していくことも重要になる。

少人数でもできるセキュリティ対策の詳細は、2回目以降の記事で触れることになる。ここではひとまず、「少人数の情シス担当者」が陥る不安やリスクを解決するためには、個人が問題を抱え込まず、常に組織的な課題に“転化”していく視点が不可欠であることを強調しておきたい。