ひとことで「IT基盤」といってもピンとくるわけはないですね。この用語ひとつをとっても、企業を取り巻くデジタル化の難しさが如実に表れますが、今日はいわゆる「サーバー」のことを考えてみたいと思います。それを知識を持たない方にも絶対にわかるようにしてみせる、という覚悟を持って書きます。

業務のソフトウェアを組織で使う時には、何をおいても「サーバー」と「ネットワーク」が必要になります。これらをひっくるめて、業界（？）では「IT基盤」と呼ぶ時があります。これを「環境」と呼ぶ人もいれば、「プラットフォーム」と呼んでいる人もいるので、わかりにくさ倍増ですが、あまりその話に突っ走るとコラムの内容がめちゃくちゃになるので、今日はやめておきますね。で、その「サーバー」や「ネットワーク」ですが、これらはセキュリティの強弱に深く関係しますので、余計わかりにくい領域です。あまりにもわかりにくく専門的なので、中小企業において業務システムを導入する際、どうしてもITベンダーの言いなりになってしまいがちです。ITの専門家に対応を任せるので、それは万全の体制になるはずだ、と思われがちですが、実はそうでもないことを良く見かけます。今回はそこを掘り下げてみようと思います。

• 「セキュリティ」はユーザー企業の「買い物リスト」次第
• 複数のシステムのごちゃ混ぜ運用が招くリスク

「セキュリティ」はユーザー企業の「買い物リスト」次第

買い物リスト・・・最近のコラムでは何回か使っている言葉です。これをあらためて説明する必要はありませんね。はい。買い物をする際に、「あれと、これ・・・」と、買い忘れや間違いを防ぐためにメモを作ります。一つや二つの買い物をする際には、わざわざ作らないかもしれませんが、少し多くなったり複雑だと、多くのかたはリストを書くと思います。そして、買い物の途中で、それをチェックして消してゆくようなことをしている方もいらっしゃいます。

これと同様、企業がデジタル化を考える時に導入するソフトウェアなどの機能について、ユーザー側はそのソフトが持っているべき機能やその特徴を記述して、IT業者に「このような機能が欲しい」と示す「提案依頼書（RFP）」にする、ということを本コラムでも何回も話をしています。これを作らずに、例えば「在庫管理システムが欲しい」とざっくり要求してしまうと、頭の中で漠然と「普通こんな機能は持っているだろう」と想像している機能が言語化されず、機能の不足や、思っていた機能と違ってしまう、ということが多々発生してしまい、デジタル化失敗に直結します。

さて、この「買い物リスト」を作る際、セキュリティについてもユーザー企業の責任のもとに記載しなければならないことは、なかなか思考が及びません。なぜこんなことまで買い物リストに書かなければならないのか？それは・・・

　IT業者は、ソフトウェアの持つデータベースにユーザーが入れるデータの機密性を判断できない

からです。さすがにB2Cビジネスの顧客リストは個人情報に相当するので、IT業者側も「これは機密情報が入るデータベースだ」と認識できます。しかし、それ以外の情報はどうでしょうか？メーカー企業であれば、使っている素材が機密情報かもしれません。B2Bビジネス企業でも、取引先は機密情報なのかもしれません。原価情報も機密にしている会社もありますね。つまり、

　機密情報であるかないかは、ユーザー企業が判断して決めるもの

であるわけです。それを「言わなくてもIT業者は解るはずだ」と判断するのは筋違いであることはご理解頂けると思います。

さて、話を元に戻しますが、実は「どのようにその機密情報を守らなければならないのか？」について、先の買い物リストに明示されている必要があるのです。この「守り方」については様々な切り口で考える必要があります。一例を示すと・・・

　社員の悪意から守る（アクセス権限など）、破壊行為から守る（バックアップや二重化など）

　盗難から守る（ネットワークシステムへの侵入をガードする／侵入検出するなど）

　等々。。。

ざっと、最低限でもこのようなことを切り口にして守り方を決める必要があります。決める上でやっかいなのが、「扱っているデータごとに決める」必要があることです。技術情報は破壊から守れば良いが、顧客情報は絶対に盗難されてはだめだ、といった具合です。これらの実現の方法は、そのソフトウェアなどによって大きく異なりますので、対策の決め手というものは一般化できません。これをどのように考えてもらうかはIT業者の手腕に依存しますが、まずはこれらを正確にもれなくIT業者に説明することはユーザー企業の責任範囲です。それを明示するのが、先の「買い物リスト」になるわけです。ここにきちんと書かれていないと、後々導入段階になって話をし始めた場合、それは「追加工事が必要だ」といった費用増の話に直結したり、機能が制限されてしまうなど利便性を損なう事態にもなりかねません。 「セキュリティなどどうでも良い」とおっしゃる社長も大勢見てきましたが、本当にそうですか？盗難や破壊など、様々な犯罪行為・事故にあっても、本当に「どうでも良い」のか、冷静に漏れなく検討する必要があるのです。そして、IT業者が設計段階で出してきた対応について、技術的ではない「ユーザー企業としての設計チェック」も必要ですし、その設計が良くわからない資料であった場合には、ユーザー企業でもわかるように説明なり書類を整備してもらうなりの要求をするべきなのです。費用が多少増えてしまうかもしれませんが、後から蒸し返すとかなり大きな金額が増やされたりしますので、可能な限り精緻に買い物リストに書き入れることが肝要です。

複数のシステムのごちゃ混ぜ運用が招くリスク

さて、こうまでして綿密に検討し導入したシステムであっても、実はその後の運用でセキュリティ上台無しになっている例もよく見かけます。これは、「一つのシステムを導入した後に、別のシステムを別のIT業者によって導入した場合に起きやすい」ことです。今までの経験の中で「これはまずいな」と唸った事例は以下のようなものでした。

あるメーカー企業では、部材調達の機能をもったシステムを導入してあった。このソフトには「どの仕入れ先企業に何をいくらでいくつ注文して納品されたか」の全過去実績が格納されています。当然そのソフトにも、ある程度の分析機能があり、どの仕入れ先からどれをどのように仕入れてきたか、などの基本分析機能は持っていました。しかし、この企業では、その分析機能をもっと高度で複雑なものとし、さらに定期的に経営に報告して部品調達網の見直しをより積極的に進めることとなりました。そこでこの企業はあらたに、分析用のソフトウェア（BIと呼びます）を追加導入することとしました。BIにはリアルタイムに調達履歴データを参照できる様にする必要があります。そこで、以前導入したシステムからデータを毎日定期的に取り出し、BIに入力することにしました。システムからデータを取り出す方法はもともとソフトウェアに用意されていたので、担当者が操作するだけです。さて、ここで問題なのは・・・このBIなのですが、パッケージで販売されているソフトウェアでした。担当者1名が使えて社長用のレポートが作れれば良いので、担当者のノートPCにインストールするタイプのソフトウェアだったのです。ところが、その中に格納するデータはシステムから取り出した、この会社にとっては機密と言える情報です。しかも、そのノートPCは、担当者が出張した時にも持ち出すものでした。

つまり、「せっかくシステムでセキュリティを保証するように作ってあったのに、そのデータをPCのBIに入れてしまい、しかも持ち出せる状態にしてしまった」わけです。これではシステム側をいくら強固にしても無駄というものです。 この事例は、非常に極端なものでしたが、類似の事例は枚挙にいとまがありません。あるシステムから、あるクラウドのシステムにファイルで受け渡しするようなことをやってしまった企業もあります。クラウド側のセキュリティが元々のシステム側よりも甘い場合（例：IDとパスワードだけで守られている様なシステムの場合など）、結局全体としてのセキュリティはクラウド側に引きずられて低いものになってしまうわけです。強固なものと脆弱なものの両方に同じデータが入った場合、全体としてのセキュリティ強度は脆弱なものになってしまうことはおわかり頂けるかと思います。

——————

とにかくわかりづらいと言われる企業のセキュリティ。わかりやすいように心がけた結果長文となってしまいましたが、一言でまとめると・・・「セキュリティについてはIT業者に丸投げできない」、「全システムを全体俯瞰で捉えないと、セキュリティに脆弱性が生まれる」ということになります。専門家に丸投げができない、という特殊性があるのでかなりやっかいですが、お客様と会社、それにビジネスや従業員を守らねばなりませんので、ハードルは越えなければならないのが宿命です。