第8回　CIOに求められる決断力と判断力システム構築とセキュリティ

システム構築手順の見直し

これまで、多くの企業で実施されてきたシステム構築の手順をなぞってみると、まず機能要件の定義づけから始まって、次にハード／ソフトの選択、そしてアプリケーションの開発といった流れになるだろう。そしてセキュリティ対策はというと、アプリケーション開発の後、つまりシステムがほとんど完成という段階になって初めて、「ところでこのシステムのセキュリティはどうなっているのか。問題はないのか」と考える程度の存在にすぎなかったのである。

これでは、結果的に泥縄式で統一性のない対策を施すことになるのも無理からぬところである。現在、既存システムのセキュリティ問題が大きくクローズアップされているのも、実はこうしたセキュリティ対策を軽視したシステム構築の手順に問題があるからだと言える。

これまで繰り返し説明してきたように、セキュリティ対策はすでにシステムの基盤として、必要不可欠のファクターとなっている。セキュリティが考慮されていないシステムが存在すること自体、企業にとって大きなリスクを抱えることになるのだ。

したがって、セキュリティ対策はシステム構築の初期段階、つまりその機能要件が検討される段階で同時に考えられなければならない項目ということになる。少なくとも、ハードやソフト、OSの選択をする前にセキュリティ方針を決定し、その方針にのっとってハード／ソフトを選択し、アプリケーション開発を実行するという姿勢が求められる（下図参照）。

以上の手順を踏めば、システムが稼働する直前になって右往左往する必要もなくなり、ハードウェアやソフトウェアごとに泥縄式でセキュリティ対策を施す手間やコストも省くことができる。そして何よりも、統一性を欠いたセキュリティ対策によって引き起こされるリスクを回避できるのだ。

セキュリティ対策を正しく反映させたシステムを構築するためには、その手順を見直すことから手をつけるべきなのである。

見直しを迫られるシステムの構成手順

企業とSIの緊密な連携

これまで後追いのセキュリティ対策が講じられてきたもう1つの要因として、企業とシステム・インテグレーター（SI）との関係がある。

企業の要望に合わせて業務に最適なシステムを構築するのがSIの役目であるが、SIはシステム自体の提案はしても、顧客企業の気づかないリスクやセキュリティのあり方といった点にまで踏み込んで提案することはほとんどない。そして往々にして、自分たちの持つスキルや得意とする範囲の技術でシステムを提案し、構築してしまうのである。 つまり、「このシステムにすればこういう業務ができる」といった技術面でのメリットは強調するが、「このシステムにはこういうリスクや問題点がある」といったマイナス要因は指摘しないままに済ませてしまうのだ。

セキュリティ対策についても、顧客からの指摘を受けた時点で、初めて対応するといったケースが目立つ。

こうした問題を避けるためには、何よりもユーザとなる企業が慎重にSIを選択することが肝要だ。システム構築の際、セキュリティについての問題点やその解決策までも提案できるような信頼できるSIを選ぶべきなのである。

もちろん、依頼内容にもセキュリティへの配慮を条件づけることが必須だ。そして、「こういう業務のためのこういうシステム」というだけではなく、「このシステムを利用するエンドユーザはこういうレベルの人たちで、こういった使い方をするだろう」といったシステム運用の性質まで考慮したうえで依頼すべきだろう。さらに、そのシステムを利用して新規に開拓しようとする市場や顧客などのビジネス戦略についても、詳しく説明することをお勧めしたい。なぜなら、システムを利用するエンドユーザや、システムを使って展開するビジネスの中身が見えないかぎり、SIが最適なシステムを提案できるはずなどないからである。当然、万全なセキュリティ対策を反映させることもできない。

こうした観点から見ると、今やビジネスの中心に位置していると言っても過言ではないシステムの構築を依頼するSIについては、単なるシステム・インテグレーターではなく、一種のビジネス・パートナーであると考えるべきである。信頼できるSIを選び、緊密な協力関係を築き上げることは、重要なビジネス戦略の1つなのだ。

キーパーソンとしてのCIOの役割

最近、企業においてCIOの必要性がとみに高まっているのは周知の事実でる。その役割はシステム構築の現場でも求められるようになっている。

セキュリティを考慮したシステム構築をする場合には、ビジネス上のリスクの大きさとセキュリティに要するコストを秤にかけ、方針を決定する作業が必要になる。つまり、最小のコストで最も効果が上がるセキュリティ対策を講じるために、リスクとコストを調整するキーパーソンが必要になるわけである。それがすなわち、CIOの果たす役割であると考える。

この役割を果たすためには、高度な判断力と決断力が求められる。例えば構築前のシステムであれば、上述したようにシステム構築の手順を見直すことからスタートしなければならない。さらに既存システムともなると、その効果を的確に把握するための“物差し”を持ち、アプリケーションごと、またはハードウェアごとにセキュリティ対策を施していくべきか、またはシステム全体を再構築すべきか――といった決断まで下さなければならないのだ。

さらに、SIにシステム構築を依頼する場合には、自社の情報システム（IS）部門とSIとが緊密に連携して最適なシステムを構築できるように、厳しいチェックや効果的なアドバイスをする必要もあろう。とかくIS部門のスタッフは技術面での取り組みばかりに目を向けがちである。特に最近は、ITには詳しいがビジネスの視点を欠いているスタッフも少なくない。外部のSIともなれば、その傾向はなおさら強い。そこにビジネスの視点を持ち込むことで、真に有益なシステム構築の道筋が見えてくる。

このように、システムを「作る人」と「使う人」の間に立ち、あくまでもビジネスの視点で最適なシステムの構築を推進する“旗振り役”がCIOである。確かに、こうした役割を果たすのは困難なことかもしれない。また、きわめて重い責任を背負わされることにもなるだろう。しかし、ビジネス戦略とシステムのあり方、そしてセキュリティ対策を総合的に考慮して的確な判断を下せる立場にいるのは、全社的に見てもCIOだけだということを忘れてはならない。システム構築の成否は、CIOの双肩にかかっているのである。