Windows XPの移行よりも先にIT担当者が直視すべき3つの事実：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

個人感覚でいる……

　次に、企業におけるWindows XPの移行と、個人のPCとは全く別物であるという認識を経営者を含めて持たせることだ。単純にPCに詳しいとか、ほんの数年だけシステムエンジニアやプログラマーをかじっていたということで中途採用されたシステム管理者の多くが、この作業の負荷を軽視している。

　企業で何千人月、何万人月という大きなプロジェクトのリーダー経験者ならご理解いただけると思うが、経験が浅いエンジニアは、小さなPCの移行作業を個人なら1時間程度で済むと考えている。その負荷を単純に、100台あれば100倍、1000台あれば1000倍……。さらに、一部の方は何を勘違いしているのか理解できないが、ロット数をディスカウントするという感覚で、作業の負荷についても何割かを削減した見積りを平気で出してくる。筆者もこうしたシーンに何度か遭遇している。

　経験の浅いエンジニアは、一流のシステムエンジニアなら「おいおい。これはないだろう」と思うような負荷を計上してくる。そして、作業が始まると途中で「〇〇の影響で……」「想定外の遅延で……」と言い訳を99％の確率でしてくる。それが誤差の範囲で収まらず、再稟議をしなければいけない事態に追い込まれる。「時すでに遅し」となってプロジェクトを推し進めざるを得ず、予算も大幅に増額しなければならず、会社の規模によっては黒字から大幅な赤字に転落することにもなりかねない。「こんなことなら、相応のやり方で移行しておくべきだった……」と経営者は後悔する。

　メーカーやSIerの中には「契約を取りたい」という思惑も働くので、できれば第三者的な立場からきちんとコストを計算できる専門家に委ねるのが最も安全だろう（そこまでの話が分かる経営者はあまりいないのも事実だが）。担当者としては、地道に素人でも分かる内容に噛み砕いて経営者に説明するしかない。適正コストを見積ることができないとまずい結果になる可能性がある以上、説明責任を果たさなければならないだろう。

乗り換え先は本当にWindows 7でいいのか？

　今年に入って筆者のコンサルティング先の企業にWindows 8を持参し、支店や営業店の管理職と中高年の方々に触って頂いたことがあった。結果は、タッチパネルを意識して設計されたインタフェース画面の操作すらできず、ほぼ全員が「これは使えない」という感想を示した。筆者も「これでは難しいのだろう」と考えていたし、以前から企業の多くがWindows 7を移行先のターゲットにしていたこともあり、その時はWindows 7が無難だろうと思っていた。

　ところが、4月にXPの移行対応をテーマにしたセミナーを開催することになり、予め有名なベンダーの技術資料やMicrosoftの戦略などを分析していたところ、Windows 7を勧めると、数年後に企業の経営者から「何てことをしてくれたのか」とお叱りを受けるかもしれないと感じるようになった。そのセミナー以降は、Windows XPの移行を単純なシステム部門の問題にせず、経営者を巻き込んだ合意形成のもとで進めていくべき（合意した内容も記録に残すこと）だと伝えている。

　すると、今度は一部のシステム管理者から「役員にXP対応を説明しても理解してもらうのは難しい。彼らはシステム的なことに関心が無いし、判断力もない。ここは専門家が決めるべきというのが筋ではないか？」というメールをいただいた。

　しかし筆者は、このXP移行に関してシステム管理者が主導するだけでは済まされない問題だと考えている。今後の数年間に企業の経営戦略として「モバイルの取り扱い」は大きな比重を占めるのは間違いないし、避けては通れないだろう。既に高度な戦略のもとにモバイルを組織的に利用しているという企業はまだ極めて少ないが、業種や業態によっては、モバイルは必須になるはずだ。「セキュリティ上の問題が……」なんて言っている暇は無く、どうやって活用すればビジネスチャンスにつなげられるのかを真剣に考えないと、数年後には企業としての競争力を失い、存亡の危機に立たされるかもしれない状況がみえているからだ。

　強いていえば、最新のハードウェアとウイルス対策ソフトの組み合わせにより従来型のウイルス対策ソフトにおいて非常に難しかったマスターブートレコードやBIOSへの侵入を狙うルートキットへの対抗が一部の機種で可能になりつつあり、これらの駆除に大きな効果をみせている。このような、外部要因も含めて検討することが必須だろう。

　ただし矛盾するかもしれないが、企業によっては「モバイル無し」でもいいとも考えている。それは、「システム管理者にスキルがない」「人がいない」「面倒」「仕事が増える」という安易な理由ではなく、全社を挙げてあらゆることを検討し、経営側も「それなら仕方が無い」と納得のいく結論と裏付けがなされた場合に限る。「取りあえずWindows 7に！」という感覚で選択し、たった2年でモバイルの主力OSをWindows 8にしなければならない事態になった時の対応コストは、最初からWindows 8を選択する場合に比べて相当に高くなるだろう。

　だからこそ、今の段階から経営計画や企業戦略を考えるべき人物――つまりは取締役や理事以上の経営層にその判断を委ねるのが、会社員であるシステム管理者としては“最も安全な対応”になるはずだ。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。