IT化と投資の“正しい”関係とは?(後編)何かがおかしいIT化の進め方(13)(2/2 ページ)

» 2005年01月25日 12時00分 公開
[公江義隆,@IT]
前のページへ 1|2       

情報セキュリティ投資
――「理解されていない」のではなく「させていない」ことが問題

 何かが簡単にできるシステム、便利なシステムでは、ミスも悪いことも簡単に便利にできてしまう。

 ネットワーク時代のセキュリティ問題の特徴は、簡単なミスや極く少数の悪意を持った人の行動が、結果として極めて大きなダメージにつながる点にある。

 IT化のメリットとリスク、つまり光と影のバランスの取り方に対して、従来の価値観や判断基準の修正が必要な状況になりつつある。かつては、顧客情報は多いほど価値の高い資産であった。しかし現在では、適切な管理ができていないと、自社に壊滅的な破壊力を発揮する爆弾でもある。情報漏えい事件に対して、数万円/人の支払いが発生するというケースもすでにある。500円の図書券でお茶を濁せる時代ではなくなる。

 このセキュリティ環境の悪化は急速に進んでいるが、まず一般の人の頭の中での理解がこの悪化のスピードに追い付いてゆかない。さらに頭で分かったことに対しても体がなかなかついてゆかない――個人も組織も実行が追い付かない。四方を海に守られ、周りは善人が前提という共同体のなかで育った日本民族にとって、セキュリティ問題は苦手問題の最たるものの1つであろう。

 セキュリティ対策というと、まずITの技術の仕組みの構築を考えがちだが、重要なのは人の問題である。人に対する十分な対策を併行して進めておかない限り、高価な投資をした仕組みも十分には機能しない従業員にとって仕事に愛着の持てないような組織体制や、組織に対する帰属意識が持てないような人事管理、倫理観に乏しい経営層や幹部社員の下では、セキュリティ問題は解決には程遠い。シリコンバレーやウォールストリート発の悪しく風習をも、進んだ優れた合理的なものかのように錯覚をしてきてはいないだろうか。

 セキュリティ対策の実施面でのポイントは以下のようなことになる。

  1. セキュリティ対策は、効率を阻害し、価値を生み出さないことにお金を掛けるものである。この理解と割り切りが経営層になければうまくいかない。経営トップ自身の口から社内へ号令してもらえるように、経営層へ働きかけることが大切である。社長名で出すセキュリティポリシーの書類に社長印があるくらいでは、効果は疑わしい。無駄な投資になる可能性大である。なお、IT関係者のなかには「経営者や社員に理解されていない」という言い方をする人がいるが、これは「理解させていない」自分の方に問題があると考えるほうが現実的である
  2. トップ、役員・部門長、幹部社員、一般社員の順で、上から下へと理解と納得を求めていくことが絶対に必要である。直属の上司がその気になっていない限り、部下は「効率を阻害し、コストの掛かる、効果を生まないこと」をやろうとしなくて当たり前である
  3. セキュリティ対策に対してどの程度のコストを掛け、どの問題にはどこまで結果が保証され、どんなリスクが残るかを具体的に説明し、理解と評価を得ておくことが大切である。上司が具体的に理解し納得していないと、部下の行動も表面的なものに留まる。セキュリティやコンプライアンスに対するe-Learningの教材を従業員に配ったくらいでは問題は解決しない。問題が起こったときの“善意の管理者義務”の責任を果たしていたという言い訳に少しはなっても、そもそもが問題を起こせば負けという問題である。辛抱強く啓蒙と教育が必要である

 災害に対する安全対策では、災害発生時に平常時と同じことを求めてもしょせん無理な話になる。最低限維持したい機能と容量(性能)を考えてみることが出発点になる。自家発電装置も冷却水や燃料の補給を絶たれれば無用の長物である。井戸を掘り、重油の貯蔵まで考えておかないと折角の自家発電装置への投資は無駄になるが、ここまで考え出すと投資額は大幅に跳ね上がる。製造装置が壊れて生産のできない工場でコンピュータだけ動かしても仕方がない。その場所に人間が生きていける最低の環境が維持できるかでさえ問題になる。ライフラインという言葉の意味を具体的に考えてみる必要が出てくる。こんなことをいろいろ考えていくと、自ずと現実的な対策のレベルが浮かび上がってくる。

 なお、災害発生時にまず必要になるのは、最小限の通信手段である。しかし、現在の通信機器のほとんどは、バックアップ用のバッテリー電力がなくなると機能を停止する。携帯電話も数百メートル毎に散在する中継装置への電源が絶たれれば機能しない。あるいは通話が集中するだけで機能麻痺を起こす可能性が高いから、あまり当てにできる通信手段にはならない。いろいろなケースを想定し、いろいろな方法・手段を組み合わせた対策の準備と、訓練が必要である。災害発生時、貴方は何処へ何を連絡することいなっていますか? 地震、水害など自然災害、火災、盗難、テロ? など何時やってくるか分からない災害に対して、何はともあれ絶対にやっておくべき対策は、個人のPCの中のものを含め、重要データと重要プログラムのバックアップ保管である。これらは、世の中に1つしかない。消失してしまえば復旧はまったく不可能になる。

 セキュリティ対策への投資の評価は、一般の投資における“効果”の代わりに“リスクの軽減”を考え、これに対する投資額を評価する問題になる。ただし、ここで軽減されるリスクを無理に数値化するとかえって分かりづらいものになり易い。「全体として、XX、YY……ZZの問題対象がある。XXについては、XXの場合には防げ、XXの場合にはXX程度のリスクが残る」といった説明の方が理解し易いように思う。問題発生の確率など誰にも分からない問題である。一方的に数字を入れれば、「何故そんな数字になるのか」といった、枝葉の思う/思わないの議論に終始し、本論の結論が出せなくなる。

生活の知恵:

 なお、セキュリティ対策の投資をなかなか決裁してもらえないような会社では、必要な計画を前もって準備して機会を待とう。小さくても良いから、自社や他社でセキュリティに関する問題が発生した時が説得のチャンスである。針小棒大でも騒ぎを大きくして、間髪を入れずに提案し、承認を得るぐらいのことは考えて準備しておこう。



事後評価は何のために必要か――事後評価は成功への動機付け

 計画時点での検討評価、または投資の決裁に際しての経営層の関与など、いわゆる事前評価は多くの会社でかなり熱心に行われるようになった。しかし、稼働後の評価に関しては十分に行われる状況にはまだ至っていないようである。

 さまざまな調査資料では、「環境条件の変化」「事後の状況把握が難しい」などが事後評価の難しい理由の挙げられていたりする。しかし、これはおかしな話である。前者について言えば、環境変化への対応はプロジェクトマネジメントの要諦の1つだ。プロジェクト=モノ作りと誤解してはいないだろうか。後者についていうならば、計画時点での状況把握は一体どのようにして行ったのであろうか。

 SCMで在庫について、現状のXカ月をYカ月に削減する計画なら、Yカ月になったかどうかを把握すればよい。要は、決裁の条件となった投資の目的や目標が、言った通りにできたか、まだできていないかだけをはっきりさせればよい。難しいのは、できていない場合の理由探しなのではないだろうか。しかし、これは評価の場の問題というより、プロジェクト内部の問題である。

 最終の目標を達成する為に必要な諸施策と、その達成目標と責任者は、計画時に明確にしておくべき問題である。事後評価は、計画時点の検討構造と同じ形、同じ綱目について行うのが基本だ。結果が思わしくないのは、計画を間違ったか(決裁を得る為に、無理や確認できていない想定や希望的観測をしていないか)、実行がうまくなかったのどちらかである。

 問題のあるケースでは、後者の問題がクローズアップされることが多いが、現実には前者が原因であるという方が多いのではないだろうか。計画の基本的なミスの修正アクションを、実行段階でプロジェクト求めても、実現はまず至難の業である。計画を担当する人の責任は重い(計画スタッフと実行要員・組織が分かれていて、また交流の少ない場合には、どうしても結果的に無責任な計画が増えてくるのが常だ。天に向けて吐いた唾は、自分に降りかかるような体制が必要である)。

 事後評価は何のために必要であろうか。

 もし、自分のやったことに誰も関心を示さないなら、大変な苦労をしてまで物事をやろうという人はいなくなってしまうだろう。情報化、業務改革の問題は、効果を出す為には大変な苦労を必要とする問題である。事後評価は、“合格”か“不合格”の判定が目的ではない。成功させるための動機付け(モチベーション)である。

profile

公江 義隆(こうえ よしたか)

ITコーディネータ、情報処理技術者(特種)、情報システムコンサルタント(日本情報システム・ユーザー協会:JUAS)

元武田薬品情報システム部長、1999年12月定年退職後、ITSSP事業(経済産業省)、沖縄型産業振興プロジェクト(内閣府沖縄総合事務局経済産業部)、コンサルティング活動などを通じて中小企業のIT課題にかかわる


「何かがおかしいIT化の進め方」バックナンバー
前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ