デジタルインシデントはハザード級になっている
PART1 増大するシステムリスク
PRO(有料)会員限定
2024/06/06
システムトラブル多発の背景と対応への取り組み
基幹システムを俯瞰できる人材とBCPが不可欠
神戸大学大学院工学研究科特命教授 森井昌克氏(もりい・まさかつ)
1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了。京都工芸繊維大学工芸学部助手、愛媛大学工学部講師・助教授、徳島大学工学部知能情報工学科教授を経て、2005年神戸大学大学院工学研究科教授、2024年から現職。主な研究テーマはインターネット、 サイバーセキュリティ、マルチメディア通信技術、 情報理論、暗号理論など。情報化促進貢献個人表彰経済産業大臣賞、総務省情報通信功績賞、情報セキュリティ文化賞など受賞多数。
システムトラブルに起因する重大インシデントが多発している。業務システムが大きく複雑になるほど、止まったときの影響も大きい。DX が進むことで、それはハザード(災害)級になりつつある。被害の拡大を食い止めるにはIT 人材の育成、セキュリティー対策、そしてBCP が急務だ。神戸大学大学院工学研究科特命教授の森井昌克氏に、企業を取り巻くデジタルリスクの現状と課題、対応策を聞いた。
業務システムが統合化・複雑化している(イメージ:写真AC)
業務システムは複雑化している
――ITトラブルが重大インシデントに発展するケースが増えています。情報漏えいや部分的な業務のダウンにとどまらず、生産・出荷といった基幹業務も止まってしまう。リスク環境が変わっているのでしょうか?
企業活動における業務は多岐にわたります。生産、出荷、流通、販売、営業、あるいは経理や人事など、さまざまな業務が絡み合って事業を成している。これまで、それらの業務はどちらかというと別々のシステムで動かしていました。しかしいまは、経営資源の効率的活用の名のもと、各業務を統合して一体的に動かそうという流れになっています。つまりDXですね。
そのDXを実現するのが、いわゆるERP(企業資源計画)の考え方にもとづく基幹システムです。さまざまな業務の情報をネットワークにつないで統合し、一括して動かす。ただしこうなると、システムのどこか1カ所で不具合が起きると影響が全体に及びます。復旧するのも簡単ではありません。
江崎グリコのシステム障害と一部製品の出荷停止がニュースになっていますが、これは基幹システムの切り替えにともなうインシデントだといわれています。詳細はまだわかりませんが、背景には、いま申し上げた業務システムの統合化・複雑化の流れがあるでしょう。
基幹システムは単独の業務を部分的に動かすシステムと違い、事業全体をつないでいます。それを切り替えるというのは、企業をあげたプロジェクト。当然、綿密な計画が必要です。グリコも数年前から計画を立て、本来なら2年ほど前に着手し、順調にいけばすでに新システムが稼働しているはずでした。
しかし、試験運用がなかなかうまくいかず、延期を続けてきた。最終的に今年4月、満を持して切り替えに踏み切ったわけですが、それがトラブルを起こし、2カ月近くたった現在(5月20日時点)も復旧できていない。グリコから報告がない段階なので具体的なことはいえませんが、いくつかの懸念を抱きます。
――どのような懸念ですか?
当然ながら、グリコが基幹システムの開発・設計をしているわけではないので、ベンダーに依頼します。今回はデロイトトーマツコンサルティングが全般的な設計とコンサルティングを行い、実動部隊としてシステム構築会社が入る体制で、これまでの独SAP社のシステムを同じSAP社の新しいERPシステムに切り替えるプロジェクトだったようです。
このとき、旧システムの引き継ぎを含め、グリコとデロイト、その下のシステム構築会社の打ち合わせがしっかりできていたのか。もちろん、しっかり準備していたと思います。しかし、もしできていたならなぜこれほどのインシデントが発生したのか。逆に十分な準備ができていなかったとしたら、なぜできなかったのか。そこが重要だと思います。
ここからは一般論ですが、ある程度大きな企業には専属の情報システム部門があり、社内のシステム構成や内容をみられる人がいます。システムの設計書・仕様書や運用書も保存されているはずです。一方で、生産や営業などの部門には、自分たちの業務や工程の何がどうシステム化されて動いているのかを把握している人がいるでしょう。
しかし、申し上げたとおり、システムは統合化・複雑化している。全社を横串で刺すような基幹システムを俯瞰的にみられる人はいるでしょうか。あるいは、関係部門が対等な立場で共通言語をもってしっかりと話し合える環境ができているでしょうか。そこを補うのがコンサルやベンダーだとして、彼らがどこまでその会社の全体像を把握できるでしょうか。
基幹システムの構築を依頼されたコンサルやベンダーは、現行システムの設計書・仕様書を読み込むでしょうし、現場へのヒアリングも当然行います。情報システム部門の人たちとも打ち合わせをするでしょう。しかしそれは、システムが大きくなるほど難しい。「しっかりした準備」をしたとしてもトラブルが起きる。それがいまのデジタル環境の現実だと思います。
インタビューの他の記事
直近のセミナー・イベント
おすすめ記事
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/04/01
-
-
-
-
-
全社員が「リスクオーナー」リーダーに実践教育
エイブルホールディングス(東京都港区、平田竜史代表取締役社長)は、組織的なリスクマネジメント文化を育むために、土台となる組織風土の構築を進める。全役職員をリスクオーナーに位置づけてリスクマネジメントの自覚を高め、多彩な研修で役職に合致したレベルアップを目指す。
2025/03/18
-
ソリューションを提示しても経営には響かない
企業を取り巻くデジタルリスクはますます多様化。サイバー攻撃や内部からの情報漏えいのような従来型リスクが進展の様相を見せる一方で、生成 AI のような最新テクノロジーの登場や、国際政治の再編による世界的なパワーバランスの変動への対応が求められている。2025 年のデジタルリスク管理における重要ポイントはどこか。ガートナージャパンでセキュリティーとプライバシー領域の調査、分析を担当する礒田優一氏に聞いた。
2025/03/17
-
-
-
なぜ下請法の勧告が急増しているのか?公取委が注視する金型の無料保管と下請代金の減額
2024年度は下請法の勧告件数が17件と、直近10年で最多を昨年に続き更新している。急増しているのが金型の保管に関する勧告だ。大手ポンプメーカーの荏原製作所、自動車メーカーのトヨタや日産の子会社などへの勧告が相次いだ。また、家電量販店のビックカメラは支払代金の不当な減額で、出版ではKADOKAWAが買いたたきで勧告を受けた。なぜ、下請法による勧告が増えているのか。独占禁止法と下請法に詳しい日比谷総合法律事務所の多田敏明弁護士に聞いた。
2025/03/14
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方