デジタルインシデントはハザード級になっている
PART1 増大するシステムリスク
PRO(有料)会員限定
2024/06/06
システムトラブル多発の背景と対応への取り組み
基幹システムを俯瞰できる人材とBCPが不可欠
神戸大学大学院工学研究科特命教授 森井昌克氏(もりい・まさかつ)
1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了。京都工芸繊維大学工芸学部助手、愛媛大学工学部講師・助教授、徳島大学工学部知能情報工学科教授を経て、2005年神戸大学大学院工学研究科教授、2024年から現職。主な研究テーマはインターネット、 サイバーセキュリティ、マルチメディア通信技術、 情報理論、暗号理論など。情報化促進貢献個人表彰経済産業大臣賞、総務省情報通信功績賞、情報セキュリティ文化賞など受賞多数。
システムトラブルに起因する重大インシデントが多発している。業務システムが大きく複雑になるほど、止まったときの影響も大きい。DX が進むことで、それはハザード(災害)級になりつつある。被害の拡大を食い止めるにはIT 人材の育成、セキュリティー対策、そしてBCP が急務だ。神戸大学大学院工学研究科特命教授の森井昌克氏に、企業を取り巻くデジタルリスクの現状と課題、対応策を聞いた。
業務システムが統合化・複雑化している(イメージ:写真AC)
業務システムは複雑化している
――ITトラブルが重大インシデントに発展するケースが増えています。情報漏えいや部分的な業務のダウンにとどまらず、生産・出荷といった基幹業務も止まってしまう。リスク環境が変わっているのでしょうか?
企業活動における業務は多岐にわたります。生産、出荷、流通、販売、営業、あるいは経理や人事など、さまざまな業務が絡み合って事業を成している。これまで、それらの業務はどちらかというと別々のシステムで動かしていました。しかしいまは、経営資源の効率的活用の名のもと、各業務を統合して一体的に動かそうという流れになっています。つまりDXですね。
そのDXを実現するのが、いわゆるERP(企業資源計画)の考え方にもとづく基幹システムです。さまざまな業務の情報をネットワークにつないで統合し、一括して動かす。ただしこうなると、システムのどこか1カ所で不具合が起きると影響が全体に及びます。復旧するのも簡単ではありません。
江崎グリコのシステム障害と一部製品の出荷停止がニュースになっていますが、これは基幹システムの切り替えにともなうインシデントだといわれています。詳細はまだわかりませんが、背景には、いま申し上げた業務システムの統合化・複雑化の流れがあるでしょう。
基幹システムは単独の業務を部分的に動かすシステムと違い、事業全体をつないでいます。それを切り替えるというのは、企業をあげたプロジェクト。当然、綿密な計画が必要です。グリコも数年前から計画を立て、本来なら2年ほど前に着手し、順調にいけばすでに新システムが稼働しているはずでした。
しかし、試験運用がなかなかうまくいかず、延期を続けてきた。最終的に今年4月、満を持して切り替えに踏み切ったわけですが、それがトラブルを起こし、2カ月近くたった現在(5月20日時点)も復旧できていない。グリコから報告がない段階なので具体的なことはいえませんが、いくつかの懸念を抱きます。
――どのような懸念ですか?
当然ながら、グリコが基幹システムの開発・設計をしているわけではないので、ベンダーに依頼します。今回はデロイトトーマツコンサルティングが全般的な設計とコンサルティングを行い、実動部隊としてシステム構築会社が入る体制で、これまでの独SAP社のシステムを同じSAP社の新しいERPシステムに切り替えるプロジェクトだったようです。
このとき、旧システムの引き継ぎを含め、グリコとデロイト、その下のシステム構築会社の打ち合わせがしっかりできていたのか。もちろん、しっかり準備していたと思います。しかし、もしできていたならなぜこれほどのインシデントが発生したのか。逆に十分な準備ができていなかったとしたら、なぜできなかったのか。そこが重要だと思います。
ここからは一般論ですが、ある程度大きな企業には専属の情報システム部門があり、社内のシステム構成や内容をみられる人がいます。システムの設計書・仕様書や運用書も保存されているはずです。一方で、生産や営業などの部門には、自分たちの業務や工程の何がどうシステム化されて動いているのかを把握している人がいるでしょう。
しかし、申し上げたとおり、システムは統合化・複雑化している。全社を横串で刺すような基幹システムを俯瞰的にみられる人はいるでしょうか。あるいは、関係部門が対等な立場で共通言語をもってしっかりと話し合える環境ができているでしょうか。そこを補うのがコンサルやベンダーだとして、彼らがどこまでその会社の全体像を把握できるでしょうか。
基幹システムの構築を依頼されたコンサルやベンダーは、現行システムの設計書・仕様書を読み込むでしょうし、現場へのヒアリングも当然行います。情報システム部門の人たちとも打ち合わせをするでしょう。しかしそれは、システムが大きくなるほど難しい。「しっかりした準備」をしたとしてもトラブルが起きる。それがいまのデジタル環境の現実だと思います。
インタビューの他の記事
直近のセミナー・イベント
おすすめ記事
-
なぜ製品・サービスの根幹に関わる不正が相次ぐのか?
企業不正が後を絶たない。特に自動車業界が目立つ。燃費や排ガス検査に関連する不正は、2016年以降だけでも三菱自動車とスズキ、SUBARU、日産、マツダで発覚。2023年のダイハツに続き、今年の6月からのトヨタ、マツダ、ホンダ、スズキの認証不正が明らかになった。なぜ、企業は不正を犯すのか。経営学が専門の立命館大学准教授の中原翔氏に聞いた。
2024/11/20
-
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/11/19
-
ランサム攻撃訓練の高度化でBCPを磨き上げる
大手生命保険会社の明治安田生命保険は、全社的サイバー訓練を強化・定期実施しています。ランサムウェア攻撃で引き起こされるシチュエーションを想定して課題を洗い出し、継続的な改善を行ってセキュリティー対策とBCPをブラッシュアップ。システムとネットワークが止まっても重要業務を継続できる態勢と仕組みの構築を目指します。
2024/11/17
-
-
セキュリティーを労働安全のごとく組織に根付かせる
エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化に根付かせようと取り組んでいます。持ち株会社の日揮ホールディングスがITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進めます。
2024/11/08
-
-
-
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2024/11/05
-
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方