不定期配信　マウスちゃんとメモリ主任のＩＴ１年生 ２６

情報の重要性が増す昨今、弊社では情報セキュリティについて、その意義や情報を共有する取り組みを続けています。
担当チームが社内向けにまとめた資料などを基に、軽い読み物を不定期でお届けできればと思いますので、ご笑覧頂ければ幸いでございます。

　メモリ主任に感化されてＩＴ関連のニュースに敏感になっているマウスちゃん。
　ある日もニュースを読んでいて、ふと首を傾げます。
「ＩＴベンダーさんって、コンピューターシステムを供給してくれる企業の方ってことだよね？・・・専門家さんなのに、『ベンダーさん任せがデメリットにつながることもある』ってどういうこと？」

　ＩＴのことならメモリ主任に聞こう、とマウスちゃん。早速、翌日の昼休み、メモリ主任に聞いてみます。
「デメリットですか？・・・すぐに思いつくのは、３つの面ですね。」
　やはりメモリ主任は嫌がらずに答えてくれます。
「１つはコスト面です。１社のＩＴベンダーさんに任せきりになると、導入や運用費用が高額になる可能性があります。比較できないと、そもそもその費用が高額なのかどうかすらわからないですしね。」
「なるほど。」
「２つ目は、設備更新の面ですね。ある特定のベンダーさんに任せきりになると、例えば、そのベンダーさんが導入していない技術などが必要になっても、それを組み込むことが難しかったり、高額になったりします。ではその技術を導入している他のベンダーさんにお願いしようかとなっても、従来のベンダーさんで蓄積しているデータや機能の引継ぎが難しくて、別に費用が発生したり、断念することになる例もあります。」
「ＤＸを進めようとしても、システムの改修が難しくて、古いシステムを使い続けることがあるって、聞いたことがあります。」
「そういう例もありますね。ある特定のベンダーさんとの間でオリジナルの機能を追加追加で改修し続けている場合には、企業全体として新しいシステムに移行したいと思っても、なかなか難しいことがあります。『ベンダーロックイン』という表現もあるくらいなのですよ。」
「じゃあ、最初から３社くらいのベンダーさんにお願いするくらいで良いんでしょうか？」
「コスト面では確かにそうですが、その場合にはまた別の問題が浮上します。例えば、ひとつのシステムを複数のベンダーさんで供給してもらう場合、いざシステムが動かないといった問題が起こった場合、原因の追求に時間がかかるなどですね。また、それ以上に難しいのが、３つ目の、セキュリティの問題ですね。」
「セキュリティ面ですか？」
「例えば、Ａ、Ｂ、・・・と複数のベンダーさんが関わっている場合、Ａというベンダーさんが関わっている部分だけのセキュリティとしては十分な対応であっても、それにＢというベンダーさんが関わっている部分が連結された場合、Ａ社さんのセキュリティ対応では不十分だった、という例があります。そもそもＡ、Ｂ、・・・と複数のベンダーさんがシステムに関わっている場合、その企業の全体のセキュリティをどこが責任を持つのか、という問題も出てきますから、そこを曖昧にしたままベンダーさん任せにしておくと、できあがるのはセキュリティ的に脆弱なシステム、ということになりかねませんね。」
「じゃあ、改修しづらくても１社の方が良いということですか？」
「１社ならベンダーさん任せにして良いというわけではありません。長年契約しているベンダーさんを信頼して必要なチェックを怠った結果、決め事が守られていなくて情報漏洩の危機に陥ったという実例もありますよ。」

「結局、ベンダーさん任せではダメ、ということなのですね。」
「勿論、ベンダーさんは専門家ですから、信じてお任せする部分も多いですが、だからと言って自社のシステムを理解しなくと良いとか、何もチェックしなくと良いということではないということです。ベンダーさんとコミュニケーションをとってシステムを理解し、自社の状況をベンダーさんにも理解して頂くと同時に、それ以外でも積極的に情報収集して、交渉すべきことは交渉する。ベンダーさんが複数の場合は、ベンダーさん間の情報共有も自社の責任だと理解する。自社でチェックすべきこと、管理すべきことをはっきりさせて実行する。そんな風に、主体的に関わることが大切だ、ということなのだと思いますよ。」
　なるほど、と頷きながら、自分の行動をかえりみて、あれ、私って、メモリ主任まかせ？と、ちょっと反省するマウスちゃんなのでした。