基幹システムを俯瞰できる人材とBCPが不可欠

神戸大学大学院工学研究科特命教授 森井昌克氏(もりい・まさかつ)

 

1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了。京都工芸繊維大学工芸学部助手、愛媛大学工学部講師・助教授、徳島大学工学部知能情報工学科教授を経て、2005年神戸大学大学院工学研究科教授、2024年から現職。主な研究テーマはインターネット、 サイバーセキュリティ、マルチメディア通信技術、 情報理論、暗号理論など。情報化促進貢献個人表彰経済産業大臣賞、総務省情報通信功績賞、情報セキュリティ文化賞など受賞多数。

システムトラブルに起因する重大インシデントが多発している。業務システムが大きく複雑になるほど、止まったときの影響も大きい。DX が進むことで、それはハザード(災害)級になりつつある。被害の拡大を食い止めるにはIT 人材の育成、セキュリティー対策、そしてBCP が急務だ。神戸大学大学院工学研究科特命教授の森井昌克氏に、企業を取り巻くデジタルリスクの現状と課題、対応策を聞いた。

業務システムが統合化・複雑化している(イメージ:写真AC)

業務システムは複雑化している

――ITトラブルが重大インシデントに発展するケースが増えています。情報漏えいや部分的な業務のダウンにとどまらず、生産・出荷といった基幹業務も止まってしまう。リスク環境が変わっているのでしょうか?
企業活動における業務は多岐にわたります。生産、出荷、流通、販売、営業、あるいは経理や人事など、さまざまな業務が絡み合って事業を成している。これまで、それらの業務はどちらかというと別々のシステムで動かしていました。しかしいまは、経営資源の効率的活用の名のもと、各業務を統合して一体的に動かそうという流れになっています。つまりDXですね。

そのDXを実現するのが、いわゆるERP(企業資源計画)の考え方にもとづく基幹システムです。さまざまな業務の情報をネットワークにつないで統合し、一括して動かす。ただしこうなると、システムのどこか1カ所で不具合が起きると影響が全体に及びます。復旧するのも簡単ではありません。

江崎グリコのシステム障害と一部製品の出荷停止がニュースになっていますが、これは基幹システムの切り替えにともなうインシデントだといわれています。詳細はまだわかりませんが、背景には、いま申し上げた業務システムの統合化・複雑化の流れがあるでしょう。

基幹システムは単独の業務を部分的に動かすシステムと違い、事業全体をつないでいます。それを切り替えるというのは、企業をあげたプロジェクト。当然、綿密な計画が必要です。グリコも数年前から計画を立て、本来なら2年ほど前に着手し、順調にいけばすでに新システムが稼働しているはずでした。

しかし、試験運用がなかなかうまくいかず、延期を続けてきた。最終的に今年4月、満を持して切り替えに踏み切ったわけですが、それがトラブルを起こし、2カ月近くたった現在(5月20日時点)も復旧できていない。グリコから報告がない段階なので具体的なことはいえませんが、いくつかの懸念を抱きます。

――どのような懸念ですか?
当然ながら、グリコが基幹システムの開発・設計をしているわけではないので、ベンダーに依頼します。今回はデロイトトーマツコンサルティングが全般的な設計とコンサルティングを行い、実動部隊としてシステム構築会社が入る体制で、これまでの独SAP社のシステムを同じSAP社の新しいERPシステムに切り替えるプロジェクトだったようです。

このとき、旧システムの引き継ぎを含め、グリコとデロイト、その下のシステム構築会社の打ち合わせがしっかりできていたのか。もちろん、しっかり準備していたと思います。しかし、もしできていたならなぜこれほどのインシデントが発生したのか。逆に十分な準備ができていなかったとしたら、なぜできなかったのか。そこが重要だと思います。

ここからは一般論ですが、ある程度大きな企業には専属の情報システム部門があり、社内のシステム構成や内容をみられる人がいます。システムの設計書・仕様書や運用書も保存されているはずです。一方で、生産や営業などの部門には、自分たちの業務や工程の何がどうシステム化されて動いているのかを把握している人がいるでしょう。

しかし、申し上げたとおり、システムは統合化・複雑化している。全社を横串で刺すような基幹システムを俯瞰的にみられる人はいるでしょうか。あるいは、関係部門が対等な立場で共通言語をもってしっかりと話し合える環境ができているでしょうか。そこを補うのがコンサルやベンダーだとして、彼らがどこまでその会社の全体像を把握できるでしょうか。

基幹システムの構築を依頼されたコンサルやベンダーは、現行システムの設計書・仕様書を読み込むでしょうし、現場へのヒアリングも当然行います。情報システム部門の人たちとも打ち合わせをするでしょう。しかしそれは、システムが大きくなるほど難しい。「しっかりした準備」をしたとしてもトラブルが起きる。それがいまのデジタル環境の現実だと思います。