デジタルインシデントはハザード級になっている
PART1 増大するシステムリスク
PRO(有料)会員限定
2024/06/06
システムトラブル多発の背景と対応への取り組み
基幹システムを俯瞰できる人材とBCPが不可欠
神戸大学大学院工学研究科特命教授 森井昌克氏(もりい・まさかつ)
1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了。京都工芸繊維大学工芸学部助手、愛媛大学工学部講師・助教授、徳島大学工学部知能情報工学科教授を経て、2005年神戸大学大学院工学研究科教授、2024年から現職。主な研究テーマはインターネット、 サイバーセキュリティ、マルチメディア通信技術、 情報理論、暗号理論など。情報化促進貢献個人表彰経済産業大臣賞、総務省情報通信功績賞、情報セキュリティ文化賞など受賞多数。
システムトラブルに起因する重大インシデントが多発している。業務システムが大きく複雑になるほど、止まったときの影響も大きい。DX が進むことで、それはハザード(災害)級になりつつある。被害の拡大を食い止めるにはIT 人材の育成、セキュリティー対策、そしてBCP が急務だ。神戸大学大学院工学研究科特命教授の森井昌克氏に、企業を取り巻くデジタルリスクの現状と課題、対応策を聞いた。
業務システムが統合化・複雑化している(イメージ:写真AC)
業務システムは複雑化している
――ITトラブルが重大インシデントに発展するケースが増えています。情報漏えいや部分的な業務のダウンにとどまらず、生産・出荷といった基幹業務も止まってしまう。リスク環境が変わっているのでしょうか?
企業活動における業務は多岐にわたります。生産、出荷、流通、販売、営業、あるいは経理や人事など、さまざまな業務が絡み合って事業を成している。これまで、それらの業務はどちらかというと別々のシステムで動かしていました。しかしいまは、経営資源の効率的活用の名のもと、各業務を統合して一体的に動かそうという流れになっています。つまりDXですね。
そのDXを実現するのが、いわゆるERP(企業資源計画)の考え方にもとづく基幹システムです。さまざまな業務の情報をネットワークにつないで統合し、一括して動かす。ただしこうなると、システムのどこか1カ所で不具合が起きると影響が全体に及びます。復旧するのも簡単ではありません。
江崎グリコのシステム障害と一部製品の出荷停止がニュースになっていますが、これは基幹システムの切り替えにともなうインシデントだといわれています。詳細はまだわかりませんが、背景には、いま申し上げた業務システムの統合化・複雑化の流れがあるでしょう。
基幹システムは単独の業務を部分的に動かすシステムと違い、事業全体をつないでいます。それを切り替えるというのは、企業をあげたプロジェクト。当然、綿密な計画が必要です。グリコも数年前から計画を立て、本来なら2年ほど前に着手し、順調にいけばすでに新システムが稼働しているはずでした。
しかし、試験運用がなかなかうまくいかず、延期を続けてきた。最終的に今年4月、満を持して切り替えに踏み切ったわけですが、それがトラブルを起こし、2カ月近くたった現在(5月20日時点)も復旧できていない。グリコから報告がない段階なので具体的なことはいえませんが、いくつかの懸念を抱きます。
――どのような懸念ですか?
当然ながら、グリコが基幹システムの開発・設計をしているわけではないので、ベンダーに依頼します。今回はデロイトトーマツコンサルティングが全般的な設計とコンサルティングを行い、実動部隊としてシステム構築会社が入る体制で、これまでの独SAP社のシステムを同じSAP社の新しいERPシステムに切り替えるプロジェクトだったようです。
このとき、旧システムの引き継ぎを含め、グリコとデロイト、その下のシステム構築会社の打ち合わせがしっかりできていたのか。もちろん、しっかり準備していたと思います。しかし、もしできていたならなぜこれほどのインシデントが発生したのか。逆に十分な準備ができていなかったとしたら、なぜできなかったのか。そこが重要だと思います。
ここからは一般論ですが、ある程度大きな企業には専属の情報システム部門があり、社内のシステム構成や内容をみられる人がいます。システムの設計書・仕様書や運用書も保存されているはずです。一方で、生産や営業などの部門には、自分たちの業務や工程の何がどうシステム化されて動いているのかを把握している人がいるでしょう。
しかし、申し上げたとおり、システムは統合化・複雑化している。全社を横串で刺すような基幹システムを俯瞰的にみられる人はいるでしょうか。あるいは、関係部門が対等な立場で共通言語をもってしっかりと話し合える環境ができているでしょうか。そこを補うのがコンサルやベンダーだとして、彼らがどこまでその会社の全体像を把握できるでしょうか。
基幹システムの構築を依頼されたコンサルやベンダーは、現行システムの設計書・仕様書を読み込むでしょうし、現場へのヒアリングも当然行います。情報システム部門の人たちとも打ち合わせをするでしょう。しかしそれは、システムが大きくなるほど難しい。「しっかりした準備」をしたとしてもトラブルが起きる。それがいまのデジタル環境の現実だと思います。
インタビューの他の記事
直近のセミナー・イベント
おすすめ記事
-
-
-
3線モデルで浸透するリスクマネジメントコンプライアンス・ハンドブックで従業員意識も高まる【徹底解説】パーソルグループのERM
「はたらいて、笑おう。」をグループビジョンとして掲げ、総合人材サービス事業を展開するパーソルグループでは、2020年のグループ経営体制の刷新を契機にリスクマネジメント活動を強化している。ISO31000やCOSO-ERMを参考にしながら、独自にリスクマネジメントの体制を整備。現場の業務執行部門(第1線)、ITや人事など管理部門(第2線)、内部監査部門(第3線)でリスクマネジメントを推進する3線モデルを確立した。実際にリスクマネジメント活動で使っているテンプレートとともに、同社の活動を紹介する。
2024/07/23
-
インシデントの第一報を迅速共有システム化で迷い払拭
変圧器やリアクタなどの電子部品や電子化学材料を製造・販売するタムラ製作所は、インシデントの報告システム「アラームエスカレーション」を整備し、素早い情報の伝達、収集、共有に努めている。2006年、当時社長だった田村直樹氏がリードして動き出した取り組み。CSRの一環でスタートした。
2024/07/23
-
「お困りごと」の傾聴からはじまるサプライヤーBCM支援
ブレーキシステムの開発、製造を手掛けるアドヴィックスは、サプライヤーを訪ね、丁寧に話しを聞くことからはじまる「BCM寄り添い活動」を2022年度から展開している。支援するのは小規模で経営体力が限られるサプライヤー。「本当に意味のある取り組みは何か」を考えながら進めている。
2024/07/22
-
-
危機管理担当者が知っておくべきハラスメントの動向業務上の指導とパワハラの違いを知る
5月17日に厚生労働省から発表された「職場のハラスメントに関する実態調査報告書」によると、従業員がパワハラやセクハラを受けていると認識した後の勤務先の対応として、パワハラでは約53%、セクハラでは約43%が「特に何もしなかった」と回答。相談された企業の対応に疑問を投げかける結果となった。企業の危機管理担当者も知っておくべきハラスメントのポイントについて、旬報法律事務所の新村響子弁護士に聞いた。
2024/07/18
-
基本解説 Q&A 線状降水帯とは何か?集中豪雨の3分の2を占める日本特有の現象
6月21日、気象庁が今年初の線状降水帯の発生を発表した。短時間で大量の激しい雨を降らせる線状降水帯は、土砂災害発生を経て、被害を甚大化させる。気象庁では今シーズンから、半日前の発生予測のエリアを細分化し、対応を促す。線状降水帯研究の第一人者である気象庁気象研究所の加藤輝之氏に、研究の最前線を聞いた。
2024/07/17
-
-
災害リスクへの対策が後回しになっている円滑なコミュニケーション対策を
目を向けるべきOTリスクは情報セキュリティーのほかにもさまざま。故障や不具合といった往年のリスクへの対策も万全ではない。特に、災害時の素早い復旧に向けた備えなどは後回しになっているという。ガートナージャパン・リサーチ&アドバイザリ部門の山本琢磨氏に、OTの課題を聞いた。
2024/07/16
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方