デジタルインシデントはハザード級になっている
PART1 増大するシステムリスク
PRO(有料)会員限定
2024/06/06
システムトラブル多発の背景と対応への取り組み
基幹システムを俯瞰できる人材とBCPが不可欠
神戸大学大学院工学研究科特命教授 森井昌克氏(もりい・まさかつ)
1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了。京都工芸繊維大学工芸学部助手、愛媛大学工学部講師・助教授、徳島大学工学部知能情報工学科教授を経て、2005年神戸大学大学院工学研究科教授、2024年から現職。主な研究テーマはインターネット、 サイバーセキュリティ、マルチメディア通信技術、 情報理論、暗号理論など。情報化促進貢献個人表彰経済産業大臣賞、総務省情報通信功績賞、情報セキュリティ文化賞など受賞多数。
システムトラブルに起因する重大インシデントが多発している。業務システムが大きく複雑になるほど、止まったときの影響も大きい。DX が進むことで、それはハザード(災害)級になりつつある。被害の拡大を食い止めるにはIT 人材の育成、セキュリティー対策、そしてBCP が急務だ。神戸大学大学院工学研究科特命教授の森井昌克氏に、企業を取り巻くデジタルリスクの現状と課題、対応策を聞いた。
業務システムが統合化・複雑化している(イメージ:写真AC)
業務システムは複雑化している
――ITトラブルが重大インシデントに発展するケースが増えています。情報漏えいや部分的な業務のダウンにとどまらず、生産・出荷といった基幹業務も止まってしまう。リスク環境が変わっているのでしょうか?
企業活動における業務は多岐にわたります。生産、出荷、流通、販売、営業、あるいは経理や人事など、さまざまな業務が絡み合って事業を成している。これまで、それらの業務はどちらかというと別々のシステムで動かしていました。しかしいまは、経営資源の効率的活用の名のもと、各業務を統合して一体的に動かそうという流れになっています。つまりDXですね。
そのDXを実現するのが、いわゆるERP(企業資源計画)の考え方にもとづく基幹システムです。さまざまな業務の情報をネットワークにつないで統合し、一括して動かす。ただしこうなると、システムのどこか1カ所で不具合が起きると影響が全体に及びます。復旧するのも簡単ではありません。
江崎グリコのシステム障害と一部製品の出荷停止がニュースになっていますが、これは基幹システムの切り替えにともなうインシデントだといわれています。詳細はまだわかりませんが、背景には、いま申し上げた業務システムの統合化・複雑化の流れがあるでしょう。
基幹システムは単独の業務を部分的に動かすシステムと違い、事業全体をつないでいます。それを切り替えるというのは、企業をあげたプロジェクト。当然、綿密な計画が必要です。グリコも数年前から計画を立て、本来なら2年ほど前に着手し、順調にいけばすでに新システムが稼働しているはずでした。
しかし、試験運用がなかなかうまくいかず、延期を続けてきた。最終的に今年4月、満を持して切り替えに踏み切ったわけですが、それがトラブルを起こし、2カ月近くたった現在(5月20日時点)も復旧できていない。グリコから報告がない段階なので具体的なことはいえませんが、いくつかの懸念を抱きます。
――どのような懸念ですか?
当然ながら、グリコが基幹システムの開発・設計をしているわけではないので、ベンダーに依頼します。今回はデロイトトーマツコンサルティングが全般的な設計とコンサルティングを行い、実動部隊としてシステム構築会社が入る体制で、これまでの独SAP社のシステムを同じSAP社の新しいERPシステムに切り替えるプロジェクトだったようです。
このとき、旧システムの引き継ぎを含め、グリコとデロイト、その下のシステム構築会社の打ち合わせがしっかりできていたのか。もちろん、しっかり準備していたと思います。しかし、もしできていたならなぜこれほどのインシデントが発生したのか。逆に十分な準備ができていなかったとしたら、なぜできなかったのか。そこが重要だと思います。
ここからは一般論ですが、ある程度大きな企業には専属の情報システム部門があり、社内のシステム構成や内容をみられる人がいます。システムの設計書・仕様書や運用書も保存されているはずです。一方で、生産や営業などの部門には、自分たちの業務や工程の何がどうシステム化されて動いているのかを把握している人がいるでしょう。
しかし、申し上げたとおり、システムは統合化・複雑化している。全社を横串で刺すような基幹システムを俯瞰的にみられる人はいるでしょうか。あるいは、関係部門が対等な立場で共通言語をもってしっかりと話し合える環境ができているでしょうか。そこを補うのがコンサルやベンダーだとして、彼らがどこまでその会社の全体像を把握できるでしょうか。
基幹システムの構築を依頼されたコンサルやベンダーは、現行システムの設計書・仕様書を読み込むでしょうし、現場へのヒアリングも当然行います。情報システム部門の人たちとも打ち合わせをするでしょう。しかしそれは、システムが大きくなるほど難しい。「しっかりした準備」をしたとしてもトラブルが起きる。それがいまのデジタル環境の現実だと思います。
インタビューの他の記事
直近のセミナー・イベント
おすすめ記事
-
入居ビルの耐震性から考える初動対策退避場所への移動を踏まえたマニュアル作成
押入れ産業は、「大地震時の初動マニュアル」を完成させた。リスクの把握からスタートし、現実的かつ実践的な災害対策を模索。ビルの耐震性を踏まえて2つの避難パターンを盛り込んだ。防災備蓄品を整備し、各種訓練を実施。社内説明会を繰り返し開催し、防災意識の向上に取り組むなど着実な進展をみせている。
2025/06/13
-
「保険」の枠を超え災害対応の高度化をけん引
東京海上グループが掲げる「防災・減災ソリューション」を担う事業会社。災害対応のあらゆるフェーズと原因に一気通貫の付加価値を提供するとし、サプライチェーンリスクの可視化など、すでに複数のサービス提供を開始しています。事業スタートの背景、アプローチの特徴や強み、目指すゴールイメージを聞きました。
2025/06/11
-
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/06/10
-
その瞬間、あなたは動けますか? 全社を挙げた防災プロジェクトが始動
遠州鉄道株式会社総務部防災担当課長の吉澤弘典は、全社的なAI活用の模索が進む中で、社員の防災意識をより実践的かつ自分ごととして考えさせるための手段として訓練用のAIプロンプトを考案した。その効果は如何に!
2025/06/10
-
-
緊迫のカシミール軍事衝突の背景と核リスク
4月22日にインド北部のカシミール地方で起こったテロ事件を受け、インドは5月7日にパキスタン領内にあるテロリストの施設を攻撃したと発表した。パキスタン軍は報復として、インド軍の複数の軍事施設などを攻撃。双方の軍事行動は拡大した。なぜ、インドとパキスタンは軍事衝突を起こしたのか。核兵器を保有する両国の衝突で懸念されたのは核リスクの高まりだ。両国に詳しい防衛省防衛研究所の主任研究官である栗田真広氏に聞いた。
2025/06/09
-
危険国で事業展開を可能にするリスク管理
世界各国で石油、化学、発電などのプラント建設を手がける東洋エンジニアリング(千葉市美浜区、細井栄治取締役社長)。グローバルに事業を展開する同社では、従業員の安全を最優先に考え、厳格な安全管理体制を整えている。2021年、過去に従業員を失った経験から設置した海外安全対策室を発展的に解消し、危機管理室を設立。ハード、ソフト対策の両面から従業員を守るため、日夜、注力している。
2025/06/06
-
福祉施設の使命を果たすためのBCPを地域ぐるみで展開災害に強い人づくりが社会を変える
栃木県の社会福祉法人パステルは、利用者約430人の安全確保と福祉避難所としての使命、そして災害後も途切れない雇用責任を果たすため、現在BCP改革を本格的に推進している。グループホームや障害者支援施設、障害児通所支援事業所、さらには桑畑・レストラン・工房・農園などといった多機能型事業所を抱え、地域ぐるみで「働く・暮らす・つながる」を支えてきた同法人にとって、BCPは“災害に強い人づくり”を軸にした次の挑戦となっている。
2025/06/06
-
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2025/06/05
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方