「システムに欠陥が多すぎて使えない!」
「開発や保守・運用費用が高すぎる!」
「なぜか社員が協力してくれない……」
「経営者がシステムのことを全然わかってない……」

ホームページ、ECサイト、Webマーケティングシステム、AI、ビッグデータ、IOTなど、ITシステムが企業の経営を左右する時代。にもかかわらず、ほんの数年前まで、日本のITシステム開発は3分の2が失敗しており、今もなお、システム開発は他のプロジェクトと比べると成功率の低いのが現状です。

そこで、かつてない「発注者のための入門書」として、発売早々重版が決まった『システムを「外注」するときに読む本』。本連載では、そのエッセンスを公開。70以上のトラブルプロジェクトを解決に導き、紛争解決率9割を超えた「トラブル解決請負人」が、システム開発プロセスに潜む「地雷」を紹介しながら、成功のポイントを伝えます。

どうすれば、会社が幸せになる「本当に役に立つシステム」が作れるのか?
経営者・CIO・システム担当者・プロジェクトマネージャーの必須知識!

セキュリティ事件は「イタチごっこ」

インターネットが世に定着して以来、企業や個人の情報を盗み出したり、壊したり、あるいはファイルを開けないようにされて金銭を要求されたりといった、いわゆるセキュリティ事件はあとを断ちません。

世界中のITベンダーやセキュリティ専門会社が、セキュリティソフトやセキュリティサービスを開発していますが、そのほとんどは「既知の脅威」に関するものですから、どうしてもこの争いはイタチゴッコになってしまうのです。

かの石川五右衛門を描いたお芝居で、五右衛門が豊臣秀吉に捕まって釜ゆでの刑に処されたときのセリフに、「浜の真砂は尽きるとも、世に盗人の種は尽きまじ」というものがあります。セキュリティ事件も、まさにそんなイメージだと言えます。

そうであるならば、組織や個人は、「自分の情報を守るために何をすべきか?」を考えることと、「もし漏えいした場合にどうするか?」というセキュリティ対策の両面を取り決めておく必要があります。

被害を最小限にとどめる方法とは? (※写真はイメージです)

ただし、セキュリティ対策を考えるときには、すべての情報に対して単一のプロセスやルールを設定するだけでは、おそらく何もうまくいかないでしょう。

企業が扱う情報には、「何が何でも漏らせない情報」と、「対策をきつくしすぎると仕事が回らなくなる情報」が入り混じっています。

たとえば、個人情報を扱うなら、それがどんなに不便でも、「インターネットに接続したサーバーやパソコンには置かない」というルールを設定し、「情報を保管しているサーバーやパソコンには、必ず複数名のログインで入るようにする」といったルールが必要になるかもしれません。

一方で、たとえ機密情報であったとしても、システム開発を複数の場所に分かれて行なう場合などは、ガードをきつくしすぎると生産性が落ちる場合もあります。ちょっとメールで情報を送れば済むところを、「複数人の立会いのもとで情報を抜き出し、それを人が直接渡す」などと決められていたら、非効率だと言わざるを得ないでしょう。

また、あまりに度が過ぎるセキュリティルールを設定すると、みんながそのルールを無視するようになって、危険な状態にもなりかねません。

こうしたこともあって、きちんと情報を守ろうとする組織は、必ず、「重要度」と「漏れた場合の危険度」から情報を分類し、各々についてセキュリティはどうあるべきかという「セキュリティポリシー」を定義しています。