「18億円の無駄遣い」と批判を集めた政府のセキュリティ対策は他人事じゃない！人員が削られ続ける情報システム部門の存在意義を考える

Photo By Shutterstock

東京オリンピック開催が来夏に迫り、サイバー攻撃の激化を警戒する声が高まる中で、今月8日、耳を疑うようなニュースが報じられた。会計検査院の調査で、総務省が18億円をかけたサイバーセキュリティ対策用システムが、2017年の運用開始から2年間、一度も使われることなく廃止されたというのだ。消費税の増税もやむなしとされた厳しい国の財政環境の中で、巨額の無駄使いと批判が殺到したことはいうまでもない。

利用者ニーズを無視した「セキュアゾーン」開発

問題のシステムは、各省庁が持つ企業情報などを統合的に管理する目的で総務省が開発したもので、セキュリティ対策のジャンルとしては「セキュアゾーン」とされるものだ。2015年に、日本年金機構から125万件の個人情報が流出した事案をきっかけに開発が行われることになった。

激しさを増すサイバー攻撃への対策が急務といわれる状況下にあって、なぜ、総務省が開発したセキュリティ対策システムは使われることなく廃止されてしまったのか、疑問に感じる人も少なくないだろう。

発表によれば、各省庁が使用を躊躇った理由は、その「使いにくさ」と「負担金」にあったとされる。

高度な安全性を確保するために、同システムではインターネットから遮断された環境で情報を管理する仕組みを採用。情報へのアクセス、閲覧は専用回線を用いて行う必要があった。しかも、許されているのは閲覧のみでダウンロードはできないため、資料として手元に置きたい場合などにはとても不便だったようだ。

また、保管された情報の出し入れや訂正を行う際にも、各省庁の職員がシステムの設置場所まで直接出向く必要もあった。

これほど使いにくい上に負担金が生じる可能性もあったというのだから、各省庁が使用を躊躇うのも当然だろう。

なぜ、このように利用者のニーズを無視したシステムが出来上がってしまったのだろうか。

ユーザー（各省庁）とシステム開発者とのコミュニケーションがしっかりなされていれば、このような事態を招くことはなかったはずだ。そこで浮かび上がってくるのが、両者を繋ぐ調整役の存在だ。同システムの場合で考えると、その役割は総務省が担っていたはずなのだが……。

同様の失敗は一般企業でも起こりうる

この事例を一般企業に置き換えてみると、システム開発時にITベンダー、ユーザー間の調整を行うのは「情報システム部門（情シス）」ということにになる。

情シスというと、企業内で使用されるパソコンやサーバ、ネットワークなどIT資産のお守りをしている部署という印象が強いかもしれない。だが、企業の業務内容を熟知することで、情報システムを構築・提供するITベンダーと、システムを利用するユーザー（現場）との架け橋になる役割も極めて重要だ。

にもかかわらず、近年では情シスを縮小、あるいは廃止する企業が増えてきており、情シスの業務を1人で（そして時には他業務と兼任で）こなす「ひとり情シス」さえ珍しくなくなっている。これまで情シスが担ってきた役割はどうするかというと、コストダウンのために外部に丸投げしてしまう場合が少なくないのだ。

その結果、自社のシステムの入れ替えや増強を行う際に、業務内容に沿った最適な選択をできる者が社内にいないという深刻な事態が発生する。業務フローを見直す必要が生じた場合などにも、業務とシステムの連携について熟知していないと、使いにくい改変を行ってしまう恐れがある。業務のIT化が急速に進展したことにより、今や業務とシステムは切っても切れないものになっているのだ。

「外部委託先の担当者が、当社の業務内容や情報システムの活用法を熟知しているから大丈夫」と楽観してはいけない。その担当者が移動したり退職してしまった際に、十分な引き継ぎが行われないことも考えられる。また、依存度が高すぎて委託先の企業を変更できなくなるというデメリットもある。

かつてメインフレーム（多くのデータや計算を処理するための大型コンピュータ）が主役だった時代に、事業の拡大に併せてシステムの増改築を繰り返したことで迷路のようになり、ベテラン社員が退職してしまったためにシステムの変更やトラブル対応ができなくなるという苦い経験をしたこともあったはずなのだが。喉元過ぎれば……なのだろうか。

18億円の無駄遣いと批判を集めた政府のセキュアゾーン開発を他山の石として、同様の失敗を繰り返さないためにも、いま一度、情報システム部門の存在意義を再検討するべき時期が来ているのかもしれない。

---