情シス不足の解決策は「増員」ではない!? サイバーリスクに揺るがないために、ひとり情シスがすべきこととは
サイバー攻撃の手口が巧妙化し、企業にセキュリティ対策の強化が求められる中、その最前線に立つ情報システム部門(情シス)が担う役割は、かつてとは比べものにならないほど広がっています。 「業務が増えているのなら、人員を増やせば解決する」と思われがちですが、経験豊富な即戦力の確保が難しいという現実もあります。 サイバーリスクが高まる今、情シスに本当に必要な支援とは何か。株式会社リンクで「ベアサポート 情シス代行サービス」を立ち上げた山本誠一郎に話を聞きました。
1. サイバー攻撃の脅威によって、より複雑化する情シスの業務
―ここ数年、サイバーリスクが高まっているといわれますが、現場ではどのような変化を感じますか。
ニュースなどでサイバー攻撃による被害事例が報道されるたびに、「うちはどうなってるの? 大丈夫なのか?」と、経営会議でも頻繁に話題に上がるようになってきました。経営層のセキュリティ意識の高まりを感じますね。
ニュースになるほどの規模でなくても、実際にサイバー攻撃の被害に遭っている企業も増えていると思います。ランサムウェアの被害にあってしまったとか、Webサイトが改ざんされてしまったとか、メールサーバを乗っ取られて大量のスパムメールが送られてしまったというような話は、日常的に耳にします。
ニュースになるほどの規模でなくても、実際にサイバー攻撃の被害に遭っている企業も増えていると思います。ランサムウェアの被害にあってしまったとか、Webサイトが改ざんされてしまったとか、メールサーバを乗っ取られて大量のスパムメールが送られてしまったというような話は、日常的に耳にします。
―誰もが知っているような大手企業でも被害が出ています。セキュリティの高い組織でも、なぜ攻撃が成功してしまうのでしょうか。
被害にあった大企業のセキュリティが脆弱だったのかというと、決してそうとはいえません。むしろ、多くの企業では十分に検討されたセキュリティ対策が講じられています。それでも攻撃者は、わずかな隙を突いて侵入してきます。
セキュリティに「完璧」はなく、一度対策を整備したら終わりというものでもありません。日常的な運用と継続的な管理が何より重要だと思います。
セキュリティに「完璧」はなく、一度対策を整備したら終わりというものでもありません。日常的な運用と継続的な管理が何より重要だと思います。
―多くの企業では、情報システム部(情シス)がセキュリティも担当しているそうですが、情シスの業務にはどのような変化が生じていますか。
以前は、セキュリティ対策といっても、端末にインストールするアンチウイルスソフトを配布するとか、社内にプロキシサーバを立てるとか、対象や領域が限られていたと思うんです。ところが今は、クラウドを利用していればクラウド環境のセキュリティ、社内で利用しているSaaSの管理、自社で開発しているアプリケーションへの対応など、本当にありとあらゆるものが対象になっています。
ですが、情シスがそれらすべての専門知識を持てるわけではありません。ネットワーク、サーバ、アプリケーション、クラウド……それぞれに専門性があり、情シス担当者が一人ですべてをカバーするのは、ほぼ不可能です。しかも、情シスはセキュリティだけを担当しているわけでもありません。PCのキッティング(セットアップ)やアカウントの管理・発行、ヘルプデスク対応など、日常的なIT運用業務も担当しています。
こうした状況の中で、情シスの担当者だけにセキュリティ対策を任せるのは、難しいのではないでしょうか。
ですが、情シスがそれらすべての専門知識を持てるわけではありません。ネットワーク、サーバ、アプリケーション、クラウド……それぞれに専門性があり、情シス担当者が一人ですべてをカバーするのは、ほぼ不可能です。しかも、情シスはセキュリティだけを担当しているわけでもありません。PCのキッティング(セットアップ)やアカウントの管理・発行、ヘルプデスク対応など、日常的なIT運用業務も担当しています。
こうした状況の中で、情シスの担当者だけにセキュリティ対策を任せるのは、難しいのではないでしょうか。
2. 問題は人手不足ではなく「経験とノウハウ不足」
―業務範囲が広がっているのに、なぜ人員を増やさないのでしょうか。
売上を直接生む部門ではない情シスは、いわゆるコストセンターと位置付けられがちです。そのため、人員への投資の優先度がどうしても低くなりやすい傾向があります。経営層に「情シスの担当者を増やしたい」と訴えても、簡単に認められるケースは多くありません。
多くの中小企業で「ひとり情シス」やほかの業務と兼任する「兼務情シス」という体制が長く続いているのも、こうした事情が背景にあります。また、採用しようとしても、有能な人材の確保が難しいという問題もあります。
多くの中小企業で「ひとり情シス」やほかの業務と兼任する「兼務情シス」という体制が長く続いているのも、こうした事情が背景にあります。また、採用しようとしても、有能な人材の確保が難しいという問題もあります。
―2030年には日本全体で約79万人のIT人材が不足するという試算もあります。やはりIT人材を確保するのは厳しいということですか?
「IT人材が不足している」という言い方には、少し違和感があります。人はいるけれども、「できる人が足りない」という表現のほうが正確だと思います。
50代・60代のベテランエンジニアが、今でもキーマンになっている企業は多いと思っていて、この先10年ぐらいでそういう人たちがいなくなった時には、ちょっと怖いなと思いますね。彼らが持つノウハウやナレッジ、そして長年の経験の積み重ねによって培われた「勘」。これらはとても重要なのですが、一朝一夕に身につくものではありません。
加えて、懸念しているのが、AIを積極的に活用するようになった若手エンジニアの育成です。私たちの世代は、自分たちでシステムを一から手で組み上げてきたため、内部の仕組みやアルゴリズムまで理解しながら開発を行ってきました。だから、自動化されたものの処理も理解できますし、AIが出してきたものの評価もできるわけです。
しかし、そういった経験をせずに、最初からAIによる生成を前提に開発を進めるようになった若手エンジニアが、その中身を理解するのはかなり難しいんじゃないかなと思います。テストや品質のチェック自体もAIが担っていくようになるのかもしれませんが、トラブルが発生したときに、「AIが原因を示してくれないのでわかりません」では困ってしまいますよね。
どうやって「できる人」を育て、増やしていくのか。即戦力が必要なのに雇えないなら、どうやってカバーしていくのか。そういったことを考えていかなきゃいけないのかなと思います。
50代・60代のベテランエンジニアが、今でもキーマンになっている企業は多いと思っていて、この先10年ぐらいでそういう人たちがいなくなった時には、ちょっと怖いなと思いますね。彼らが持つノウハウやナレッジ、そして長年の経験の積み重ねによって培われた「勘」。これらはとても重要なのですが、一朝一夕に身につくものではありません。
加えて、懸念しているのが、AIを積極的に活用するようになった若手エンジニアの育成です。私たちの世代は、自分たちでシステムを一から手で組み上げてきたため、内部の仕組みやアルゴリズムまで理解しながら開発を行ってきました。だから、自動化されたものの処理も理解できますし、AIが出してきたものの評価もできるわけです。
しかし、そういった経験をせずに、最初からAIによる生成を前提に開発を進めるようになった若手エンジニアが、その中身を理解するのはかなり難しいんじゃないかなと思います。テストや品質のチェック自体もAIが担っていくようになるのかもしれませんが、トラブルが発生したときに、「AIが原因を示してくれないのでわかりません」では困ってしまいますよね。
どうやって「できる人」を育て、増やしていくのか。即戦力が必要なのに雇えないなら、どうやってカバーしていくのか。そういったことを考えていかなきゃいけないのかなと思います。
―「ひとり情シス」や「兼務情シス」のような体制にはどのようなリスクがあるのでしょうか。
最大のリスクは属人化です。その人しか把握していない状態になっていると、担当者が突然退職したり、長期で離脱したりしたときに、最悪の場合業務が止まってしまうこともあります。
しかも、これだけ広い範囲を一人で担当するとなれば、自分の専門外の領域にも対応しなければならなくなります。わからないことへの不安、判断の責任を一人で背負う重さ。こういったプレッシャーが蓄積して、優秀な担当者ほど燃え尽きて離職してしまうケースも少なくありません。
優秀な人材ほど業務が集中しやすく、結果として属人化が進んでしまうことがあります。早急に手を打たないと、経営リスクになりかねません。
しかも、これだけ広い範囲を一人で担当するとなれば、自分の専門外の領域にも対応しなければならなくなります。わからないことへの不安、判断の責任を一人で背負う重さ。こういったプレッシャーが蓄積して、優秀な担当者ほど燃え尽きて離職してしまうケースも少なくありません。
優秀な人材ほど業務が集中しやすく、結果として属人化が進んでしまうことがあります。早急に手を打たないと、経営リスクになりかねません。
―できる人材の確保が難しい中で、このようなリスクを回避するためにはどうすればいいのでしょうか。
一番大切なのは、情シスのマインドセットを変えることです。これまでのように自分が手を動かして「実行する」立場から、全体を見渡して「管理する」立場へとシフトしていくことが求められているのではないでしょうか。
それを後押しする変化も起きています。たとえば、セキュリティの脆弱性情報の収集や、パッチ(修正プログラム)の適用、アカウントの管理台帳のチェックといった定型業務は、現在ではかなり自動化できる環境が整ってきています。以前はすべて人の手で対応していた作業も、ツールやシステムに任せられるようになりました。実際に手を動かす作業の時間は、確実に減ってきています。
また、属人化の解消という観点でも変化があります。以前は「ドキュメントを整備すること」で属人化を防ぐことが一般的でした。最近ではシステム化や自動化を進めることで、情シスが対応しなければならない範囲自体を狭められるようになってきています。
このようにして、できるだけ手を動かす業務を減らして、情シスは判断が必要な部分だけに集中できるようにすべきだと思います。
それを後押しする変化も起きています。たとえば、セキュリティの脆弱性情報の収集や、パッチ(修正プログラム)の適用、アカウントの管理台帳のチェックといった定型業務は、現在ではかなり自動化できる環境が整ってきています。以前はすべて人の手で対応していた作業も、ツールやシステムに任せられるようになりました。実際に手を動かす作業の時間は、確実に減ってきています。
また、属人化の解消という観点でも変化があります。以前は「ドキュメントを整備すること」で属人化を防ぐことが一般的でした。最近ではシステム化や自動化を進めることで、情シスが対応しなければならない範囲自体を狭められるようになってきています。
このようにして、できるだけ手を動かす業務を減らして、情シスは判断が必要な部分だけに集中できるようにすべきだと思います。
―今後情シスの業務は、管理者に変わっていかなければならないということですね。
その通りです。冒頭のセキュリティ対策の話ともつながりますが、現在の情シスに求められる対応領域や専門性は幅広く、少ない人員で実行部隊としてやっていくのは非常に困難です。
管理者として、全体を把握しておくこと。自分たちが見ているシステムがどう変わっていっているのか、どのようなアセットを持っているのか、世の中がどのようなトレンドになっているのか––––そうした情報をきちんと把握しておくことが重要になります。そうしたトレンドを収集するためのコミュニティであったり、何かあったときに相談できる相手を持っておくことが、情シスのやるべきことになっていくのかなと思います。
現在は情シスの作業を代行してくれる「情シス代行サービス」もあります。ベンダーや外部の専門家、情シス代行といった外部の知見やできる人材をつなぐハブとなる。これが、今後の情シスのあるべき姿になっていくはずです。
管理者として、全体を把握しておくこと。自分たちが見ているシステムがどう変わっていっているのか、どのようなアセットを持っているのか、世の中がどのようなトレンドになっているのか––––そうした情報をきちんと把握しておくことが重要になります。そうしたトレンドを収集するためのコミュニティであったり、何かあったときに相談できる相手を持っておくことが、情シスのやるべきことになっていくのかなと思います。
現在は情シスの作業を代行してくれる「情シス代行サービス」もあります。ベンダーや外部の専門家、情シス代行といった外部の知見やできる人材をつなぐハブとなる。これが、今後の情シスのあるべき姿になっていくはずです。
3. ひとり情シスの業務負担だけでなく、心理的負担も軽減したい。ベアサポートの「情シス代行」
―ベアサポートでも「情シス代行サービス」をスタートしたそうですが、どのような経緯で生まれたサービスなのでしょうか。
リンクではサーバホスティング事業を行っています。長くサーバをご利用いただいているお客さまも多く、「このソフトの使い方がわからない」「こんなトラブルが起きたんだけど、どうしたらいい?」といったように、サーバ以外のことでもご相談をいただく機会が以前からありました。そうやって頼ってもらえると「なんとかしてあげたい」と思いますから、正直なところ「それはうちの仕事ではないのでは…?」と思うようなことでも、対応してきたんです。
そうして対応していくうちに社内にナレッジが少しずつ積み上がっていきました。このナレッジを活用できれば、情シスが抱えている課題の解決にもつながるのではないか。そう考えたことが、「ベアサポート 情シス代行サービス」立ち上げのきっかけです。
そうして対応していくうちに社内にナレッジが少しずつ積み上がっていきました。このナレッジを活用できれば、情シスが抱えている課題の解決にもつながるのではないか。そう考えたことが、「ベアサポート 情シス代行サービス」立ち上げのきっかけです。
―実際にどのような場面で活用されているのか、事例を教えてください。
情シスの役割は企業によってかなり異なりますし、本当に活用事例は多岐にわたっています。
たとえば全国に拠点を持つ企業では、新入社員向けのPCのキッティング(セットアップ)が大量に発生します。そうした手間のかかる業務をベアサポート情シス代行サービスに委託することで、担当者は日々の作業から解放されます。
また、知識も経験も豊富で「これをやりたい」というビジョンはあるのに、それを作業に移せる人がいないケースもあります。そうした場合には、「大まかなシナリオは自分が描くので、実現できるかどうかの検証を先にしてほしい」という依頼をいただき、私たちが実現可能性を確認します。そこで筋道を整理し、そのまま実装まで請け負うこともあります。担当者の構想を形にしていくイメージですね。
あとは、漠然とした課題感はあるものの、相談先もなくて塩漬けにしていたという事例もありますね。どれをやるべきで、どれはやらなくていいのか、そういったことの判別や優先順位づけというところから入らせてもらいました。環境や運用を正常化していくための最初の一歩を踏み出すお手伝いをして、その先も継続して支援させていただいています。
「情シス代行サービス」といっても、単なる作業代行にとどまらず、課題の整理や全体設計の支援、効率化のための仕組みづくりなどを支援するケースが多いですね。お客さまとベンダーの間を繋ぐハブとして、情シスのチームの一員として動く。その形が、僕たちが支援している中で一番いい形なんじゃないかなと思います。
たとえば全国に拠点を持つ企業では、新入社員向けのPCのキッティング(セットアップ)が大量に発生します。そうした手間のかかる業務をベアサポート情シス代行サービスに委託することで、担当者は日々の作業から解放されます。
また、知識も経験も豊富で「これをやりたい」というビジョンはあるのに、それを作業に移せる人がいないケースもあります。そうした場合には、「大まかなシナリオは自分が描くので、実現できるかどうかの検証を先にしてほしい」という依頼をいただき、私たちが実現可能性を確認します。そこで筋道を整理し、そのまま実装まで請け負うこともあります。担当者の構想を形にしていくイメージですね。
あとは、漠然とした課題感はあるものの、相談先もなくて塩漬けにしていたという事例もありますね。どれをやるべきで、どれはやらなくていいのか、そういったことの判別や優先順位づけというところから入らせてもらいました。環境や運用を正常化していくための最初の一歩を踏み出すお手伝いをして、その先も継続して支援させていただいています。
「情シス代行サービス」といっても、単なる作業代行にとどまらず、課題の整理や全体設計の支援、効率化のための仕組みづくりなどを支援するケースが多いですね。お客さまとベンダーの間を繋ぐハブとして、情シスのチームの一員として動く。その形が、僕たちが支援している中で一番いい形なんじゃないかなと思います。
―他社のサービスと比べ、ベアサポート情シス代行サービスの強みはどこにありますか。
最大の魅力は、ワンパッケージのサービスで、「ここまでしかできません」といった制限がないところではないでしょうか。
一般的な情シス代行サービスでは、「ここまでならこの料金、これ以上は追加オプション」と作業内容に応じて積み上がる料金体系が多くなっています。そのため、規模や依頼したい内容によっては想定以上のコストがかかることもあります。
その点、ベアサポート情シス代行サービスは、10時間でワンプライスという定額制です。定額だからわかりやすいですし、依頼内容によってはコストを抑えて利用することができます。
もう一つの強みは、あらゆる作業に対応できる柔軟性です。さきほどお話ししたように、基本的に「できません」は言わないようにしています。リンクにはインフラエンジニアだけではなく、アプリケーションエンジニアなど、さまざまなタイプのエンジニアが在籍しています。だからこそ対応範囲を限定せず、お客さまの要望に合わせて幅広くサポートできると思っています。
一般的な情シス代行サービスでは、「ここまでならこの料金、これ以上は追加オプション」と作業内容に応じて積み上がる料金体系が多くなっています。そのため、規模や依頼したい内容によっては想定以上のコストがかかることもあります。
その点、ベアサポート情シス代行サービスは、10時間でワンプライスという定額制です。定額だからわかりやすいですし、依頼内容によってはコストを抑えて利用することができます。
もう一つの強みは、あらゆる作業に対応できる柔軟性です。さきほどお話ししたように、基本的に「できません」は言わないようにしています。リンクにはインフラエンジニアだけではなく、アプリケーションエンジニアなど、さまざまなタイプのエンジニアが在籍しています。だからこそ対応範囲を限定せず、お客さまの要望に合わせて幅広くサポートできると思っています。
―情シス担当として今まさに悩んでいる方に、最後にメッセージをいただけますか。
一番伝えたいのは「一人で抱え込まないでほしい」ということです。
実際にサービス導入を検討されている企業の方と打ち合わせをすると、お一人で対応されているというケースが少なくありません。情シス業務を一人で担っている状況は、周囲の想像以上に大きな負担がかかっていると思います。
困っていることや、うまく整理できないことなど、どんなに些細なことでも構わないので、まずは気軽に相談いただければと思います。お話を伺いながら、やるべきことを一緒に整理していきましょう。
日々の業務負担だけではなく、心理的な負担を少しでも軽くできるように、ベアサポートの情シス代行サービスを活用してもらえたら嬉しいです。
実際にサービス導入を検討されている企業の方と打ち合わせをすると、お一人で対応されているというケースが少なくありません。情シス業務を一人で担っている状況は、周囲の想像以上に大きな負担がかかっていると思います。
困っていることや、うまく整理できないことなど、どんなに些細なことでも構わないので、まずは気軽に相談いただければと思います。お話を伺いながら、やるべきことを一緒に整理していきましょう。
日々の業務負担だけではなく、心理的な負担を少しでも軽くできるように、ベアサポートの情シス代行サービスを活用してもらえたら嬉しいです。
株式会社リンク
サポート部 部長
山本誠一郎
ンフラエンジニアとしてキャリアをスタート。MSP(マネージド・サービス・プロバイダ)、システムインテグレーション、コンサルティングなどの経験を経て、2014年に株式会社リンクへ参画。自社サービスとなるリンク ベアメタルクラウド、サポートサービスの立ち上げに携わる。インフラや運用に関する幅広い知識と経験をもとに、自社サービスやお客さまシステムの安定稼働を支援している。
