久々に、本業ネタ・・・
といってもグチなんだけどねぇ。
日本の企業のみならず、世界中でIT関連業務のアウトソーシングが進んでいるのは事実。しかし、セキュリティに関してはちょっと特殊だと思う。日本じゃ多くの企業が他のIT同様、アウトソースすればいいと思っているようだけど、はたして本当にそれで大丈夫??
米国の状況を、CSI/FBI Computer Crime and Security Survey から見ると、こちらでは回答した企業のうち85%くらいまでが、セキュリティに関するアウトソース率は5%以下だという。思うに、企業(の経営陣)が人任せにできない、つまり自分のクビがかかった問題だと考えているからなのだろう。
要するに日本じゃ、セキュリティはかけ声倒れで、問題がおきても、なんとか言い逃れして自分のクビは安泰と考えてる経営者が多いと言うことか。でも、本当に大丈夫なんだろうか・・・・。個人情報保護もとにかく、企業の命運を左右すると言われるIT系システムの安全は、いまや様々なところに影響を与える。たとえば、経営上、非常に重要な問題が発表前に漏洩したりすれば、株価や投資家の利益に大きく影響する。財務、経理情報の正確性が影響を受ければ、最悪、税務署からおとがめを受けかねない。つまり、いまやセキュリティは企業が最も気にしているIRやコンプライアンスという問題とも密接にからんでいるということだ。
一方、アウトソースされる側にも問題がある。「おまかせください。」といって胸を張るサービス事業者は多いが、実はその一方で契約上は責任限度が明記されている。一般のITの世界では、大ユーザに対しては多少のわがままは聞き入れて、上の世話から下の世話までなんでもやってITの中核を押さえ、切れなくしてしまう「肉を切らせて骨を断つ」的な泥臭い営業スタイルが定着してしまっているのだが、セキュリティではおのずと限界がある。東証のシステムダウン問題でもそうだが、東証の社長以下、トップの処分問題は出るが、不始末をおこした富士通の処分問題は聞こえてこない。再発防止策として、チェック体制を作るらしいが、そんなことは最初からやっておくべきだろう。つまり、ユーザがITやセキュリティを知らず、アウトソーサー側の動きをチェックできない点が最も問題だ。また、それにあぐらをかいてしまっているアウトソーサー側も批判されるべきだろう。
セキュリティの専門家がいない、「わからないから」専門企業にアウトソースしようというのは、聞こえはいいが企業側の責任放棄にほかならないと思う。アウトソーサーは泥はかぶれても、最終的な責任は負えない。本当に企業が自分の責任を意識するなら、セキュリティは自らきちんと主導すべきだと思う。そのためには、一定の知識、経験を持った専門家を社内におくことが必要だろうし、アウトソースするにしても、そのパフォーマンスをきちんとチェックし、時には他の専門企業にセカンドオピニオンを求めるといったことも必要だ。
日本的風土にどっぷり浸かってしまっている大手SIerからは白い目で見られそうだが、セキュリティ業界とユーザのいい関係を作り上げていく上でも、ユーザに言いたいことは以下の言葉だ。
何かあったら、貴社の経営陣は責任を負わねばならないし、場合によっては社長のクビが飛ぶかもしれない。でも、「業者」は最悪、限度額内の賠償と「出入り禁止」で終わるだろうし、そこの社長のクビが飛ぶことはまずありませんよ、と。
言いたい事、分かるような気がします。
アウトソースする側なんですが、受ける側の体制の甘さに
嫌気が差して、自分たちで見ると、言い出しても、誰が責任をとるっていう上司。
上司は、たぶん、契約で縛ってアウトソースすると責任を逃れられると思ってるんだろうかと思ってしまう。
どっちもどっちですねー
結局、社会から責任を問われるような事態が起きた時はじめて、「逃げられない」ことに気がつくのだと思う。最近、兼業で自分の会社の中のこともやってみた上での実感・・ですね。そんな事態になって、何もしてなかったら、あとは贖罪羊になるしかないからなぁ・・・。