[最前線]
高度情報化社会の実現へ、情報システムの信頼性とセキュリティを高めよ
2009年7月3日(金)奥家 敏和
経済産業省はITの信頼性とセキュリティに関する産学官共同の研究会を発足し、「豊かで安全・安心な高度情報化社会の実現に向けて」と題する中間報告書をまとめた。高度情報化社会に求められる、システムの信頼性とセキュリティとは、どのようなものか。信頼性とセキュリティを高めるうえで、産学官の協調体制はどうあるべきか。A4判130ページにわたって課題と提言を整理した中間報告書の内容からとりわけ重要な項目を抜粋して、その要点を紹介する。
我が国の経済は、非常に厳しい状況にあり、情報システムに対する投資は減速傾向にある。しかし、より効率的で効果的な経済活動の実現や新しい需要を掘り起こすため、ITを活用した新たな挑戦の芽は静かに膨らみ続けている。
経済的苦境という長いトンネルの先には、高度情報化社会の到来が控えている。あらゆるサービス・製品が連携し、それにより創造的で多様なサービスが生まれる。そして我々の生活をさらに豊かなものにしていくはずだ。
その一方で、見えないリスクが拡大しているのも事実である。高度情報化社会に向かう過程で、我々の生活は今まで以上に広く深く情報システム・ソフトウェアに依存してきている。同時に、情報システム・ソフトウェアは大規模化・複雑化が急速に進んでいる。このことは、情報システムのマネジメントを一層難しくし、障害の影響範囲が今までと比較にならないほど広く深刻なものになることを意味しているからだ。
経産省が2008年11月に設置した「情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会」は、そうした問題意識の下、今を時代の転換点と捉え、情報システム・ソフトウェアの信頼性およびセキュリティのあり方を問い直してきた。加えて、社会が求める信頼性およびセキュリティの水準を満たすうえでの各種課題を整理し、政策の方向性を提言する検討を進めてきた(研究会メンバーについてはページ最下段を参照)。
本記事では、検討の末に見えてきた情報システムの信頼性とセキュリティを高めるポイントを紹介する。まず、社会全体でリスクの共通認識を形成する必要性を説明。そのうえで情報システムの品質基準と評価制度の整備、顧客満足度の低下やシステム障害を抑える契約時の留意点、クラウド・コンピューティングに求められる保障レベルなどについて要点を整理する。
大規模化・複雑化するIT
信頼性は社会全体で高める
情報システム・ソフトウェアは、あらゆる局面で我々の生活を支える“インフラの中のインフラ”としての役割を拡大してきた。今ではIT自体が生活の基礎となりつつある。
こうした中、情報システム・ソフトウェアは大規模化・複雑化が進行。システム障害による被害は、以前よりも幅広い範囲に対して、想定外の影響を及ぼすようになった。このことは、情報システム・ソフトウェアの信頼性およびセキュリティの重要性を増大させ、システム障害などへの社会的関心を高める要因になっている。
IT関連の事業者は、情報システム・ソフトウェアの信頼性およびセキュリティの確保・向上に向け、さまざまな努力を積み重ねている。しかし、情報システム・ソフトウェアの大規模化・複雑化に伴い、個々の事業者や機関による取り組みに限界が見えてきた。
今こそ社会全体として、定量的な評価・管理指標の整備など、情報システムの信頼性およびセキュリティを向上させる活動の高度化を進める必要がある。一方、信頼性およびセキュリティの強化によってもたらされる高コスト構造などの問題についても、正面から認識しなければならない。
図1は、システム障害の発生状況の変化を示すデータだ。米国およびカナダのミッションクリティカル・システムの障害発生時間数は、2005年から2008年にかけて倍増している。
システム障害の発生が増えると共に、システム障害への社会的な関心が増えていることが、独立行政法人情報処理推進機構(IPA)の調べで分かっている。実際、システム障害に対する国民やマスコミの関心も高まるばかりで、システム障害に関する報道は増加傾向を強めている(図2)。
その一方で、日本におけるシステムの平均障害時間は比較的に短いという報告もある。図3の通り、米国の14.7時間に対して、日本は1.32時間と10分の1以下に過ぎない。
また、システム障害の発生要因をフェーズごとに分析してみると、実に70%が運用・保守フェーズにおける問題で発生している(図4)。システムの運用は定常的な業務であるという認識が持たれているが、情報システムの大規模化・複雑化が進む中で、システムの運用は以前とは比較にならないくらい難しくなっているためだ。ちょっとした人為的なミスが致命的な問題を発生させる要因となっている。
ITの便益やリスクに関する社会的共通認識を形成
真に豊かで、安全・安心な高度情報化社会を実現するのに大切なことは、情報システム・ソフトウェアに求められる“適正な”信頼性およびセキュリティの水準を実現していくことである。“適正な”は、情報システムの障害発生リスクに対し、無謬性、つまり障害ゼロを前提にしないことを意味している。システムによってもたらされる便益、その裏側に潜むリスク、そしてリスクを抑制するためのコスト。これらを適切にバランスさせることこそ重要になる。
このとき、実現すべき目標に対する社会的認識の形成が極めて大きな課題となる。障害ゼロはあり得ないにしても、ではどの程度なら許されるのかといった社会的共通認識を形成するには、情報システム・ソフトウェアのユーザー企業とベンダー企業だけでなく、サービスの最終利用者などすべての利害関係者が共通認識の形成プロセスに参画することが欠かせない。ユーザー企業とベンダー企業が説明責任を果たしていくことで、最終利用者とマスメディアを通じて密度の高いコミュニケーションを図ることなどが必要である。
こうして形成されていく社会的共通認識は、実現すべき信頼性およびセキュリティの水準に関する目標になる。そして目標を達成していくための取り組みが、高度情報化社会における新たなイノベーションを生み出し、国際競争力を高めていくきっかけとなるだろう。
共通認識を形成する第1歩は「見える化」と「測る化」
情報システム・ソフトウェアの信頼性およびセキュリティが確保されている状態─。これは、最終利用者がサービスの内容とリスク、コストについて納得し、その期待通りにサービスが提供されている状態を指す。しかし、この状態については、前述の通り、具体的な社会的共通認識は形成されていない。
共通認識の形成には、すべての利害関係者が同じ尺度で認識できる環境の整備が求められる。そのための第1歩は、情報システム・ソフトウェアの信頼性およびセキュリティの“見える化”を図ることだ。そのうえで信頼性およびセキュリティの水準を“測る化”する。
本研究会では、何を“見える化・測る化”するかについての議論を通じ、以下の4つの視点が提示された。
- ユーザー企業の経営者が利用者の視点に立って、サービスを提供する情報システムの信頼性およびセキュリティの水準について判断できるようにするための“見える化・測る化”
- ユーザー企業が求める情報システムを、ベンダー企業が正確に理解し、確実に実現するための、ユーザー企業の要求(業務要求、機能要求、非機能要求)の“見える化・測る化”
- 開発や運用、保守の現場において、信頼性およびセキュリティの要求水準を確実に実現するために必要となる、定量的な開発・運用・保守管理のための“見える化・測る化”
- 事業継続計画を策定し、さまざまなシステムトラブル場面を想定して訓練を実施するなど、システム障害の発生時に実施すべきことと対応力を把握するための“見える化・測る化”
「信頼性およびセキュリティが確保されている状態」は、社会環境などによって変化する動的なものだ。そうした理解の下、“見える化・測る化”を基礎として、利害関係者が自ら情報を発信・収集、活用し、結果を情報システムの開発・運用・保守に反映していくことが重要である。
言い換えると、高度情報化社会の実現に向けて、社会全体がリスク・アセスメントの活動に参画する。そして、情報システム・ソフトウェアの信頼性およびセキュリティに関する社会的共通認識を形成し、その水準を実現していくための“協働”関係を構築することが必要なのだ。
会員登録(無料)が必要です
- 1
- 2
- 3
- 次へ >
- ERP導入企業は34.8%、経営改革や業績管理に活用する動きも─ERP研究推進フォーラム/IT Leaders共同調査(2013/02/07)
- ツールの効果的活用で機能品質高め─テスト工程のあり方を見つめ直す(2013/01/29)
- IaaSを利用する際、これだけは押さえておきたいセキュリティのツボ(2012/10/18)
- これからIT部門が育てるべき人材像とは(2012/08/24)
- ベテラン社員に技術やノウハウが偏在、情報システム部門の技能継承が課題に(2012/07/19)