ベンダーに出来るのは部分最適のみ

現在、情シス部門が取り扱うシステムの範囲は拡大し、その内容も従来と比べて非常に高度化しています。
複数のシステムが複雑に絡み合い、それぞれの機能が専門化している現状では、一つひとつのシステムを理解し、適切に管理することがますます難しくなっています。
例えば、UTM（統合脅威管理）システムでセキュリティ関連のイベントを検知した場合、そのイベントが重大な脅威を示しているのか、あるいは単なる誤検知なのかを判断することは簡単ではありません。
こうした複雑化した状況にあって「餅は餅屋」という言葉が示すように、特定分野の専門知識を持つベンダーに業務を委託するのは自然な流れでしょう。
特に社内とインターネットとの境界に設置されたUTMシステムのセキュリティ監視を専門ベンダーに委託することは一定規模の企業には必要なことだと思います。

しかしながら、ベンダーへの丸投げとなってはいけません。
先ほどのUTMシステムのセキュリティ監視をベンダーに委託はしたとしてもシステム全体の構成やポリシーの概要を理解し、運用の方向性を決定するのは情シス部門の役割です。
他のシステム、運用プロセス、既存のセキュリティガイドラインとの整合性が取れなくなる可能性があります。
ネットワーク構成の変更がセキュリティポリシーにどう影響するか、あるいは新たなクラウドサービス導入が既存のオンプレミス環境とどう連携するのかは情シス部門が全体を見渡しながら調整しなければなりません。
如何に優秀なベンダーであっても対応できるのはあくまでも「部分最適」に過ぎないのです。

大事なことは自分たちで責任を負う部分とベンダーに依頼する部分を明確に区別することです。
また、ベンダーに依頼する部分であったとしても少なくとも概要は理解しておくべきです。
例えば、アンチウイルス製品を全社PCに導入するケースではどんな機能で脅威を検知するのか、誰が脅威もしくは誤検知であるかを判断するのか、それが誤検知であった場合にどんな情報をどのようにホワイトリストとして登録するかなどの概要を知っておかなければ検知があった際の社内フローを作ることができません。

以前、とある中小企業の情シス部門の方から既存ベンダーを変えたいと次のような相談を受けたことがありました。
・PCの紛失に備えて位置情報が確認できる資産管理ソフトをベンダーに依頼して導入したが、実際にPC紛失があった際に位置情報が分からなかった
・オフィスを移転することになったがルータのログイン情報や保守ベンダーが分からず、新規にルータを購入することになってしまった

これらはまさにベンダーに丸投げしていたことが根本原因です。
管理している機器のログイン情報、保守情報を一元管理する仕組みを作り、きちんとメンテナンスされるような仕組みを作るのは情シス部門の役割です。
資産管理ソフトを導入した際に導入目的の1つであるPC紛失に備えて位置情報が確認できることをテストする仕組みを作るのは情シス部門の役割です。
変えるべきは既存ベンダーではなく情シス部門の考え方であったのです。
ベンダーに依頼する部分と自分たちで責任を負う部分を明確にしていればこのような事態にはなっていなかったのではないでしょうか。

情シス部門に限らず、「ベンダーに出来る事は部分最適のみ、責任をもって全体最適を行うのは社員のみ」というのはどの部門に対しても言えることではないでしょうか。
ベンダーの力を最大限に活用しつつも、自社としての責任をしっかりと果たすことが強い組織を作っていくのだと思います。

Follow me!