誰も語らないニッポンのITシステムと業界

「メインフレーム終焉」のウソ（後編）

2009年07月07日 09時00分更新

文● ASCII.jp　聞き手●政井寛、企画報道編集部　　協力●アスキー総合研究所遠藤諭

企業システムにも
“建築基準法”が必要

――前回の対談で取り上げましたが、安全上の問題ではインターネットほど脆弱性を抱えた仕組みはないと考えていますが、その影響を受けてオープン系のシステムまで脆弱性を抱えて構築されていることにはなっていませんか。

島田　エンタープライズのシステムでは、脆弱性を抱えるわけにはいきませんね……。ミッション・クリテカルなシステムに脆弱性があると企業の存続に係わる恐れすらあります。そういう意味では、実績の少ない新しい技術には簡単に飛びつけないという思いが強いですね。

――新しい技術を煽っている日本のメディアにも責任があるという話になりますか？　しかし海外もみんな、同じような世界の中で動いてる話だから。日本だけでやってるわけでもない。

島田　新しい技術を煽っているメディアに、なんの責任も無いとは言い切れませんが……。しかし、ベンダーもメーカーもシステム部門も、皆良かれとさらに良くしていこうとブレイクスルーしようとしているわけですから……それが悪いわけでもない。最新の技術をうまくビジネスに活用している企業もあるわけですから……。

――やはり、技術も進化しビジネス環境もどんどん変わるから、それに追随させて新しいものを取り入れていくという現象が、本能的に起こるのかもしれませんね。しかし、次から次へと新しい技術を導入、活用することでシステムを守る現場レベルで混乱はないのですかね。

島田　情報技術の進化に比べて、使いこなす利用技術が追いつかないケースが起こることがあると思います。オープン系で言えば、やはり2000年の頃にいろいろな企業で、特に運用面でいろいろな課題が顕在化した時期ではないかと思います。

――2000年当時は情報システム部門は保守的と言われて、ブームに乗ったメーカーとエンドユーザーが一緒になり独自に各部門主導でシステム構築に走ったような時期ですよね。

島田　そうですね。特にそういう開発をした場合、稼動後いろいろな課題を惹き起こすことが多かったですね。

――たとえば、どういうことが起きたんですか？

島田　エンドユーザーとベンダーが組んで作ると、稼動後のリスク認識の甘さからか、運用面やセキュリティ面で脆弱なシステムになりやすい感じがします。多くの場合、開発したベンダーが運用も面倒見てくれるケースが多いようでしたが、それでも私たちから見るとリスク認識が十分でなく、脆弱性を抱えているシステムがずいぶん見受けられ、稼動後しばらくしていろいろなリスクが顕在化することがありました。

　システム構築は、よく建設に例えられることがあります。お客様と設計士との間でどういう家を建てるか明らかにしていって（要件の明確化）、その後、設計図の完成（要件定義書）、それに従った建設作業（プログラミング、テスト）、引渡し（納入）という感じだと思います。しかしながら、システムには建築基準法がないんです。だから先ほどの話にあったように、見かけはいいけれど、耐震性や耐久性などの確認や保障がなされていることはほとんどない。

――システムにもそういう基準法が必要だと言っている人もいますよね。

島田　私もそう思いますよ。私どもの会社では、セキュリティ要件や性能要件などの非機能要件についての基準を“システム強度”としてある程度明らかにし、その基準を満たさないシステムについては稼動させないようなルールにしています。この“システム強度”が建築基準法のように一般化され、いろいろなシステムの客観的な評価基準に使えるといいと思うんですけどね。

――そもそもエンドユーザーやベンダーはシステムの運用に関してはまったくの素人ではないですか。素人が作ったシステムが世に出回っている。

島田　そうですね。システム運用はそれぞれのシステムの機能や重要性、また各企業の状況や取り巻く環境などによって考慮点も変わっていくものと思います。守るべきもの、守り方がシステムによって、その会社によって異なるわけですから、一般化しづらくベンダーやメーカーにとっては理解することが難しく、そう言う意味から「ベンダー、メーカーは運用の素人」となってしまうことが多い。

　情報技術の技術力はあるけれども、システム運用の面では素人的な色彩が強くなるわけですね。システムは作ればいいってもんじゃない。安全で安定的に稼働し続けること、そしてそれがビジネスに資することに意義があるのですから。

――いまやシステムはビジネスに欠かせないものになっているのに、まったくそこの認識が薄いと思いますね。

島田　すべてのシステムに対して同じようなシステム強度を求める必要はないと思っています。企業にとって重要なシステムについては、それなりの強度が求められるべきでしょうが、それほど重要でもないシステムもあるはずです。そういうシステムにはそれに見合った強度基準でいいのではないかと思います。

　建築基準でも二階建ての家に対する基準と、10階建てのビルに対する基準は違うんじゃないかと思います。リスクを認識・評価して適切なシステム強度を設定することが重要だと思います。

クラウドは救いの神になれるのか？

――また新しいキーワードが出てきて、誰かの思惑に乗りそうですが、クラウドは今のオープン系の混乱を助けてくれますかね。

島田　クラウド！、何か期待できるかもしれませんね。コンパクトに、出来るところからまず実行！　初期投資コストも少なくと言う感じですから、まずは小規模での活用が図られ恩恵も得られるものと思います。

　しかし、大規模でミッション・クリテカルなエンタープライズ・システムをクラウドで実現するのはまだ先だと思います。現在のモデルでは、高度なガバナンスレベルを保証するのは相当難しいと思います。ですが、いずれそういったモデルも登場してくると思います。期待もしたいですね。

――クラウドは当面は中小企業向きで、高度なガバナンスなど求める大きい会社は無理と……。

島田　各企業の使い方によるような気もします。大企業でもシステムや使い方によってはクラウドの良さを享受できるかもしれません。また、クラウドのサービスも活用顧客の要望を踏まえて、今後いろいろなパターンが出てくるのではとも思います。

　たとえば、システムの求められる強度に応じていろいろなパターンのサービスが提供されるとか……「データの精度と整合性は保証します」とか、「セキュリティもITの領域は全部保証します」「データ保存場所指定も可能です」というようなサービスが出てくると面白そうですね……。

――そうすると、お客さんだけのオリジナリティのある部分も対応してくれるのでしょうか。個別対応というのは、大きい会社が参加するかどうかのカギですから。

島田　サービス提供サイドに魅力的なビジネスモデルが策定できるかどうかにかかってくるんでしょうね。利用企業数や利用の仕方などにもよるのでしょうし、この世界、しばらく目が離せませんね。

――370の呪縛を1回目の対談で話しましたが、クラウドが吸収してくれる可能性はないですか。370の環境をクラウドで実現すればいい。

島田　考え方としてはあるかもしれませんね。可能性という点の話ですが……。先ほど話したようにいろいろなパターンのクラウドサービスが提供されるようになっていくと、いろいろな選択肢のひとつになっていく感じもしますね。法制度の整備も進んでいくでしょうし。いずれにしてもユーザーサイドとしてきしっと課題を明確に理解し、それをどうしていこうとしたいのか、しようとするのかを明確にして、それぞれの企業の状態や環境など考慮して明確な判断を行なうことが必要になっていくと思います。

――新しい技術は“ハイプ・サイクル”といって、立ち上がってしばらくは話題になるが、現実に押されて下火になり、その後ジワジワと上がっていけば本物になる。今その辺のどこにいるのかを見極めないと。