DX案件を進めるとともに、社内のゼロトラストな環境も

先日、知人からアドバイスを求められたので、他の企業でも応用が利きそうなので、ちょっとだけその内容をお話ししようかと思います。

世の中はAIだのDXだのとひところデジタルとかIoTとか流行った用語に伴い関連する班や部署を作っては、それなりに成果を求めるものの、当初の華やかというか輝きを放つだろう成果も出せず、そうこうしているうちにAIやDX含め、○○推進という名のチームが誕生するという繰り返しをしているところも多いかと思います…

わたしもそれだけ余力のある企業は、まだ試行錯誤できる余裕があるだけ恵まれているんだろうと思う次第ですが、流行りの言葉に流されるあまり、結果的に思ったほどの成果が得られないという経営者や従業員にも多く出くわしているため、「また試行錯誤がはじまったな～」と俯瞰して眺めているところです。

AIやDXにしても、最近はデータサイエンスというか何らかの客観的データを用いて、それをもとに企業のこれまでの在り方を変革し、機動性と利便性、効率性を向上していくという方向性は良いことだと思っています…

ただ、それらを実現するのに、DX等のコンサルや、ベンダーに発注し、物事を作り込んでいくところはできると思いますが、経営層や企業上層部のDXに関する考えとか経営においては、少々疑義があるというのが率直な感想…

中には完全に信頼しているかのような丸投げ案件も見受けられたりします…。ある程度、モノが完成したときに、齟齬が出てこなければ良いとは思いますが、丸投げ案件は本当に危ないですね～♬

そんな中、経営上層部に意識づけをするために、DX案件の進捗とは別に、わたしはISMS等の考え方を並行して整備するのが良いのではないかと思い、提案させていただいています。完全にISMSに準拠して認証を得るところまではあえて求めておらず、「そのように考える」ところまで経営陣が理解できればよいと思っている次第です。

つまりはISMS以上の体制が構築されているところは、あえて取得するという選択をしなくても十分意識されているだろうし、そうではないところは経営において情報システム的なところがきちんと理解できるように体制が構築されているか、ITや情報システムに無知で関係者任せになっていないかということを含めて、きちんと経営層が理解するために必要なことだと考えています。それなしには案件を進めるのは危険かと…

実際にDX等の推進を図る場合は、昨今はクラウドを利用することが多くなっていますが、これも同じ仕組みをオンプレミスで行おうとすると、熟練した従業員が必要であり、インシデントに対応するためには、ある程度の人数も必要としますから、その辺もクラウドを用いることで、下手に中途半端なエンジニアや情報処理技術者などを雇用しておくよりはクラウドの方が逆に安全性があると判断されるのかも知れません。

とはいえ、クラウドも含め、ある程度企業内にシステムに長けた人を育成しておく必要もありますし、万が一のインシデントに柔軟に対応すること（経営層への説明と理解、ユーザーへの一報等の迅速性を含む）も求められているわけで…

まあ、その前提としては、企業内の情報システムにおいて、そもそもゼロトラストな環境構築できているって重要かと考えています。