アクセス権管理の一元化

　先日より、会社の情報システムの見直しに関与しています。

　現状の電子稟議システムのセキュリティ管理が中途半端で、社員は会社のために働くので、積極的に外に情報を持ち出すことはしないだろうという、前提となっています。

　本来はセキュリティを強化した新システムを導入すべきなのでしょうが、今のシステムを捨てて新たなシステムに乗り換えるには、相当なお金もかかるし、仕様変更の要件定義から発注、契約、工程管理、他のシステムの担当部門やベンダーとの調整など、相当な手数がかかるため、これを円滑に回すために、このために優秀な人材も社内から確保する必要があります。

　そのうえ、現状のシステム利用に特段の不都合があるわけでもなく、システム部門からしてみても、カスタマイズした他のシステムとデータ連携しているため、新システムに切り替えてしまうと、この連携エラーが生じる可能性も高く、使い勝手も変われば社員も混乱する、こうした「やらない理由」には事欠かないため、現状は、情報流出すると大きな問題となる稟議だけは、紙ベースで回議することで、しのいでいる感じです。

　とはいえ、さすがにこのままでは、いつまでも本当の意味での電子稟議にならないし、電子と紙が混在する状況は、管理上もリスクが高いことから、どこまでセキュリティを高めれば、すべての資料を電子稟議にのせられるのかを検討し、そのうえで、セキュリティをかけたことで、他のシステムのデータ連携に支障がないかについても、あわせて検討しているところです。

　これをやってみてわかったのは、各システムのアクセス権限は、それぞれのシステムで設定しており、その考え方がバラバラであるということです。

　このため、電子稟議のシステムでアクセス管理しても、連携データを持つ他の経理や工務系のシステムのアクセスが甘かったりして、抜け穴が多く、ある意味、水を入れたらあちこちから漏れるような容器であり、この容器の水漏れを防ぐには、容器のあちこちにある水漏れ箇所を修理するより、容器ごと入れ替えたほうが早いのではと、思ってしまいました。

　結局、社員が最後まで勤め上げるという発想のもとで、いろんな制度設計がなされており、システムのアクセス管理を、一元的に切り替えるような発想が、ないんですよね。

　そういう意味では、社員の資料持ち出しも、申告制になっており、セキュリティゲートもないため、ヒューマンエラーが起こりやすい状況にもなっています。

　人材の流動化が進み、社内業務に通じた社員が大半という前提でのものの考え方は、変えなければならない時期にきていると、感じていますが、システムの発想を変えるだけでも、これは相当なエネルギーが必要であり、こうした裏方の部分に、どこまでリソースを割けるのか、そもそも、上がこのへんの事情を理解してくれるのかを含め、頭の痛い問題です。

　ただ、破壊と創造の領域でもあるので、しっかり積み上げて、社内の合意にこぎつけていきたいと思います。