まいどフォーラム

ITコーディネータによる中小企業の企業内IT支援は、まいどフォーラムにご相談ください。


投稿

HOME > 投稿 > 中小企業のIT運用や情報セキュリティ支援について

中小企業のIT運用や情報セキュリティ支援について

1.はじめに
 ITCとして、中小企業を支援するときにIT支援はなかなか理解されにくい支援内容である。例えば、製造業では、ものづくりが優先される点とIT技術者が社内に存在しない場合が多い。その結果、IT支援もインターネット経由の集客支援や生産管理システムの導入など直接効果が見える投資に偏りがちで、効果が見えにくいIT運用や情報セキュリティへの関心が低い場合が多い。
 しかし、インターネットが普及し、ITが企業活動に不可欠になった現在、企業のITシステムへの依存度は年々高くなり、中小企業といえどもITシステムを支えるシステム運用や情報セキュリティへの認識を高めていくことが、企業の経営リスクを低下させために必要になっている。本文では、これら技術の中小企業での認識状況と支援に向けた取り組みについて整理する。

2.中小企業におけるITの状況
 インターネットが普及し、スマートフォンやタブレット端末などによるIT技術の活用が進んでいる現在、中小企業でのIT導入状況を調べてみると次の通りである。
独立行政法人 情報処理推進機構 「中小企業等のIT活用に関する実態調査」によると、中小企業の大半でPC、サーバ、社内LAN、インターネットなどの自社内ITインフラは、一通り導入済みであることが読み取れる。しかし、中小企業は中堅企業や大企業と異なり、経営資源が限られる場合が多く、社内IT技術者についても例外ではない。結果、ITインフラやアプリケーションを一通り導入はできているものの、IT技術を経営に活用するための人材が不足している状況である。そこに、外部専門家であるITCの活躍の場が存在するのだが、中小企業の経営層に理解されにくい支援がある。IT運用と情報セキュリティに関する支援である。

3.中小企業における問題
 IT運用と情報セキュリティに関する支援が中小企業経営層の理解を得にくい理由として、どちらも中小企業の経営に直接寄与する形で評価することが難しい点が要因の一つとして考えられる。さらに、IT運用に関しては、「今までシステムが停止したことがないから問題ない」とか「担当の○○さんに一任しているから大丈夫」と、経営層が関心を示さない場合も多い。結果、経営リスクに直結している問題が潜在化している点に気付いていない場合が多い。また、情報セキュリティは、「社内に盗まれる情報はないよ」とか「情報を盗むやつが悪い」とこちらも全く関心を示さない場合もある。でも、ITを企業で活用するためには必要な技術ではある。そこで、中小企業に対応するポイントを以下に示す。

4.IT運用の重要性を認識していただくためには
 中小企業の経営者にIT運用の重要性を説明するには、やはり経営にどのようなインパクトがあるのかを解りやすく示す必要がある。今まで様々な中小企業を支援した中で、理解を得やすい説明として、IT機器の故障による機会損失の発生を例にした説明である。例えば、データをロストしたときに発生する損失やIT機器が停止し復旧するまでに発生する機会損失などを具体的な例でシミュレーションすると経営者の理解が得やすくなる。
あと、中小企業の支援でよく見かけるのが、サーバのデータ保全に対する誤認識である。最近は、サーバのHDDを冗長化してデータを保護する企業が増えてきているが、ITに関する知識があやふやなため、RAID-5構成にしていれば、サーバのHDDデータは保全されていると誤認識しているケースがある。そのような企業については、データがロストする可能性を示す他、BCP(Business Continuity Plan)の観点から支援企業の目線で説明することにより、経営層の認識を改めることができる。
あと、社内のIT運用を1従業員のスキルに依存している場合は、その従業員が日々実施している業務内容を分析し、業務のオーバーフローが起きる場合をシミュレーションして経営へのインパクトを明らかにするだけでなく、その従業員が退職するときに発生する問題を提示することが有効である。

5.情報セキュリティの重要性を認識していただくためには
 中小企業の経営層が情報セキュリティに対する反応として、主に2つのパターンがあげられる。
1)情報セキュリティの重要性は認識しているが、経営資源配分の関係で実施できていないケース
2)情報セキュリティの重要性を認識していない、または過信しているケース
上記1)のケースでは、経営層が情報セキュリティの重要性を認識しているため、現状の体制で可能な対策を提示し、少しずつ企業の情報セキュリティレベルを向上させることが主な対策となる。よって、このケースでは支援もスムーズにいきやすいと言える。
上記2)のケースは、対策が難しい場合が多い。その理由として¥、上記2)のケースは、他の支援で企業を調査した時に発覚する場合が多いためである。この場合は、経営層の認識を改めるために、中小企業内の具体的な問題点を提示し、リスクを粘り強く説明していく必要がある。一般論では、「自社にはあてはまらない」などの理由より、経営層の反発を受けかねない。また、技術的な説明が多くなると、経営層が話を聞いてくれなくなるお袖も高くなる。よって、支援先企業内で見つけた問題を深堀して、経営層にも解りやすいように粘り強く説明し、納得を得ていくことが一番の近道となる。
あと、情報セキュリティを表に出さずに結果的に情報セキュリティを向上させる対策につなげていく方法も有効である。例えば、事務所が書類であふれかえっていた場合、事務所の5S(整理・整頓・清掃・清潔・躾)活動を通じて、事務所の生産性をあげつつ、情報セキュリティも向上させる対策などは、良く利用する対策である。

6.まとめ
 中小企業へIT運用や情報セキュリティの支援を行う場合に留意する点は、中小企業の経営者に対し、支援先企業に如何に必要な対策であるかを具体的に説明することが重要である。また、支援先企業の実情にあわせた提案も重要となる。特にセキュリティ対策は、経費がかかるだけ等経営に悪影響があるという認識をもっている経営者も多い(情報漏洩問題を起こしたら、企業の存続問題につながりかねないのですが)。その場合は、情報セキュリティを表に出さずに、副次的な効果で目的を果たす対策を実施するような柔軟な対応も必要となる。

ITC/大西 規生

このページの上へ



『経営に活かせるIT』と『ITを活かした経営』の橋渡しは‥‥まいどフォーラム