中小企業では情報システム担当が一人しかいないことはザラで、「一人情シス」と言われている。この一人情シスに求められることはここ最近大きく変化した。昔はパソコンの管理、Officeソフトの管理、そしてWindowsの権限管理ぐらいがポイントだったけれど、最近はSaaSやクラウドの登場で大きく環境が変わった。

基幹システムは過去は、物理サーバーやソフトウェアパッケージを買ってきて構築したり、ベンダーから仕入れたりしたものだが、最近はSaaSで実用的なものがぐっと増えた。中小企業であってもリッチな構成で使え、かつすぐに使えたりやめたりできるのがSaaSのいいところだ。たくさんのユーザーも同時に使うのでSaaS側もどんどん機能も増え、Win-Winの関係ができる。伸びている会社のほとんどがSaaSを使いこなしていると思う。

ところがこのSaaS、いくつかリスクがある。

まず、社内の情報をインターネット越しに、他社に送っているという事実は間違いない。SaaS運営会社はデータを保全していると必ず言うが、それを信じるしかない。仮に漏えいが起きた場合は結局は自社が被害を被ることになる。

また、SaaSも一つのサービスの利用でとどまればいいが、最近は複数のSaaSを連携させて使うことも良く行われる。複数のSaaSを組み合わせて業務を作っていくが、その中の一つでも情報漏洩が起きたとすると、芋づる式に別のSaaSの情報も抜かれる危険性がある。このような、自社の外側から仕入れているサービスの一つを攻撃され情報が抜き出される攻撃を、サプライチェーン攻撃と呼ぶ。この攻撃は最近特に流行している。

一人情シスはSaaSを積極的に取り入れ導入、運用管理し、会社の生産性を高めることが求められる。しかし社内のサプライチェーンに対して容易に、リスクのあるSaaSを組み入れるのは問題だ。導入しようとするSaaSの設定項目を精査し、社員や関係者の利用ミスによって情報資産をリスクにさらすことも起こりえる。SaaSと社内の業務を精査し、利便性ばかり追い求めるあまり、会社を多大なリスクに晒すことだってあり得るのでこれは非常に重要な視点である。

もう一つ、社員側もいろんなSaaSを知っている。個人的に情報管理SaaSを契約し、使っているかもしれない。広義で言えばiPhoneを使っていてiCloudに情報をアップしようものならこれもその例に当てはまる。

個人を超え部門でも、これが便利だからと口コミで社員間に広がり、情シスの知らない間にSaaSが利用されているかもしれない。もし有償のサブスクリプション契約であれば経費を見れば気が付けるが、最悪は無料のSaaSで隠れて使っているケースも散見される。社員の方もグレーゾーンだとか言いながら、少しバツが悪そうに、でも仕事で使うからとこそこそ使うのだ。

この隠れSaaS現象について、一人情シスは「取り締まり」「規制」を行う立場であるのは私は良くないと思っている。規制側に立てば立つほど利用者はもっとこそこそする。いや、例えば無料SaaSを使っているならば、有料版に変え有料版の機能でセキュリティーを強化するほうがポジティブだ。無料版には限定が多い。広告が出たり設定できない項目が多かったり、セキュリティーのために必要な機能が省略されたりする。会社にとっても良くないし、社員も制限のために生産性が落ちる。

一人情シスは利用者の立場にたち、社内標準として認めるように働きかける補助をすべきだと思う。もちろんそのためには、どうリスク管理できるかを検討する必要があるが、それを社員に任せているといつまで経っても視野の狭い議論になってしまう。この点が情シスが今スキルを発揮しなければいけない点だ。業務とセキュリティー、そしてコストのバランスを判断し、経営に上申する。もし生産性が上がるのなら大した費用でもないし、かつ効果が認められないなら止めることも任意だ。

一人情シスが社員にとって煙たがられる存在だと、隠れSaaSが社内のサプライチェーンに入り込み、そこがリスクポイントとなってしまう。取り締まるだけではなく、どう取り入れるか。社員とともに歩み経営者とも話ができる。それが、モダンな一人情シスの姿ではないかと思う。