現場担当者がホンネで語る「セキュリティ対策，ここが課題」

「システム開発や運用の現場で持ち上がっている，セキュリティに関する課題は何か」――。記者は6月半ば，システムの現場担当者と直接この問題について話し合う機会を得た。日経ITプロフェッショナルの8月号（8月1日発行）で，セキュリティ対策のチェックポイントを紹介する特集記事をまとめるため，数カ月前から人づてを頼って取材をお願いしていたのだ。

日々の仕事の合間を縫って，集まってくれたのは全部で8人。コンサルティング会社やシステム・インテグレータなどに所属しているコンサルタント，システム開発部門のマネジャ，運用部門のマネジャ，技術統括部門のマネジャ，ソフトウエア開発会社の社長など，役職はさまざまだ。

名刺交換が終わり，取材の趣旨を説明した後，8人に現状を語ってもらったところ，企業情報システム開発におけるさまざまなセキュリティ対策の課題が浮き彫りになってきた。数多く上げられた課題のなかから，いくつかに絞って紹介しよう。

ユーザー企業担当者に重要性や妥当性の理解を得るのが難しい

居合わせたメンバーが満場一致で合意した最大の課題は，システム開発のなかでセキュリティ対策の重要性と妥当性をユーザー企業になかなか理解してもらえないことだ。システム開発の現場では，機能や性能に比べてセキュリティ対策の要件が，あまり重視されていないのだ。

データ・センター事業者の運用部門でマネジャを務めるA氏は，「ユーザーが出すRFP（提案依頼書）の中には，機能と性能に対する要件は書かれていても，セキュリティ対策に関する要件がないことが多い」という。A氏はセキュリティ要件をRFPに盛り込むよう，ユーザー企業の担当者に要請することもしばしばあったという。

システム・インテグレータの技術統括部門でマネジャを務めるB氏は，「要件定義を進めていく中でなかなか決まらないのがセキュリティ要件だ」と指摘する。ユーザー企業の担当者はどのレベルまでセキュリティ対策を講じればよいかが明確にできないし，ベンダー担当者もどのレベルで対策を講じればユーザー企業の要望を満たせるか見極め切れないからだ。その結果，「セキュリティ対策の方針を固めきれないまま，システム開発を進めてしまうことが少なくない」（B氏）。 [全文]