最近のランサム(身代金)ウエア騒動をはじめ、サイバー攻撃で企業が被害を受けるたびに、IT関係者からは「OSなどに最新のパッチを当てていないのが問題」との指摘が出る。正論だが、当事者のIT部門に言わせれば、「それができれば苦労はしない」だろう。

 IT部門にセキュリティ意識が乏しいわけではない。別の事情で、すぐに対処できないのだ。既にピンと来た人もいるだろう。多くの企業のIT部門は「独自」と「ひとり」という構造的な二つの事情から、セキュリティ対策の基本中の基本ができなくなっている。

 二つの事情のうち「独自」とは、大企業などで部門単位に利用している独自の業務アプリケーションだ。クライアント/サーバー方式のPC向けソフトウエアや、古いバージョンのWebブラウザーで動くアプリが多数残っている限り、OSのバージョンアップはもとより、最新パッチも軽々と利用するわけにはいかない。

 パッチを当てた結果、アプリが不具合を起こせば、業務に支障が出る。このためIT部門は、影響の有無を見極め、影響があるようなら対処しなければならない。大企業の場合、エンドユーザーコンピューティング(EUC)の名残のシステムも含め、部門ごとに独自のアプリがいくつも稼働していたりするから、パッチを当てるための作業工数は大きなものとなってしまう。

「実は最も悩ましい問題」

 もう一つの事情が、パッチを当てる作業をさらに困難にする。IT部門における「ひとり担当者」問題だ。中堅中小企業ではIT担当者が一人しかいない「ひとり情シス」状態が問題になるが、大企業のIT部門の場合も、実態はそれほど変わらない。IT部門にそれなりの人員を抱えていても、担当が細分化されているからだ。