人もいなけりゃ権限もなし、実害ゼロでも感謝なし――セキュリティ兼務の運用担当者が抱える“モヤモヤ”の正体：システム運用管理担当者が語る「セキュリティ業務」の本音【前編】

セキュリティ業務を兼務するシステム運用管理担当者は、何に悩んでいるのでしょうか。＠ITのヒアリングからは、技術的な課題だけでは語れない現場の実態が見えてきました。

[鳥越武史，＠IT]

　サイバー攻撃の巧妙化を背景に、企業ではセキュリティ対策の重要性が高まっています。近年はランサムウェア（身代金要求型マルウェア）攻撃への備えやサプライチェーンリスクへの対処、クラウドサービスの利用拡大に伴うアクセス管理など、求められるセキュリティ対策の範囲が広がり続けています。

　企業に求められるセキュリティ対策が高度化、複雑化する中、セキュリティ対策を専門に担う部門や担当者を設置する動きが見られます。一方で人材不足や組織規模の制約から、関連する他の領域の担当者がセキュリティ業務を兼務する企業もあります。

　システム運用管理担当者は、アカウント管理やアクセス権管理、ログ管理など、セキュリティと密接に関わる業務を日常的に担っています。こうした業務はセキュリティ対策と重なる部分があり、システム運用管理担当者がセキュリティ業務を兼務することもあります。専任担当者がいないために兼務するケースもあれば、役割分担の一環として担当するケースもあり、その経緯は一様ではありません。

　セキュリティ業務を兼務するシステム運用管理担当者は、日々の業務の中でさまざまな“モヤモヤ”を感じているようです。実態を把握するために、＠ITはシステム運用管理担当者を対象にヒアリングを実施しました。寄せられた声からは、技術的な課題だけでは語れない現場の実態が見えてきました。

1000人以上の企業に「セキュリティ担当は兼務の私だけ」

　「企業規模の割にセキュリティ担当者が少ないというか、私一人でセキュリティ業務を担っている」。従業員1000人以上の商社でシステム運用管理業務を担当する回答者は、こう現状を説明します。セキュリティの専任担当者がいないだけではなく、兼務であってもセキュリティ業務を担う担当者を十分に配置できていない企業もあるのです。

　脆弱性への対処やインシデント発生時の初動、脅威の監視など、セキュリティ業務のほとんどは一度実施すれば終わるものではありません。担当者の不在や異動があっても取り組みが途切れることがないように、本来は複数の担当者で担うことが望ましい業務です。

　実際には、限られた人数でセキュリティ業務を担っている企業は少なからずあります。今回寄せられた声からも、そうした現場の実態がうかがえます。組織として取り組むべき業務であっても、実際には特定の担当者に依存していることがあるようです。

「セキュリティの重要性」に“本当の意味”で気付いていない経営層

　人員や予算などのリソースを十分に確保できない背景には、セキュリティに対する経営層の理解不足があるようです。「上層部がセキュリティについて十分に理解しておらず、セキュリティ対策に必要な費用や時間、スキルなどが軽視されていると思うことが多々ある」。従業員300〜999人規模の情報サービス企業でシステム運用管理業務を担当する回答者は、実情をこう語ります。

　セキュリティ対策には、インシデントを未然に防いだり、被害を最小限に抑えたりする効果があります。ただし「問題が発生しなかったこと」自体は成果として見えにくく、投資対効果を説明するのが難しい。そのため経営層にとっては、他の投資案件と比べて優先順位を判断しにくいと言えます。従業員1000人以上の情報サービス企業でシステム運用管理業務を担当する回答者は「上層部からの押し付け感があり、現場の負担感が強い」にもかかわらず、「問題がゼロであることが評価されない」と嘆きます。

　ランサムウェア攻撃による被害の拡大を受けて「セキュリティは経営課題だ」という認識は、経営層にも広がりつつあります。それでも今回のヒアリングでは、経営層の理解不足を指摘する声が寄せられました。セキュリティの重要性が認識されるようになったとしても、それが現場への支援や十分な投資にまで結び付いているとは限らないようです。

「無事で当たり前」だし「セキュリティ対策は人ごと」　得られない周囲の理解

　経営層の理解不足だけではなく、セキュリティを組織全体の課題として共有しにくいことを指摘する声もありました。「『無事で当たり前だ』と考えている人がいかに多いか」と嘆くのは、従業員1000人以上のサービス業でシステム運用管理業務を担当する回答者です。この回答者はセキュリティについて、現業部門などの周囲は「人ごとだと思っていて、気にも掛けない」と語ります。

　セキュリティ対策は、情報システム部門やセキュリティ担当者だけで成立するものではありません。従業員によるシステムの適切な利用やルールの順守に加えて、経営層による意思決定や投資判断など、組織全体の関与が求められます。しかし実際には、セキュリティを担当者だけの仕事だと捉える意識が残っている企業もあるようです。

「責任はある、権限はない」のジレンマに悩む担当者

　「十分な権限がないことが、セキュリティ業務のやりにくさにつながっている」。従業員99人以下の士業でシステム運用管理業務を担当する回答者は、こう語ります。セキュリティの課題を認識していても、担当者に十分な権限が与えられていなければ、必要な対策を迅速に実施できません。寄せられた声からは、責任を担いながらも、対策の実施に必要な権限を十分に持てないことへのもどかしさがうかがえました。

　この回答者はさらに「権限のある人にはITの知識がないことから、説明や根回しに時間がかかり過ぎてしまい、社内での承認や対処が遅くなってしまう」と実態を説明します。速やかに手を打つ必要があるにもかかわらず、調整や承認に時間を取られてしまい、なかなか具体策を進められない。そうしたやるせなさが感じられます。

課題は「人」と「組織」にこそある

　今回のヒアリングではシステム運用管理担当者にとって、セキュリティ業務そのものの負担以上に、それを支える組織体制や社内の理解に課題を感じる声が目立ちました。人員が足りなくても増やせない、必要な対策を講じたくても権限がない、重要性を伝えても十分に理解してもらえない――。日々の業務の中で感じるこうしたもどかしさは、決して個人の努力や能力だけで解決できるものではなさそうです。

　寄せられた声を振り返ると、こうしたもどかしさは一見すると別々の事柄のようでいて、実際には互いに関係しています。セキュリティの重要性や必要性が組織内で十分に共有されていなければ、人員や予算を確保しにくくなったり、担当者が必要な権限を得にくくなったりします。その結果、本来の業務に加えてセキュリティ業務という重責を担っているにもかかわらず、必要なセキュリティ対策を思うように進められない状況が生まれてしまいます。

　セキュリティをシステム運用管理担当者個人の仕事としてではなく、組織全体で向き合うべき課題として共有できれば、現場を取り巻く状況は少しずつ変わっていくのかもしれません。前出した従業員300〜999人規模の情報サービス企業に所属する回答者も「セキュリティやシステム運用管理をIT戦略／企画として提示し、上層部の理解を得ることが必要ではないか」と語ります。もちろん一朝一夕で状況が変わるわけではありませんが、それでも現状を改善するための重要な第一歩になりそうです。

---

　次回は、もし兼務しているセキュリティ業務の負担が減った場合、システム運用管理担当者はどのような業務に時間を使いたいと考えているのかを見ていきます。

ヒアリング概要

2026年6月10〜16日に、＠ITのメールマガジン「＠IT通信」の購読会員を対象としてWebフォームによるヒアリングを実施しました。回答者は20人で、このうち18人がセキュリティ業務を兼務するシステム運用管理担当者でした。