“セキュリティの丸投げ”なんて理想じゃない 運用担当の読者が「本当に望む体制」:システム運用管理担当者が語る「セキュリティ業務」の本音【後編】
セキュリティ業務は誰が担うべきか――。@ITのヒアリングでは、システム運用管理担当者からさまざまな考えが寄せられました。「誰かに任せればよい」という単純な話ではない、現場担当者が考える現実的な体制とは。
サイバー攻撃の巧妙化やITインフラの多様化を背景に、企業に求められるセキュリティ対策は高度化、複雑化しています。こうした状況に対処するために、セキュリティ専任の組織や担当者を設ける企業もあります。
全ての企業が、こうした専任体制を採用できるわけではありません。人材不足や組織規模、役割分担の事情から、システム運用管理をはじめとする関連業務の担当者が、セキュリティ業務を兼務する企業もあります。セキュリティ業務の担い方は、企業によってさまざまです。
セキュリティ業務は、本来は誰が担うことが望ましいのでしょうか。その疑問に答えるために、@ITはセキュリティ業務を兼務するシステム運用管理担当者にヒアリングを実施しました。寄せられた声を基に、現実的なセキュリティ体制を探ります。
「理想のセキュリティ体制」それぞれの事情
望ましいセキュリティ体制についての回答は、一様ではありませんでした。システム運用管理担当者が中心となって担うべきだとの声もあれば、専任組織や担当者との分担を望む声もありました。そうした中で目立ったのが、システム運用管理担当者とセキュリティ担当者が役割を分担すべきだという声です。
システム運用管理担当者は、アカウント管理やアクセス権管理、ログ管理など、セキュリティと密接に関わる業務を日常的に担当しています。自社システムの構成や利用状況、業務との関係を把握していることを考えると、システム運用管理担当者がセキュリティ業務を担うべきだとの声が上がるのは不思議ではありません。
一方でサイバー攻撃では多様化と複雑化が進んでいます。セキュリティ業務には、脅威分析やインシデント対処といった専門性を求められる業務があり、システム運用管理担当者だけで十分なレベルを維持し続けることは容易ではありません。システム運用管理担当者とセキュリティ担当者が、それぞれの知識や経験を生かしながら、連携して対処する体制に期待が集まるのは自然なことです。
現実にはセキュリティ専任の担当者や組織を持たない企業もあります。限られた人員でセキュリティ業務を担わざるを得ないのは、中小企業だけではありません。従業員1000人以上の商社でシステム運用管理業務を担当する回答者は、これだけの規模でありながら、セキュリティ担当者を兼務の自分だけで担っていると明かします。
前提となる体制や企業規模はさまざまであり、セキュリティ業務について「兼任か、専任か」を選べる企業ばかりではありません。それでも今回の回答からは、現実的な制約を踏まえながらも、特定の担当者だけに負担を集中させず、可能な範囲で役割を分担しながら対処したいという考えが見えてきました。
兼任か、専任かよりも重要な「理解と協力」の獲得
システム運用管理担当者が求めているのは、兼務しているセキュリティ業務の全てを他の誰かに任せることではないと考えられます。セキュリティ業務が業務時間の3割以上5割未満を占める回答者の中にも、現状よりもセキュリティ業務への関与を増やしたいという声があったほどです。
組織の方針や人員の制約から、自分がセキュリティ業務を担わざるを得ないという事情もあるのかもしれません。それでも「経営を揺るがしかねないリスクに直結する業務だからこそ、自らの役割としてセキュリティ業務に向き合おう」という、システム運用管理担当者の姿勢が感じられます。
そもそもシステム運用管理担当者にとって、セキュリティ業務を誰が担うかというのは結果論であり、表面的な違いに過ぎないのかもしれません。持続可能で実効性のあるセキュリティ対策を実現することこそが重要であり、そのためには組織全体の理解や協力が欠かせません。ところが今回のヒアリングでは、まさにその部分に難しさを感じるとの声が目立ちました。
「上層部の理解不足によって、業務が非効率なまま俗人化している」「上層部からの押し付け感があり、問題ゼロが評価されない」――。今回寄せられた声からは、システム運用管理担当者が担う業務の重要性や価値が、組織全体で十分に共有されていない状況がうかがえます。
従業員300〜999人規模の情報サービス企業でシステム運用管理業務を担当する回答者は、上層部の理解を得るためには、IT戦略/企画といった上流から関わることが必要ではないかと語ります。現場での工夫や我慢だけでは限界があるからこそ、組織全体の理解を得ながら状況を変える必要があるという、問題意識の表れだと言えそうです。
組織全体の理解を得ることは、決して簡単なことではありません。だからこそ全てを自分で抱え込むのではなく、課題を言葉にして、周囲に理解や協力を求めることも大切だと言えます。まずは少しずつでも、1人で抱え込まなくて済む状況を作ることが、現実的な第一歩なのかもしれません。
ヒアリング概要
2026年6月10〜16日に、@ITのメールマガジン「@IT通信」の購読会員を対象としてWebフォームによるヒアリングを実施しました。回答者は20人で、このうち18人がセキュリティ業務を兼務するシステム運用管理担当者でした。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「セキュリティ人材って結局、何ができる人?」に結論か NCOが定義した“13個の役割”
セキュリティ人材と一口に言っても、どのような役割を担い、何ができればよいのかは曖昧だった。NCOは「サイバーセキュリティ人材フレームワーク2026」を公開し、13個の役割や4段階のレベルを定義した。その中身は。
ぐるなびが“脱VPN” 「リスクが減り、コストも4割減」をどう実現?
VPNシステムを廃止したぐるなびは、リモートアクセスのセキュリティ向上に加えて、運用コストも約4割削減したという。こうした成果はどのように実現したのか。
「★3」「★4」のセキュリティ評価制度 ついに“案”から進んだ構築方針とは?
企業のセキュリティ対策を「★3」「★4」などで評価する「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)の構築方針が固まった。制度運営や評価の仕組みなど、具体化した内容とは。