情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. 悩み(6) 自前でのシステム運用の負担が大きく、セキュリティ対策に不安を感じる

悩み(6) 自前でのシステム運用の負担が大きく、セキュリティ対策に不安を感じる

公開日:2026年4月28日

f社では、自社内で基幹システムを構築・運用しているが、システムの維持費用や、人的資源の不足に伴う、セキュリティ対策を始めとする運用・保守対応の負荷が高く、限界を感じていた。

基本情報

f社の状況
  • 自社製品を、取引先に販売するシステム(基幹システム)を、オンプレミス形式で、自社内にて構築・運用している。
  • IT部門に十分に担当者がおらず、特にセキュリティ担当者が十分にいない。
f社のプロフィール
業種
製造業
規模
300人
管理
体制
CISOの有無
有(CIOが兼任)
専任のセキュリティ部署
サイバーセキュリティ
の主管部署
IT部門

セキュリティ担当者の問題・悩み

f社では自社で基幹システムを構築・運用している。しかし、日頃から費用面の負担だけではなく、IT部門の要員システムの調達、運用、保守にかけられる人的資源が不足しており作業負荷が高くなっていた。

特にセキュリティ対策に関しては、サーバのマルウェア対策、OSのアップデート、セキュリティパッチの適用といった予防的な対策、またネットワークの監視、アクセスログのモニタリング等の発見的な対策など、種々の対策を講じているが、これらが少ないセキュリティ担当者に対する大きな負荷となっていた。

取組(6) 自社のセキュリティルールに整合する、適切なクラウドサービスを利用する

解決に向けたアプローチ

オンプレミス環境からクラウド環境への移行(イメージ)。自社内で構築された物理サーバから、クラウド環境上のサーバ群へ

そこでf社は、基幹システムのサーバが保守切れを迎えるタイミングで、従来のようにサーバを自社で保有してセキュリティ対策を実施するのではなく、一部のセキュリティ対策がサービスとして提供されるクラウドサービスに移行することとした。

その際に、公知の情報(注釈1)等を参考にしながら、例えば以下のようなポイントを検討した上で、自社で行うべき管理の内容を整理し、管理の簡素化や管理工数の削減を図った。

移行時の考慮ポイントの例
  • クラウドで扱う情報と業務の重要性
  • 自社・事業者間でのセキュリティルール・水準の整合性(データ暗号化やパスワード強度の警告など)
  • セキュリティ対策の開示状況
  • 直接監査の実施可能性、もしくは、代替可能なSOC報告書(注釈2)の発行等
  1. 注釈1
    例えば以下などが活用可能である。
  2. IPA:中小企業の情報セキュリティ対策ガイドライン付録7「クラウドサービス安全利用の手引き」
  3. 注釈2
    クラウドサービスプロバイダが受託業務に係る内部統制の保証報告書(SOC報告書)を作成している場合がある。

得られた知見

得られた知見

f社のIT部門長は、システムの専門家であるクラウドベンダが、セキュリティ対策も含めてサーバの維持を行ってくれるため負担は以前より軽減されたと感じる。

一方で、クラウド環境に移行した場合でも、全てベンダ任せにするのではなく、自社で担保しなければならない部分、例えば、ID管理やデータ暗号化やパスワード強度確認などのセキュリティ設定はしっかり対応し、委託先の選定・モニタリングも重要であると考えている。

前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開