|
| MSPの「品質」 |
MSP(マネジメントサービスプロバイダ)は、マーケットサイクルでいうプレーヤーの誕生/乱立期を過ぎ、一旦は淘汰の時期に達した。しかし、マクロな観点ではMSPを包含したITマネジメント関連の市場規模は年率約12%で成長しているといわれ、ミクロな観点でも当社の昨年度の受注件数は、2000年のネットバブル期に匹敵するものがあった。決してマーケットの成熟期を迎えたわけではなく、次の成長サイクルに入る直前の兆候である。このタイミングで各々のプレーヤーの次なる成長の鍵は、広い意味での「品質」の確保と明示といえよう。今回はこのMSPの「品質」(どのように実施しているか?)について論じたい。
MSPのビジネスモデルは、同じ運用管理マーケットの常駐型運用のプレーヤーと比較し、明らかに異なる点は顧客へのサービス提供形態である。分散型/労働集約型に対して、集中型/知識、設備集約型である。労働集約型のプレーヤーにおける差別化のポイントは常駐要員のスキルが主たるものであるが、集中型/知識、設備集約型のMSPに求められる差別化ポイントは、個々人がどんなスキルで何を提供するかではなく「サービスメニュー」である。24時間365日どんな項目を監視するか、どのような障害の時に復旧(フローチャート、手順書の実行)するかなどその一例として挙げられる。
しかし、多数のプレーヤーが出現して以降、顧客へ提案するサービスメニューは各社ほとんど似通っており、顧客はサービスを導入する前には、このサービスメニューのみで判断をせざるを得ない現状がある。技術者が数名の会社がある特定の1社向けに運用管理を受託した場合の「サービスメニュー」と、数十社、数百社向けにサービスを提供しているMSPのものが同じであったりする。むしろ特定1社向けのサービスの方が柔軟で、その特定の1社にとってはよい「サービス」かもしれない。
それでは導入する企業は、どちらのサービスを選ぶべきだろうか?そもそも、運用管理をアウトソースすることにより、企業側が得られるメリットは1)計画業務などのコア業務に集中する2)コストを下げる3)リスクを軽減する、が主たるものであるが、おそらく1)、2)は技術者が数名の会社の方を選択しても達成できる。しかし、3)が導入メリットであることが、潜在的なものであるため、軽視されがちである。
「リスクを軽減する」とは何か?具体的に述べると、こんなシーンを想像してほしい。あるASP事業を展開する会社は、競合との熾烈な競争に打ち勝つために、新機能をものすごいスピードでリリースしている。新機能を提供するアプリケーションのリリースに伴うバグは少なくなく、障害は頻発している。前述の通り、ものすごいスピードのためバグの改修の前に、次の新機能のリリースがくるサイクルが続いており、結果として開発者が保守と同時に運用している状態である。その開発者は、深夜や休日も障害やアプリケーション不具合の対応している。
ここに潜在的なリスクがあることは言うまでもないであろう。障害対応は属人的であり、開発者が体調を崩すこともあれば、開発業務と深夜、休日の障害対応などを兼務することによりモチベーション低下、結果退職することもリスクである。しかし、意外に導入企業の経営者の方は、その開発者が外部の協力会社であったりすることも多いため、潜在的なリスクに気づいていないことが多い。旧来のメインフレームによるシステムは堅牢で正常に稼動して当然という意識があるが、オープン系のシステムは、フリーソースのプログラムをあたり前のように使用し、インターネットとの接続により常に脅威にさらされている。特に利用者数が予測し難いシステムは、きちんと運用してこそ初めて正常に稼動しているという前提に立って欲しい。
MSPの導入はこの種の「属人化」リスクを軽減するメリットもあることを注視するべきである。そのためには、どのような「サービスメニュー」か?だけではなく、サービスが「どのように実施されている」か?も選択の際の重要なポイントといえる。サービス導入当初は非常によいサービスであったが、導入したMSPの事業拡大に伴い顧客が増えていくと同時にサービス品質が低下しているなど、「どのように実施している」か?をきちんと確認しないと起こり得るリスクである。
「どのように実施されている」か?ニアリーイコール「品質」を定量化し、基準を定める動きが急速に進んでいる。この流れは古くはSLAに始まり、最近ではITIL(英国政府のCCTA:Central Computer & Telecommunications Agency、が開発したITインフラストラクチャに関する一貫した包括的基準)、ISMS/BS7799(組織の置ける情報セキュリティのマネジメントシステム)などが注目されている。
特に最近はセキュリティに関わる事件、事故も多く、システムの最高権限でログインして業務を実施するMSPに、セキュリティ管理を求める顧客は多い。(というか求めない顧客はいない)しかし、情報セキュリティ対策に100%はない。近年のセキュリティ事件、事故の原因を見ると被害者が利用する技術も、加害者の侵入/破壊する技術いずれもが日増しに複雑化、高度化している。そのような中で、ある時点でのリスクレベルの評価は、時間が経過すれば、変化する。また、組織の置ける情報セキュリティのリスクは、1つ1つが強固な施策に基づいたものでも、それらは鎖と同様につながっており、もっとも脆弱な「人による運用」の鎖の輪がある限り、リスクチェーン全体が脆弱であることも認識するべきである。決して人によるミスはゼロにはならない。
このような状況下で、当社サービスは、情報セキュリティ管理については、ISMS/BS7799に準拠し、その中核となるメソッドであるPDCAによる改善サイクルの手法により運用している。前述の通り、事故はゼロにはならない。しかし予見しない事故が発生した場合には、(P)原因究明し、再発防止策を検討する。(D)その防止策を実行し、(C)防止策の効果を測定した結果、(A)組織として改善、予防を行う。また、これらを「機密性」、「完全性」のみならず、「可用性」の観点から実施する点も重要である。(セキュリティといえば、「機密性」、「完全性」に注視しがちだが、「可用性」重要な機器は冗長構成をとっているか?災害に備えて重要書類のバックアップがとられているか?などもISMS/BS7799における要求事項である。)
組織運営、企業経営においては、一見あたり前なことに見え、少なからず実施していない会社はない。しかし、当社としては、情報セキュリティ管理については生命線であると考えており、また「品質」における差別化のポイントとしても重要視している。国内及び国際基準に準拠することにより、お客様へ「安心」を明示するためである。お客様側の運用担当者の方は、日々の業務負荷を軽減するために早くMSPを導入したいが、セキュリティ面で外部の会社への委託に慎重になっている決裁者や経営者がなかなか首を立てにふらない。そのような企業に当社サービスを導入し、少しでも早く現場の担当者に楽してもらうために、「品質」を明示していくことも当社の重要な責務と考えている。
次回は、サービスプロバイダにおける「品質」管理の基準となろうとしているITILについて論じたいと思う。 |
|
 |
 |
|
|
|
