1. PoCで必要となるのは、動作確認と製品比較だけではない
ゴールデンウィークは新年度の疲れもたまる時期だが、しっかりと休息をとってリフレッシュしたい。最近のことだが、電子書籍で読書をするより、紙の本が多くなった。普段パソコンで活字を見ているせいか、本を手に取ってページをめくっていくと、心地いいことに気づく。本の購入はネットが圧倒的に多いが、あえて本屋さんに行き手に取って選ぶことがある。僕が本屋さんに行く時は、頭のリセットが必要な時だ。新しいアイディアを考えたい時は、休暇を取得してでも本屋さんに行くことにしている。ゴールデンウィークが待ち遠しい!
5月になると、陽射しは強くなり、軽く汗ばむような気温だ。まだ湿気はなく、初夏の爽やかな季節。ゴールデンウィークは好きなことをたくさんしてみよう。
さて、今日のテーマは、前職の情シス現場で新システムを導入するために行ってきたPoC(Proof of Concept:ピーオーシー、ポックと読まれる。概念実証、実証検証などと訳される)について、導入する決断をどのようにして行ってきたか、決めるポイントについて解説したい。僕の話は、運用者側の視点になっているが、商材を扱っている立場の方はどの様なアプローチが必要なのか参考にしていただければ嬉しい。
PoCは単なる動作確認と他社の商品との比較をするためだけではないことは当たり前で、何といっても運用中のシステムに影響を出してはいけない作業だ。PoCでできることは限られているので、製品についての動作確認だけでなく、運用面の変更や、導入経費をイニシャル、ランニングコストについて上層部や経理部に説明できるようなデータ収集をすることが目的になる。データ収集では、社員の協力も必要になってくる。このように目標(ゴール)を事前に決め、そのために何をすべきかを確認していくことがPoCなのである。「PoCをしたけどデータが全く取得できない」では、導入を決めたとしても使いにくい無駄なものになりかねない。情シスの作業としては、他部署と連携、社員を巻き込んで一丸となって取組んでもらいたい。
2. PoCは実際に利用される環境に近づけ、小規模に進めることが大切
PoCという用語は、「Proof of Concept」の略語で、新たな概念や技術について期待する効果が得られるのか検証することを指している。例えば、開発費用や期間、機能などが自社の要件に合致しているのかを明確にする目的で実施される。
PoCを実施するにあたり、既存システムの変更対応や費用がかかるくらいの大規模なものであってはいけない。あくまで実際のシステムや製品の効果を確認するための方法でPoCが成功することが一番の目的ではないからだ。この部分は勘違いしやすいので注意が必要であり、実際に行う場合、小規模で実施することが現実的になる。何より費用や手間を抑えて素早く検証の成果を出すことがポイントになる。
PoCを実施しても成果が意外に出なかったり、システム上の問題が見つかった場合は、早めに中止の決断をすることだ。ただ、可能であれば再度PoCを行える余裕のスケジュールは組んでおきたい。PoCを行うシステム環境は、実際に利用される環境に近づけないと必要なデータを得ることができないため、事故を起こさない安全管理と専門知識を持って取り組む必要がある。
前職NHKで行ってきたPoCでは、サイバーセキュリティ商材が挙げられる。この商材の特徴は、マルウェア検知の能力を確認するだけでなく、ネットワーク内の多層化されたセキュリティシステムとのマッチングである。そのためには色んな条件を準備し、チューニングを多く行った。検知の結果では、検知レベルが低すぎても多検知でもインシデント対応の精度が落ちるためNGである。注意点は単体機器の動作確認をするのと同時に、既設ネットワーク機器とマッチングをPoC期間中にどれだけできるかがカギという訳だ。
実際の動作環境には社員の協力も必要だ。PoC期間中に数多く協力が得られれば、想定外の操作を行い不具合が見つかるなど、貴重なデータが取れるようにしたい。PoCは見方を変えるだけで、新しい発見ができる貴重な機会としてとらえてほしい。
3. PoCのメリットを生かし、運用後の改善点を洗い出す
PoCを行う目的には、導入時にそのまま活用できるようにするケースも考えられるため、経費削減などのメリットも考慮すべきだ。さらに、ユーザインターフェース(UI)では、社員の協力は不可欠だ。使用後の感想は、ユーザビリティ向上、使い勝手などによる改善要望はベンダーに言いやすく、運用後の問題点について予測できるメリットがある。
4. PoCを決めてから社内手続きを始めては遅い
PoCは、現用ネットワークのスイッチングハブに「ぽちっ」とつなげば済むという話ではない(笑)。PoC環境でもインターネット越しに外部に出る場合は、社内の運用規則について確認と許可が必要になる。運用許可に関しては、実験開始から逆算したスケジュールが大事になる。
さらにシステム構成でオンプレミスの場合は、機械(サーバ)室の設置場所、機器サイズ、電源の確保、容量、空調への影響などを事前に調査しておく必要がある。PoCでは運用中の機器に影響を与えず、安全対策には十分配慮して構築して欲しい。
一方、クラウドサービス(SaaS型)のPoCでは、自社データの扱いについてデータの外部持ち出し許可が出るのか、申請によるものであれば時間もかかる。オンプレの場合でもシステムメンテナンスが発生する場合、商品メーカーとの外部接続が必要となる。自社データの取り扱いルールについては早めの確認が必要になってくる。
5. PoCで実施する項目の管理表を作っておく
前職(NHK)でセキュリティ機器のPoCを行った時のことだ。できる限り同業者に近い会社でのインシデント事例を作り検査に臨むことを重視していた。全く同様の環境を作ることはできないが、実際の事故想定によるデータは、経営者、経理担当に説明しやすくカタログ上の説明より効果的だった。
さらにPoC期間中に見つかった課題について管理表を作り記録に残していた。これは導入後に発生するベンダーへの改善要望に対して具体的な説明ができるようにするためだ。セキュリティ機器は、社内の既設セキュリティ機器とのマッチングが重要になってくる。導入すると多層防御になり強化されるが、無駄な機器が発生していないか調査しておいたほうがよい。アセスメントを行えばスクラップできるシステムも生まれることがあり、経費節減につながるからだ。
6. 導入決定前に、システム会社のサポート体制について確認しておく
故障時の対応は直接海外のサポート担当とのやり取りになることが多い。現地時間との時差が影響するため対応が遅れてしまうケースが発生し注意が必要だ。保守契約を結ぶ際の条件内容についてしっかり説明を聞くことが重要になる。
運用面では、自社のシステムとの整合性を考慮すべきである。PoCでは限度があるが操作性については社員に協力してもらい感想を聞いておくことが重要になってくる。ベンダーは良い商品を売りたい。カスタマーは良い商品を買いたい。この部分ではお互いの信頼関係が決め手になる。情シスは、ベンダーに対して一方的なお願いだけをするのでなく、関連部署との調整を密に行い、ベンダーへの協力を積極的に行うことが成功の道につながる。
7. PoCを導入するための手順について
PoCを導入するための目的を明確にする必要がある。効果を測定するためにはどのようなデータが必要なのかをPoC導入前に明確にしておくとよい。
- ▶成功の基準を決める
- 検証の目的や目標、期待する成果を定める。成功の基準を具体的かつ明確に決めることで評価や分析がしやすくなる。
例えば、
- 機能・性能の評価基準についてシステムで必要な機能や性能を満たしているか。
- 移行する場合に既存資産をシステム上へ移行可能か。
- 移行工数(費用)は想定範囲内か。
- メンバースキルで開発メンバーが製品機能を理解し運用することが可能か。
など、検証する際に基準となる指標を決めることが重要である。
- ▶進め方を決める
- 検証する内容や方法、期間、予算、関係者の役割分担などを明確にする。
元々の計画があり、その後にPoCを実施するため、リソースや時間の制約を考慮して柔軟に対応できるようにしたい。情シス内で決まっている評価項目の基準がないようであれば、品質や保守体制などの目的に応じて決めておくとよい。
- ▶実際に検証する
- 検証を行う際には、定めた成功の基準に沿ってデータを収集し、分析することが重要だ。また、途中で問題が発生した場合は、迅速に対処して柔軟に対応すること。
あくまでも自社の事業にあわせて検討する必要があるが、そのためにベンダーに全て任せるのではなく、自社のことを最も理解している社員もPoCに参加させ、積極的にコミュニケーションをとることが重要だ。
- ▶評価する
- 収集したデータを分析し、成功の基準に照らして検証結果を評価する。一番難しいプロセスになる。システムを実際に導入した後に発覚する問題や課題があることを想定し、評価する必要がある。もしPOCの結果で大きな問題が出た場合、システムの構築をし直して再度POCを行うスケジュールは確保しておきたい。
8. まとめ
社内を見渡すと実にデジタル化が進んでおり、IoTやAIなどの技術を駆使したシステムが増えてきた。注意が必要なのは、新しいからと言って全てのデジタル化が成功するとは限らない点である。情シスとしても、経営的な視点でIT化は高額なコストや手間がかかるため、可能な限りリスクを減らす工夫が必要だ。PoCは、新たに導入しようとしているシステムや事業を実証することにより効果測定やユーザの反応を確認する目的がある。僕が重要だと思うことは、検証する際に基準となる指標を事前に決めることだ。成功とする基準、ゴールが明確に定まっていないと、漠然とした仮説検証に終わってしまい「とりあえずPoCやってみた」という状態になってしまうためだ。PoC実施の際にできることはたくさんある。働いている現場の課題を見つけられる機会でもあるため、重要な業務の1つにすべきである。
<< 関連コラムはこちら >>
■「報・連・相」では相談が肝心!情シス職場の風通しを良くする相談のコツ
■サイバー事故を防ぐセキュリティ研修のコツとは? 現場を巻き込むひと工夫が決め手!
■情シスを悩ませるルールの違反や形骸化…「記憶」から「記録」で動く組織へ
■情シスは生成AIツールをどう使うべき? 失敗談から考えるビジネスへの活用法
■プレゼン資料作成スキルを上げる! 情シスの話が伝わる構成力を身につける方法
■情シスに伝えたい!IT専門用語をわかりやすく説明するには?
■気をつけたいシャドーIT! 情シスは「危険性の周知」と「管理の強化」を進めよう
■情シス不足解消策は採用のみにあらず! 組織内からできること
■ITシステムを守る「サイバーBCP」で情シスがすべき4つの対策
■情シスはDXを考えていく上で、一体、何をすればいいのか?
■情シスを悩ませるルールの違反や形骸化…「記憶」から「記録」で動く組織へ
■情シスの人材確保は難しい…増大する業務負荷を乗り越えるヒント
■リスク事例で読む、情シスにしかできないITのリスクマネジメント
■Withコロナで気がついた、テレワークの継続を前提とした将来の情報システム運用
■情シスに求められるスキル! 聞き手が耳を傾けるプレゼン力を身につける方法
■アフターコロナの時代は情シスの大きな転機になる~チャンスを生かし、今すぐ実践できること~
■目標設定と成功するためのタイムマネジメント「時間管理」について
■システム障害は、「気の流れ」が変わった時に発生しているのではないか
■情シス部門の必須知識! 経営層の理解を得て予算を獲得する方法
■デジタル変革(DX)に求められる人材はなぜ確保できないのか?
■テレワークによるコミュニケーション不足解消と、メンタルヘルスケア
■組織で挑む、ヒューマンエラー抑止(全2話)
■情シス業務の醍醐味(全3話)
■有事に備えよ!(全3話)
■著者紹介■
熱海 徹(あつみ とおる) 氏
1959年7月23日、仙台市生まれ、東京都在住
40年近く日本放送協会 NHK に籍を置き、一貫して技術畑を歩んできた。転勤の数は少ないが、渡り歩いた部署数は軽く10を超えている。その中でも情シス勤務が NHK 人生を決めたと言っても過言ではない。入局当時は、放送マンとして番組を作るカメラマンや音声ミキサーに憧れていたが、やはり会社というのは個人の性格をよく見ていたんだと、40数年たった現在理解できるものである。20代の時に情シス勤務をしたが、その後に放送基幹システム更新、放送スタジオ整備、放送会館整備、地上デジタル整備等、技術管理に関する仕事を幅広くかかわることができた。今まで様々な仕事を通じてNHK内の人脈が自分としては最後の職場(情シス)で役に立ったのである。考えてみたら35年は経過しているので当たり前かもしれない。2016年7月には自ら志願して、一般社団法人 ICT-ISAC に事務局に出向し、通信と放送の融合の時代に適応する情報共有体制構築を目標に、放送・通信業界全体のセキュリティ体制整備を行った。ここでも今までの経験で人脈を作ることに全く抵抗がなかったため、充実した2年間になった。私の得意なところは、人脈を作るテクニックを持っているのではなく、無意識に出来ることと、常に直感を大切にしているところである。