日本國内80%的企業都存在的傳統IT系統,現已成爲網路上的安全風險因素。這是因爲,在這些傳統系統上不斷增加新功能,會導致出現系統漏洞的緣故。對此,我們諮詢了從美國IBM公司剝離出來的基礎平台營運巨頭——美國勤達睿公司(kyndryl)的全球實務負責人克里斯·拉布喬伊(Kris Lovejoy),請她介紹應該如何因應該問題。
美國勤達睿公司全球實務負責人,克里斯·拉布喬伊(Kris Lovejoy)
——爲什麼傳統系統會遺留在到現在?
「這是因爲企業的IT負責人爲避免系統的全面更新,只是暫時在現有的系統上添加企業當前所需功能所致。儘管他們理解更新的必要性,但他們更看重系統故障對業務造成影響的風險。」
「特別是在日本,這可謂是一個緊迫的問題。與日本的客戶交流時,我經常喫驚於他們所使用的硬體和軟體都是20多年前的技術。」
——保留舊系統會有什麼壞處?
「最大的問題在於安全。尤其是供應商的技術支援會變得薄弱。由於舊系統導入和更新開墾程式(補丁)會拉高成本,所以維護的頻率就減量了。結果就是,要麼花費過高的費用進行一時性修補,要麼對已知的系統薄弱之處置之不理。」
「此外,業務上也存在問題。舊系統的計算能力原本就不足,高性能的軟體和人工智慧(AI)等無法充分運行。因此,業務效率也會遲滯。系統的現代化是當務之急。」
——系統更新首先應該做什麼?
「首先應該對自己公司的基礎平台進行内部評估,應答對核心業務最爲重要的資訊通訊技術(ICT)資產,並確定其中哪些ICT資產是在最過時的基礎平台上運行的。此舉的最終的目標是實施全部現代化,所以必須積極監督哪些基礎平台已經停止了技術支援?技術支援到何時結束?並立即確定因應的優先。」
——選擇新系統時有哪些注意事項?
「應該重視的是相容性。例如勤達睿的系統,基礎平台用的是美國亞馬遜網路服務(AWS)和美國谷歌等,手機應用的基礎平台則是德國思愛普(SAP),控制技術(OT)的基礎平台用的是德國西門子等,我們與各領域的全球性巨頭建立了合作夥伴關係。如果沒有這樣的協作,以後在添加其他公司的系統時可能會出現運行和資料共享方面的不一致。必須確保所用的基礎平台是不受特定技術束縛的中立系統。」
「不過,世上沒有‘只要導入就可以對應所有需求’的完美系統是不存在的。關鍵是IT和安全等部門的負責人要理解自己公司的業務背景(來龍去脈)。導致系統停機的終極因數,包括資料中心停機、網路中斷、人爲錯誤等多種可能性。我們必須找出自己公司的業務和組織等方面的風險所在,透過克服影響較大的弱點來提高整個組織的柔然性(恢復力)。」
——您是世界經濟論壇(WEF)網路安全委員會的成員。您特別擔憂的問題是什麼?
「最大的擔心是各國競相獨立引進新的網路規制,逐漸形成了各自爲政、條塊分割的趨勢。企業很難適應所有規定。國際標準的制定需要國家間的合作。我認爲日本政府在這方面,積極採納美國標準並保持開放態度是可取的。這將有助於在貿易和採購等方面取得優勢,並最終對日本經濟作出貢獻。」
記者觀察:迫在眉睫的「25年斷崖」,應儘早因應
根據日本資訊系統客戶協會(JUAS)2022年9〜10月的調查,在日本的1018家企業中,認爲基礎系統中還存在傳統系統的回答達到62.5%。認爲阻礙系統更新的最大因素是「復混成的系統」(59.3%),這就像在老房子上勉強增改建後,導致無法進行任何工程的悲慘狀況。
這種因系統風化作用而影響數化轉型(DX)進展的擔憂被稱爲「25年懸崖」。雖然情況在逐漸好轉,但日本經濟產業省2022年的報告中指出,企業的數位投資的80%都投入到了對舊系統的維護和營運中。這正是經營資源被傳統系統蠶食的狀況。我們不能坐等跌落懸崖,而需要做出徹底的系統革新決策。
克里斯·拉布喬伊(Kris Lovejoy)簡歷
日文:網路安全編輯/岩澤明信、《日經產業新聞》、2024/1/15
中文:JST客觀日本編輯部
