中小企業のDXの遅れが日に日に深刻度を増していますが、比例して増えているのがIBMiを維持していていいのかという相談です。新たに起業する企業などは最初からAS400と呼ばれていたようなものを採用することがそもそも少ないので、こうした相談の多くは20~30年前に、セキュリティ対策の切り札としてIBMを導入した中小企業がほどんどです。
あくまで私見ですが、私はIBMについては、その性能が悪いので別のものに換えるということを言明したことはないし、事実、AS400は外部遮断性から言えば卓越した仕組みを持っています。しかし問題はそこにはありません。簡単に言えば、比較的初歩のIT環境下で、コストも関係なく、外部からの侵入だけを防いでいればよかったものから、ハッキング技術もIT技術も爆発的に変化、向上した中で、ITとOTの境目がなくなるという現場環境の中で、壁で閉ざしてさえいれば良い時代は終焉したということであり、大手企業が次々にクラウドに乗り換えているのは、ハイスペックなセキュリティ環境が必須となったことの裏返しと言えのではないかという問題定義です。
IBM iはTIMI(端的に言うとハードウェア・テクノロジーから分離・独立した仕組み)であり、他のOS群とは異なる独自の仕組みとなっているので、例えばユーザー毎に個々のオブジェクトの操作権限を設定できたりといった高いセキュリティ性を誇るシステムであることは言を俟ちません。
例えば、監査ジャーナル(エラーを記録した実行記録を確認する機能)による不正アクセスや改竄などのログを取得できるので、不正の未然防止の仕組みとしては強固なものですが、監査ジャーナル機能も実際にしっかり活用されていないのが現状であって、セキュリティ設定をおこなう際には複雑なシステム設定(アプリケーションのソースコードを変更する必要もある)が必要で、人件費を含めて開発コストは嵩みます。その設定の煩雑さ、コストから、最初に設定をしても、ほとんどの場合、それに頼って、役に立たない仕組みのままでいることで、隙を突かれるケースが後を絶たず、これではせっかくのポテンシャルは活かせないというのが忖度のないところです。
つまり、IBM iは何もしなくても「堅牢なシステム」ではなく、「堅牢につくれるシステム」であるが、堅牢につくるためには高額な開発費と高いスキルを持ったチーム人材、それを理解し、活用する企業風土がなければ役に立つとは言えないステージになったという理解をしています。
IBMだから安心というわけではないというのは、あのキーエンスでも、最近、サイバー被害に遭っているので、この辺りの変化はしっかり認識すべき点ではないでしょうか。
