システムソフトウェア One Day Seminar
～「攻めの運用」「仮想化による革新」「進化するセキュリティ」～

IT予算におけるシステム運用、定常コストの肥大化が多くの企業で問題となっている昨今、限りある予算をいかにして攻めのIT投資へ振り向けることができるかがシステム部門に問われています。

去る2013年12月4日、アシストでは“「攻めの運用」「仮想化による革新」「進化するセキュリティ」”と題し、「システムソフトウェア One Day Seminar」を開催しました。特別講演として、“お客様のビジネス上の課題解決と意思決定を支援するIT分野専門のリサーチおよびコンサルティングのプロ集団 ”株式会社アイ・ティ・アール（以下、ITR）の金谷敏尊様より、「運用コストの節減に向けたIT-ROI評価」をテーマにご講演いただきました。

長年にわたりIT投資を続けてきた結果、多くの企業で運用コストがIT予算を大幅に逼迫しています。運用コストを節減するにはどのようなアプローチが必要か。本セッションでは企業が採用する節減施策の動向やROI評価の手法を紹介し、有効なコスト節減を導くためのステップについて論じます。

IT予算は、大きく「戦略投資」 と「定常費用」の2つに分けられます。ITRが毎年実施する「IT投資動向調査」において2012年のIT予算の比率は「戦略投資：38%」、「定常費用：62%」で、12年前の2000年頃はその比率が逆でした。一方、2000年にはわずか1.2%だった売上高に占めるIT予算比率の平均値は、2012年には約3%と増加しています。つまり戦略投資はほとんど増えていないのに定常費用が何倍にも増加し、IT予算を圧迫しているということです。ＩＴ予算に占める運用コストの肥大化は多くの企業で問題視されており、経営層ならびにIT部門では、コストが嵩むこの「定常費用」をまずは削減してスリム化し、「戦略費用」に充てる傾向が多く見受けられます。

企業の重要課題であるコスト節減の実現には様々な施策が考えられます。コスト節減計画の立案にあたっては網羅的に幅広く施策を抽出し、効果評価に基づいて選別する手法が推奨されます。ITRではコスト削減の施策を34個に分解して、調査を実施しました。どの削減施策の実施率が高いのか、また削減効果をどのように評価しているのか、ということにポイントを絞りました。

施策は大きく「ITマネジメント」、「ITアーキテクチャ」、「ITサービス・レベル」、「ITスタッフ」の4つに分けられます。

「ITマネジメント」では、コスト節減を直接的または間接的にもたらす施策があります。最も効果の高いものが「大型案件化によるディスカウント」です。さらに「集中購買」、「外部委託における競争入札方式の導入」、「ベンダー値引き交渉」なども比較的効果が大きいと見られています。

「ITアーキテクチャ」の施策には「IAサーバ仮想化／ストレージ統合」、いわゆる仮想統合があります。これは効果が大きく、3年前は3割程度だった実施率が、今は6割にまで達しています。次に「運用管理／サービス・デスクの統合」で、サービス・マネジメント、ITIL、資産管理などの運用の統合です。特に問い合わせが多いのが資産管理に関するもので、これはデスクトップ・クライアント・ソフトウェアの監査が厳しいためです。それから「OSSの導入」があります。今は1割程度とは言え、特にクラウドの世界ではOSSが台頭しており、成熟度も猛烈な勢いで高くなってきています。ベンダーやSIerがサポートや品質を担保してくれるのであれば、検討に値する時代になってきていると実感しています。ライセンス・コストが基本的にかからないという点でも効果指数は高く、今後OSSはますます進化していくでしょう。

「ITサービス・レベル」は、過剰な品質水準を適正化することで余分な支出を抑制するという施策です。まず「過剰な信頼性／冗長化対策の見直し」、そして「保守開発／改修の抑制」です。また「基盤系サービスの共通化」、「IT資産の評価と不良資産の廃棄」など、使われていないアプリケーションなどを棚卸しして、使用率が低いものは廃棄していく。サービスを改悪するのではなく、余分で過剰なものを適正値に戻し、コストを最適化していこうというのが昨今のトレンドです。

4つ目の「ITスタッフ」については、各企業の方針につながるためここでは言及しません。

以上挙げた様々なコスト削減施策ですが、断片的に実施する会社が多く、プロセス化して取り組んでいるケースは少ないように見受けられます。きちんと真面目に取り組む場合には、以下のコスト削減ステップが必要です。

まず「現状把握」フェーズで社内外での現状調査に加えて、ITコスト分析を実施します。いずれも「仮説立案」の材料を推し量るための情報収集が目的です。そこで得られた情報を基にITコストのボトルネック（コストを肥大化させる要因）を把握し、節減対象の「仮説立案」をします。続いてリストアップされたコスト領域の改善を視野に入れて「施策立案」します。「仮説検証」フェーズでは、実際にその削減案が適正であることを検証したり、実際にベンダーの見積もりをとって妥当性を評価したりします。そして最後に「予算化→実施」のフェーズに入ります。運用コスト削減に取り組む上では、このように体系化されたステップを踏むことが、最も合理的な節減計画への道筋と考えます。

続いて、コスト削減に向けたIT-ROIの評価です。 ROIはいわゆる「投資対効果」で、投資したものに対する利益を定量的に示すのが本義ですが、ITの分野では定量化は難しい側面があり、経済的な投資効果が未明のものも多いのが現状です。ROIによる評価がしやすい案件、しにくい案件についてまとめたのが以下の図です。

「新規導入フェーズ」で「収益改善を目的とした投資」の場合はROIの評価が可能です。なぜなら従来の業務をITに置き換えることによって自動化したり、省力化したりするわけですから、現状とITのコストを正確に出すことで比較評価ができるのです。一方、ROIの評価が困難と思われる投資対象が「収益改善を目的としない投資」です。これは後述するセキュリティ投資、事業継続、制度対応、内部統制に関わるものです。

「更新／改善フェーズ」、つまり、新規導入したものが運用フェーズに入ってくるとROI評価はおしなべて可能となります。典型的なのがサーバ集約統合、仮想統合、クラウド化などです。なぜROIの評価が可能かと言うと、現状のITソリューションを置き替えるので、現状のコストと将来かかるコストを比較すればコスト評価ができるからです。コスト評価した時に、新しく導入した方が利益が高ければROIが出るということになります。

ROI効果指標には「コスト削減」、「収益拡大」、「損失低減」があります。またROIを評価する上で、TCO（コンピュータ・システムの導入、維持／管理などにかかる費用の総額）を算出することが重要です。ハードウェア、ソフトウェア、管理、サポート、開発等の「直接コスト」はもちろん、ダウンタイムによる機会損失などの「間接コスト」も入ります。これらすべてがTCOと言われているもので、評価する際にもここを見る必要があります。このようにコスト削減はきちんと計算すると効果が出るということが色々な局面でわかってきます。実際にTCOシミュレーションをした例を３つご紹介します。

1つは「PCライフサイクル運用」の事例です。ユーザ数1,500名規模の環境で、PCライフサイクルの運用管理をシミュレーションした結果、ツールによる自動化の推進でTCO削減効果は3年間で約4,200万円、運用管理コストが4分の1近くまで圧縮されることが示されました。

それから「ハイブリッド・クラウド」の事例です。プライベート／パブリック・クラウドは、従来型の仮想化基盤に比べて、ハードウェア／ソフトウェアのコスト負担を減少させ、資源調達において約13%のコスト低減をもたらします。加えて、運用コストの大幅な軽減が寄与し、TCOは約78%に抑えられることが示されました。

また「仮想デスクトップ」の事例では、PCユーザ数1,000名規模でシミュレーションした結果、デスクトップ仮想化（VDI）導入では、5年間で約3,800万円、マネージド・クライアント製品の導入では5年間で約1,100万円のTCO削減効果が示されました。特に、機会損失コストの軽減による効果が明らかになりました。

先ほども触れたように、内部統制、セキュリティ、震災リスクといったものについては、投資効果評価が非常に難しい対象となります。地震など震災被害に遭う確率は、リスク・シミュレーションにより理論上はリスクの定量化、金額換算は可能ですが、そこに確率論が介在する以上、いくらデータを積んでも信憑性がなく、むしろリスキーとなります。ではどうすればよいでしょう。確率論が関わる内部統制、災害対策、セキュリティ対策、いずれにも共通事項があります。これらはすべて経営戦略であり、IT戦略ではないということです。最近の標的型攻撃などのセキュリティも経営戦略に近いものと捉えるべきで、それをIT部門だけで対応すること自体がそもそもミスマッチなのです。これらは経営が投資の判断をし、意思決定すべきものと私は考えます。ただし、そのための材料を収集し、正しい情報を伝えるのがIT部門のミッションではないでしょうか。金額的に換算するのは難しいですが、KPI（重要業績評価指標）による定量化を実施する必要があります。

KPIによる定量化のポイントは、対策オプションとして、松竹梅のプランを準備することです。災害対策の場合、何をするかによって、大きなぶれ幅があるため、松竹梅のプランを用意してそれぞれの定量効果を見ていくとよいでしょう。例えば、対象システムの規模、システム復旧時間、バックアップ体制など、それぞれ定量的に松竹梅でKPIを表現できます。この松竹梅のプランの中から経営層に選んでいただけるように判断材料をいくつか準備しておくことが肝要です。

さらに悩ましいのがセキュリティです。なぜならあまりにも多くのセキュリティ対策があり複雑だからです。セキュリティ対策については、全部対応しようとするとコストが大幅にかかるので、目的に合わせて適宜評価をしていくとよいでしょう。オーストラリア国防省のセキュリティ対策とその効果を調査した結果を示す資料によれば、上位4つの対策、すなわち「クライアント・アプリケーションのパッチ適用」、「最新OSの利用／パッチ利用」、「ドメイン／ローカル管理権限を持つユーザの最少化」、「クライアント・アプリケーションのホワイトリスト利用」によって、標的型攻撃に対しては85%は防御できると言われています。

このように「セキュリティ対策、災害対策は経営課題、経営判断である」ということが前提で合意をとっていく必要があります。経営者が現状リスクを把握し、しかるべき判断が下せるように、対策オプション、想定コスト、現状リスクと低減効果に関する情報をIT部門の見解として準備すること。それが重要なポイントになります。

効果的な運用／維持コストの節減に向けては、幅広く施策を洗い出し、その効果を検証した上で、計画化することが望ましいと考えます。そして「現状維持」の場合と「施策導入」をした場合をTCOで比較することによって、施策の導入効果（ROI）を定量的に検証することができます。ただし、ROIの評価が不向きなものがいくつかあります。そうしたセキュリティ／災害対策などについては、リスクの低減効果をKPIで可視化し、選択オプションを示すことで、経営判断を求めるべきです。こうしたシナリオが最も妥当であると私どもは考えます。 本日のお話が皆様の運用コスト削減施策のヒントになれば幸いです。