日本企業のIT活用
日本企業のIT活用が遅れている印象を漠然と持っていたのですが、だんだん言語化できるようになってきたのでお気持ち表明。
いつにもましてポエム度数の高い内容ですが前半は技術寄り、後半はビジネス寄りの構成です。
5年遅れのIT技術
こちらは国内のコンテナ技術普及状況の記事ですが、日本は諸外国と比較して5年遅れた水準といわれています。
インフラ技術は、物理サーバ、仮想化、クラウド、コンテナといった順に進化してきましたが、日本は最近ようやくクラウド導入が進んできたという状況です。
AWS EC2サービスが提供されてから10年以上たっていることを踏まえればクラウド自体は最先端でも何でもないことは明らかです。
一方の米国は、クラウド技術やコンテナ技術の利点を最大限活用して、システム開発の生産性や柔軟性を向上させるCloud Native分野に移行しています。
アジャイル、DevOps、IaC、CICD、宣言的API、イミュータブルインフラストラクチャ、可搬性、回復力、マイクロサービス、サーバーレス、SRE...
これらが実用の域に達しているか否かを見るだけでも、開発モデルからアプリケーションアーキテクチャに至るまで大きな差が開いていることが分かります。(業種や要件によっては導入が不要なケースもあるかと思いますが)
ここまで日本全体が遅れているかのような説明をしましたが、それは誤りです。
上記のような分野に追随している業界も存在していて、特にインターネット経由でサービス(ECサイトやスマホアプリ)を展開するような企業などを中心にCloud Native分野の導入が進んでいます。
逆に、大きな後れを取っているのがシステム委託開発であるSI事業の受注先、受注元、つまりSIerやユーザ企業です。
インターネットサービス事業とSI事業の大きな違いはBtoCとBtoBであることが挙げられます。BtoBは企業の受注開発である点から顧客の取り合いになることが比較的少なくブルーオーシャンなビジネスモデルとなっています。一般大衆の目に触れないことから地味な印象を持たれがちですが、お金を稼ぐという意味では有利な領域といえます。他方、インターネットサービス事業は顧客が一般大衆であることから、シェアの奪い合いが激しく、レッドオーシャン的といえます。そのため、インターネットサービス事業では、サービスを安定稼働させながら新しい機能をどんどん追加して、常に顧客の期待にこたえ続けることが求められます。SI開発で数か月ごとに新規機能を求められるようなケースはほとんどないと思いますが、数か月以上アップデートのないスマホアプリは見向きもされなくなる可能性があります。
このようにインターネットサービス事業者では、シビアな要件にも順応可能なアプローチとしてアジャイル開発やDevOpsなどの導入が進んできたと考えられます。
SIer界隈ではウォータフォール開発がメインで困っていないように見えますが、さすがに5年遅れは不味いです。ユーザ企業にも分野ごとの競合他社が存在するため、競争力のエンジンとなるIT技術が劣れば、世界競争から駆逐されていきます。というかもう駆逐され始めている気がします。ちなみに、他国ではSIer自体がめずらしく、ユーザ企業がSIerにITシステムの企画・構築・運用を発注する構図は内製化より非効率とされています。
ポンコツ経営層
セキュリティ関連の仕事をしていて、「ゼロトラスト一つください」、「サイバーセキュリティ一つください」、「ランサムウェア対策ください」、「インシデントが起きたのは全部SIベンダのせい」みたいな要望や弁解をユーザ企業から聞くことがあります。理由まで聞くと「よくわからないけどよく耳にするからなんとなく」とか「自分はお金払ってる客なんだから責任はない」みたいな驚愕の答えが返ってきます。要するに、経営者が自らITの価値を自分事として理解せず、部下やSIerに丸投げする構図が浸透しています。また、ビジネスとIT技術を紐づけて戦略を立てるCIOやCISOといった役職すら設置されていないケースも多々あります。
さて、経営層から末端の実務職まで全部が腐っているかというとそうではありません。特に、技術的な課題を解決するという一点においては国内のエンジニアも負けていないと思います。ただ、性能がよくなったとか新しいことができるようになったとか、技術課題を解決するだけではお金は稼げません。そういった技術をビジネスモデルに組み込み事業化したり、技術とビジネスリスクを紐づけて会社を守るアーキテクトの人材も重要になります。このように、ビジネスとIT技術の両方を理解している人材がユーザ企業で不足しているため、上述のような頓珍漢な主張が平気で出てくるのではないでしょうか。前述の例でいえば、「自社ではなぜ境界モデルではダメでゼロトラストなのか」「自社に必要な対策はランサムウェア対策のみなのか」「そもそも自社が責任を持って運用に取り組んでいればこのインシデントはおきなかったのでは」、こういった問いに答えられる人員がいればこんな溜息がでるような状態にはならないはずです。とりわけ、企業において最も権限を持っている経営層があたり前のことをできていない、責任を果たしていないことが大きな問題といえます。
少しセキュリティ寄りの話になったので、DXとかの話もすると、国内企業では今までのなんとなくうまくいっていたのでプロセスを少しづつ局所的に変えていくといったアプローチがよくみられます。
これは逆説的には、全体を最適化して全体を刷新するような文化がないことの表れになります。局所的な問題解決はDXのような概念と相性が悪く、これもトップダウンで方針を改善しない経営者の怠慢と言えます。
技術者を経営者にすべきという意見もありますが、あくまでも企業の中心はビジネスですので、ビジネスに精通した人員がオプションでIT技術を学ぶのが正しいあり方な気はします。
ここまで経営層をディスリましたが、IT技術を自分事としてとらえる文化を阻害している原因は丸投げの権化であるSI事業にもあると思われます。
SIerは作れと言われればなんでもシステムを作ってしまいますので、魚の釣り方ではなく魚を与えるようなアプローチを長い間続けてきました。
ただ、業界ごとのビジネスを真に理解しているのは他でもないユーザ企業自身ですので、やはり内製化などを推進してそういった文化・体制を醸成していくことが重要なはずです。
SIerは即刻滅びるべきといった意見もあると思いますが、自力で開発も運用もできないユーザ企業も道連れになってしまうので、短期的にはNOで長期的には同意です。
また、こういった構造を改善はおろか推進してきた国自身にも大きな責任がありますので、トップダウンで解決するような政策にも期待したいところです。
他にも闇深い問題はたくさんありそうですが、一気に取り扱うと疲れるので今日はここまで。
