業務のIT化やDX推進、また、サイバー犯罪の増加により、企業活動における情報システム（情シス）部門の重要性は年々高まっています。一方で、情シス人材は慢性的に不足しており、採用市場における競争率は高く、多くの企業が優秀な人材の確保に苦労している状況が見られます。特に中小規模の企業は、大企業に比べて大きな人件費をかけることが難しく、より深刻な課題となっていることが多いです。

人手が足りない、専門知識が不足している、しかし情シス領域を強化しなければならない。こうした場合、考えられる解決策の一つが、自社の業務を外部の専門業者に委託する「アウトソーシング」です。

ただし、アウトソーシングによってすべての課題が解決するわけではなく、メリット・デメリットが存在し、また業務の内容によっては外部に委託しにくいものもあります。この記事では、アウトソースしやすい業務とアウトソースしにくい業務を紹介します。

まずは情シス部門の業務をアウトソースすることのメリットとデメリットを紹介します。

冒頭で述べたように、情シス部門は多くの企業で慢性的な人材不足状態にあり、アウトソーシングによって、「情シス業務のリソースを確保できる」というのは大きなメリットといえます。

ただし、すべての情シス業務をアウトソースできるわけではないので、可能な限り社内にも情シス担当者を用意することが推奨されます。アウトソースしやすい業務、アウトソースしにくい業務については、「情シスが行う業務を整理し、アウトソースしやすい業務を見極める」の章で詳しく解説します。

アウトソーシングのメリットの一つに、「属人化の解消」があります。

中小企業の情シス部門では、人材を確保できたとしても、大きな組織にすることは難しく、1人または数人の担当者が多岐にわたる業務を担うケースが多いです。結果、ある担当者のスキルや経験に業務が依存してしまう「属人化」が発生することがあります。その人が休んだり、退職したりすると業務が遂行できなくなってしまい支障をきたすのが、属人化の大きなリスクです。

業務をアウトソースすることで、この問題を解消することが可能です。アウトソーシングによって組織として情シス業務を行うための適切なスキームができ、特定の人に依存しない体制を作ることができます。

アウトソーシングのもう一つのメリットとして「業務負荷の軽減」があります。担当者が行う業務の一部をアウトソースすることで、その人のリソースをより重要な業務に集中できるようになるでしょう。

例えば、中小企業では、情シスの専任担当者がおらず、総務などと兼任しているケースがありますが、情シスの一部の業務を外部に委託できれば、総務の仕事により多くのリソースを割くことができます。

また、情シスの業務には、IT戦略の企画やDX推進といった「攻めの業務」と、システムやネットワークの安定稼働のための保守・運用など、いわゆる「守りの業務」があります。アウトソースしやすい「守りの業務」を外注することで、社内の情シス担当者はアウトソースしにくい「攻めの業務」に集中することができます。「攻めの業務」や「守りの業務」については、「情シスが行う業務を整理し、アウトソースしやすい業務を見極める」の章で詳しく解説します。

アウトソーシングの大きなメリットとして「業務品質の向上」も挙げられます。専門業者に業務を委託することで、その分野の専門知識や技術、経験を活かした高品質なサービスを受けられるからです。

例えば、中小企業の情シス担当者の中には、少しパソコンに詳しいからという理由で任せられている人もいるでしょう。こうしたケースでは、情シス業務に必要な高度なIT知識を独学で獲得せねばなりません。また、こうして得られた知見を社内で共有できる人がいないため、ノウハウも溜まっていきません。

アウトソーシングを利用し、外部の専門家の知見を頼ることで、ノウハウ不足を解消し、より高い品質のIT業務を行うことができます。また、外部の知見を積極的に吸収する機会としても活用できるでしょう。

「品質管理の難しさ」は、アウトソーシングのデメリットとしてしばしば指摘されます。これは、業務を外部の業者に委託することで、その業務の品質に対する直接的なコントロール力が自社内から失われるためです。

外部の業者に仕事を任せるときには、その進行状況や品質を評価し、必要な改善を指示するための監督が必要です。業者に丸投げしてしまっては、品質を正しく管理することはできません。アウトソーシングする場合でも、自社側の担当者には最低限の知識やそれを得るための時間が要求されます。

業務を委託する外部業者のことを「ベンダー」とも言います。そして「ベンダーに依存しやすい」という点も、アウトソーシングのデメリットの一つです。これは、業務を任せきりにしてしまい、業務になにか問題があったときに自社で解決することができないということに繋がります。こうした特定のベンダーに依存してしまっている状況は「ベンダーロックイン」と表現されます。

ベンダーロックイン状態になると、他社に切り替える、あるいは自社で業務を遂行することが難しくなるので、ベンダーが値上げなどをリクエストしてきた際に交渉力が低くなってしまいます。また、ベンダーがなんらかの理由で、サービスを停止したりすると、自社の業務に大きな影響が出るリスクもあります。

これらのリスクを軽減するためには、やはり自社内に情シス担当者を置き、一定の知識やスキルを保持するなどの対策が必要となります。

ベンダーに情シス業務を委託している場合でも、自社でセキュリティリスクを把握しておかねばなりません。

いまや社内の重要な情報はデジタルデータとして扱われることがほとんどでしょう。情シス業務をアウトソースするということは、重要情報を社外の人物が扱うことを許容するということです。

データの利用者が増えると、それだけサイバー攻撃や情報漏えいのリスクは高まります。こうしたリスクを低減するためには、自社でも積極的にセキュリティに対する意識を高め、どのような対策が必要かを判断できる状態にしておく必要があります。また、委託先の業者が自社が求めるセキュリティレベルに達しているかを確認し、必要最低限となるような適切なアクセス管理を行わねばならず、こうしたセキュリティに対するコストは継続的に企業に要求されます。個人情報保護法やGDPR（General Data Protection Regulation）などのデータ保護に関する法規制についても、自社と外部業者が共に正しく理解しておく必要があります。

ベンダーに業務を委託し、協調をとる上では、もちろんベンダーとのコミュニケーションが不可欠であり、このためのコミュニケーションコストも、アウトソーシングのデメリットと言えるでしょう。

一部であったとしても自社の業務を委託するためには、自社の事業内容や利用しているシステムについて理解してもらう必要があります。専門性の高い業界などでは、システムや業界慣習などの理解に特に時間と労力が必要になり、その分、ベンダーとは濃密なコミュニケーションが必要になってきます。

コミュニケーションが十分ではなく、ベンダーの理解が不足した状態では、重大なセキュリティインシデントに発展する可能性があるため、疎かにすることはできません。

「金銭的なコストがかかる」ということも、もちろん理解しておく必要があります。

業務を委託する際には、日々業務を行ってもらうためのサービス料金だけでなく、契約締結やシステム移行、業務の引き継ぎなどにより初期コストが発生します。また、それ以外にも、システムのアップデートや保守、改善要求、追加作業などにより追加のコストが生じることがあります。

ただし、前述のとおり、専門性の高いスキルを持った人材を維持するためには高い人件費がかかることが多く、それと比較して安価になるのであれば、アウトソーシングにはコストメリットはあると言えます。

前述の通り、情シスの業務はすべてベンダーに丸投げできる、という性質のものではなく、外部委託するのに適した業務を見極める必要があります。委託できる業務を判断するうえでは、「ノンコア業務」と「コア業務」といった情シス業務の整理が参照できるでしょう。それぞれがどのような業務かを詳しく解説します。

情シス部門のノンコア業務とは、「守りの業務」とも呼ばれ、直接的にビジネスの成長や競争力を支えるものではないが、組織の運営に必要な補助的な業務を指します。

業界や市場、事業内容に関する理解の必要性が比較的低いため、外部の業者へ委託しやすい業務と言えます。

「アウトソーシングしやすい情シス業務（ノンコア業務）」の章で詳しく解説します。

一方のコア業務とは、「攻めの業務」とも呼ばれ、その企業のビジネス戦略を直接的に支え、競争力を強化するための重要な業務を指します。

この業務は、業界や市場、事業内容について、深い理解が必要とされるため、外部の業者へ委託しにくい業務といえます。

「アウトソーシングしにくい情シス業務（コア業務）」の章で詳しく解説します。

ここからは「ノンコア業務」について具体例とともに紹介します。ノンコア業務は「専門知識が必要だが、作業そのものは定型化・ルーティン化されている」性質であることが多いので、アウトソースしやすい業務といえます。

PCセッティング・キッティングは、新たに購入したパソコンやモバイルデバイスを使用できる状態に設定するための作業を指します。作業自体はシンプルですが、設定しなければいけないデバイスの数が膨大にあると多くの時間がかかるため、アウトソースすることで担当者の負担を軽減できます。

パソコンに必要なオペレーティングシステム（Windows、macOSなど）と、業務に必要なソフトウェア（Microsoft Office、メールクライアント、特定の業界専用ソフトウェアなど）をインストールします。

パソコンがインターネットや社内ネットワークに接続できるように設定します。社外のネットワークへ接続するためにWi-Fiや有線LANの設定、社内のネットワークに接続するためにVPNの設定を行います。

アンチウイルスソフトのインストール、ファイアウォールの設定、データ暗号化の設定など、デバイスとデータを保護するための設定を行います。

使用者のためのユーザーアカウントを作成し、適切なアクセス権限を設定します。

社内ヘルプデスクは、情シス部門が社内の従業員からのIT関連の問い合わせやトラブルに対応する業務を指します。業務の効率化のために新しいITツールを導入したりすると、ユーザー（社員）が慣れるまでは問い合わせが増えるといったケースがあり、長期的に見れば効率化しますが、導入直後には情シス業務を圧迫するケースが多いので、外部に委託することで負担を減らすことができます。

パソコンやネットワーク、ソフトウェアなどの技術的な問題が発生した場合、その解決のための支援を行います。具体的には、問題の特定、原因の追求、解決策の提案、修理の手配などを実施します。

こうしたIT環境やツールの不具合によって業務が行えない場合の解決を行うのがトラブルシューティングです。

社員からのIT関連の質問に答えます。これには、ソフトウェアの使い方、新しい技術の導入方法、セキュリティポリシー等に関する説明が含まれます。

業務が行えないわけではないが、ツールの使い方など、ITに関連した問い合わせを受け付けるのが問い合わせ対応です。

IT資産管理は、企業が所有する全てのIT関連の資産（ハードウェア、ソフトウェア、ネットワーク機器など）を効率的かつ効果的に管理し、最大限に活用するための業務です。

現代の企業において、業務のほとんどはデジタル化されているため、保有するIT資産は膨大になっています。具体的には、以下のようなものを管理する必要があります。

企業が所有するすべてのIT資産の詳細なリスト（これをインベントリーと言います）を作成し、更新します。膨大な数のIT資産について、各資産の種類、数量、配置場所、購入日、保証期間などの情報を管理するためには、非常に多くの手間と労力がかかります。

IT資産のライフサイクル（購入、配置、保守、アップグレード、廃棄までのサイクル）全体を管理します。例えば、退職者のデバイスを再利用する場合には、正しくデータを消去してあらためてキッティングする必要があります。このように適切に管理することができれば、IT資産を最大限に活用し、コストを最適化することができます。

不正アクセスやデータ漏えいなどのリスクを防ぐため、各IT資産をセキュリティの観点から適切に監視・制御します。例えば、ソフトウェアのバージョンが古くて、脆弱性への対策が行われていない端末がある場合、その脆弱性から攻撃を受ける可能性があります。配布しているデバイスにインストールされているソフトウェアが常に最新版になっているかどうか監視し、必要に応じてバージョンアップもコントロールすることが求められます。

アカウント・ライセンス管理は、その名の通り、従業員が使用する各種のアカウントやライセンスを管理する業務です。現代では、様々なクラウドサービスを利用することが一般的になっているため、管理すべきアカウントやライセンスは多岐にわたります。アウトソースすることで、管理を効率化することができます。

なお、企業が購入するソフトウェアなどの使用権のことを「ライセンス」と呼び、そのライセンスを従業員一人ひとりに割り当てたものを「アカウント」と呼びます。

社員一人ひとりが使用するITシステムやネットワークへのアクセスを制御するためのアカウントを管理します。具体的には、新しいアカウントの作成、既存アカウントの更新や削除、パスワードのリセット、アクセス権限の設定などを行います。社員の入社・退社・異動時のアカウント情報の変更も行います。

企業が使用するソフトウェアのライセンスを管理します。ソフトウェアは通常、特定の条件（使用者数、使用期間など）に基づいて使用が許可されるため、それらの条件を遵守し、必要なライセンスを適切に取得・更新・維持することが求められます。管理が疎かな場合、意図せずソフトウェアを規約と反した形で使用してしまうなどのリスクがあります。また、無駄なライセンス購入を避けるため、現在保有しているライセンスの使用状況を把握することも重要です。

繰り返しになりますが、現代のビジネスは高度にデジタル化されているため、安定した通信が可能なネットワークが欠かせません。しかし、ネットワークの安定性は、問題が起こらない限り軽視されがちです。ユーザーには「つながって当たり前」と思われていますが、セキュリティ強度を保ちながら、コストを抑え、安定した高速な通信を行うことができるネットワークの設計や構築には、専門的なノウハウが必要です。外部の専門家を頼ることは、非常に有意義だと言えます。

まず、企業のビジネスニーズと技術要件に基づいて、ネットワークの全体構造を設計します。具体的には、平常時はどのくらいのトラフィック（通信量）が見込まれるのか、アクセスが集中する場面では最大どれくらいのトラフィックになり得るのか、などによって必要な通信帯域を推定します。また、複数の拠点がある場合は、どういうルートで社内通信をさせるのか、インターネットへアクセスさせるのか、などの経路に関する設計も行います。このとき、セキュリティの強度や障害時の冗長性、将来の拡張性なども考慮に入れる必要があります。

設計に基づいて、必要なネットワーク機器（ルーター、スイッチ、ファイアウォール等）を選定し、実際に手配します。最近では、物理的な機器を用意する必要がなく、クラウドサービスとして必要な機能を利用できるものもあります。

選定したネットワーク機器を設置し、設計通りに接続します。また、各機器の設定を行い、ネットワークを稼働させます。このとき、設計通りに動作するか、性能が要件を満たしているかテストを行うことも重要です。問題があれば、設定を見直し最適な状態に修正します。

構築が終わった後も、ネットワークが問題なく稼働しているか監視を続ける必要があります。必要に応じて、パフォーマンス監視、設定変更、障害対応、セキュリティパッチの適用などを行います。

物理的なネットワーク機器を用意することなく、機能をクラウドサービスとして利用できるSDN/NFVサービスを活用することで、ネットワーク管理をラクに行うことができます。

セキュリティ対策は、サイバー犯罪が増加傾向にある現在、情シス業務のなかでも重要度が高まっています。トラブルが起こらないようにするための取り組みのため、ネットワーク・インフラと同様に問題が起こらない限り軽視されがちですが、もちろん疎かにすることはできない、情シスの重要な業務です。うまくアウトソースすることで、効率的に対応するのがおすすめです。

セキュリティポリシーでは、以下のような項目を定義します。

不正アクセスやマルウェアからシステムを守るため、ファイアウォールやアンチウイルスソフトを適切に設定し、定期的に更新します。

ファイアウォールは、ネットワークの出入り口に設置することで、防火壁のように不正アクセスを防ぐことができます。ファイアウォールに加え、より高度な複数のセキュリティ機能を統合したものがUTMです。これらのセキュリティ対策も日々の運用が必要のため、マネージドサービスを利用することで、運用負担を軽減することができます。

アンチウイルスソフトは、セキュリティに関する基本的な対策の一つです。近年では、ウイルスの侵入を完全に防ぐことはできないという前提に立ち、侵入を許してしまった後にできるだけ被害を出さないようにする対策「EDR」が注目を集めています。

Webサイトやアプリなど、外部に公開されるシステムは常に攻撃のターゲットとなるリスクに晒されています。リリース時には発見されていなかった脆弱性を突いた攻撃「ゼロデイ攻撃」を受けないためにも、定期的に脆弱性がないか確認することが重要です。高い専門性が必要になるので、外部サービスを活用するのがおすすめです。

セキュリティ侵害が発生した場合には、迅速に対応し、被害を最小限に抑えるためのプロセスを遂行します。社内にセキュリティ人材がいなくても、セキュリティのスペシャリストによる24時間365日の監視サービスをアウトソースすることができます。セキュリティインシデントの発見から分析、対処までを行うことができる組織のことをセキュリティオペレーションセンター（SOC）と呼び、その組織をまるごとアウトソースできるサービスです。

システムやネットワークを社員が安全に使いこなすためのサポートも情シスの業務の一つです。社員がITに関する知識を習得できるように研修やトレーニングを実施することで、組織全体で安全なIT活用が実践できるように支援します。

実際に会議室に集まって研修を行ったり、eラーニングなどで学んでもらいます。近年、被害が増えている標的型攻撃メール（関係者からのメールを装って、ウイルスを仕込んだファイルをダウンロードさせたり、フィッシングサイトへ誘導したりする、メールを使った攻撃）を実践的なシチュエーションでトレーニングできるサービスがあります。

続いて、情シス業務における「コア業務」に関して解説します。コア業務は、自社の事業内容やそれを取り巻く業界や市場といった、外部からは捉えにくい情報を前提知識として必要とすることから、アウトソースしにくいと言えます。逆説的には、社員情シスのリソースが必要になるのは、こうしたコア業務です。アウトソース可能な業務は外部に委託し、コア業務のために社員情シスのリソースを確保するというのが、アウトソース戦略の基本となるでしょう。

IT領域において自社が何を強化し、そのためにどんな投資を行うのか、といった要素を検討します。IT戦略は、企業全体のビジネス戦略や目標を理解し、それに対応し策定する必要があり、企業、そしてそのビジネスをよく理解した社内情シスの存在が不可欠になります。

新たなIT技術の動向を常に把握し、それが企業の業務やサービスにどのように利用できるかを検討します。クラウドコンピューティング、AI、ブロックチェーンなど、日毎に登場する新技術はビジネスの可能性を広げる重要な要素であり、日常的な情報キャッチアップが求められる業務です。

ITインフラやシステムの導入・更新、IT人材の育成などに必要な投資計画を企業の財務戦略と紐づけながら策定します。経営的な観点と技術的な観点の両方が必要となる高度な業務です。

セキュリティリスクやシステム障害のリスクなど、IT活動に伴うリスクを評価し、それらを軽減するための対策を立てます。セキュリティ対策は、費用対効果が図りにくく、コストをかければ良いというものではありません。どれくらいのリスクがあり、そのためにどれくらい対策を講じるか、その判断にもまた、経営的な観点と技術的な観点がどちらも求められます。

ITガバナンスとは、ITの活用により、企業価値を最大化するための行動のことをいいます。情シス部門ではない経営層やその他の従業員、株主や顧客など、外部の利害関係者に対し、上記のIT投資計画やリスク管理の妥当性について、方針を示し、監督・執行することが求められます。

「データ分析」は情シス部門が行う重要な業務の一つで、企業内外から収集される大量のデータから有益な情報や知見を抽出する過程を指します。多くの場合、情シス部門だけではデータ分析は行えませんが、データ分析に情シス部門は不可欠です。最近耳にする機会の増えた「データサイエンティスト」と協力することになります。

データ分析を行う際、まずは分析対象となるデータを収集します。情シス部門は社内システムに精通しているため、企業の内部データ（売上データや顧客データ等）の収集を担当します。さらにマーケティング部門のリサーチャーが外部データ（市場データや競合情報等）を収集します。

ここからは、主にデータサイエンティストの仕事になります。収集したデータの中からエラーや不正確なデータを除去し、分析に適した形に整理します。欠損値の補完や異常値の削除といったエンジニアとしての専門知識だけでなく、企業のビジネスの流れや展望など、その企業固有の文脈把握が求められる業務です。

整理されたデータに対して統計的な分析や機械学習などの手法を適用し、データのパターンや関連性、予測モデル等、ビジネスを前進させるための情報へと構築します。その後、分析結果をビジネスチームに伝えるために、視覚的なレポートを作成したり、プレゼンテーションを行ったりします。データを受け取ったビジネスチームは、分析結果に基づいて、ビジネスの改善策や新しい戦略を策定します。

データ分析は、情シス部門だけでなく、営業や製品開発、マーケティングなど様々な部門との協調が不可欠なことから、社内各所とギャップなくコミュニケーションできる社員情シスの存在が特に求められる業務と言えるでしょう。

デジタルトランスフォーメーション（DX）は、企業がデジタル技術を活用してビジネスや組織を根本的に変革する取り組みを指します。このデジタルトランスフォーメーションを推進する役割を情シス部門が担うことが多いです。

まず、企業全体のビジネス戦略に基づいたDX戦略を策定します。これには、どのようなデジタル技術をどのように活用するか、そしてそれによってどのようなビジネス価値を生み出すかという視点が必要です。

デジタル技術の導入に伴い、業務プロセスを見直し、効率化や自動化を図ります。また、新しいビジネスモデルやサービスを生み出すこともあります。

がその価値を理解する必要があります。そのためには、組織体制や社員のマインドも変革が必要です。単なるIT化ではなく「トランスフォーメーション = ”変革”」を起こすためには、会社全体が変わる覚悟が必要になります。