古い業務システムを放置すると起きるリスク5選

今回は、古い業務システムを放置すると起きるリスク5選です。

古いシステムをメンテナンスを行うことなく利用し続けることで発生するリスクは数え切れませんが、その中でも特にハイリスクであったり、頻発するリスクを5件リストアップしてご紹介します。

では、さっそくはじめていきましょう！

はじめに

古い業務システムとは何か(レガシーシステムの定義)

まず、本稿で解説している”古い業務システム”とは何なのか？について、定義しておきます。

レガシーシステムとは、導入から長期間が経過し、現代の技術基準やビジネス要件に適合しなくなった業務システムを指します。具体的には以下のような特徴を持つシステムが該当します。

• 開発から10年以上が経過し、ベンダーのサポートが終了または終了間近
• COBOLやVisual Basic 6.0など、現在では主流でない言語で構築されている
• オンプレミス環境で稼働し、クラウド技術との連携が困難
• システムの仕様書が不完全、または存在しない
• 特定の担当者しか保守できない状態(属人化)

経済産業省が2018年に発表した「DXレポート」では、2025年までにレガシーシステムを刷新できない場合、年間最大12兆円の経済損失が生じる可能性があると警鐘を鳴らしています。

この問題は「2025年の崖」として広く知られるようになりました。

なぜ今、システム刷新が重要なのか

システム刷新の重要性が高まっている背景には、3つの大きな要因があります。

第一に、技術的負債の急速な拡大です。

古いシステムを維持し続けることで、新技術への対応コストが年々増加しています。

米国の大手リサーチ会社の調査によれば、IT予算の約80%が既存システムの維持管理に費やされ、新規投資に回せる予算はわずか20%程度という企業が多数存在します。

第二に、ビジネス環境の急激な変化です。

COVID-19パンデミックを契機に、リモートワークやデジタルチャネルの重要性が飛躍的に高まりました。柔軟性に欠けるレガシーシステムでは、こうした変化に迅速に対応することが困難です。

第三に、サイバーセキュリティ脅威の高度化です。

2023年のサイバー攻撃の60%以上が、既知の脆弱性を悪用したものであり、サポートが終了した古いシステムは格好の標的となっています。

以上の要因から、システムの刷新への重要性が非常に高まっているのです。

本記事で取り上げる5つのリスクの全体像

本記事では、レガシーシステムを放置することで顕在化する5つの重大なリスクを解説します。これらのリスクは相互に関連し、放置期間が長くなるほど複合的に企業経営を圧迫しているのが現状ですので、今回ご紹介する５つの重大なリスクをチェックしてみてください。

リスク1: セキュリティ脆弱性の増大

サポート終了に伴う脆弱性対応の停止

レガシーシステムが直面する最も深刻なリスクの一つが、セキュリティパッチの提供終了です。

ベンダーによるサポートが終了すると、新たに発見された脆弱性に対する修正プログラムが提供されなくなります。

代表的な例として、Windows Server 2008のサポート終了(2020年1月)が挙げられます。この時点で多くの企業が移行を完了できず、脆弱性を抱えたまま運用を続けざるを得ない状況が生まれました。

IPA(情報処理推進機構)の調査では、サポート終了後もシステムを稼働し続けた企業の約35%が、1年以内にセキュリティインシデントを経験したと報告されています。

サポート終了システムの主な脆弱性には以下のようなものがあります。

• OSレベルの脆弱性(特権昇格、リモートコード実行)
• ミドルウェアの脆弱性(データベース、Webサーバー)
• アプリケーションレイヤーの脆弱性(SQLインジェクション、XSS)
• 暗号化プロトコルの脆弱性(古いTLS/SSL)

実際に発生したセキュリティインシデント事例

2017年に世界中で被害をもたらしたランサムウェア「WannaCry」は、サポートが終了していたWindows XPを含む古いWindowsシステムの脆弱性を突いて拡散しました。

日本国内でも複数の医療機関や製造業でシステムが停止し、業務に深刻な影響が出ました。

参考: JPCERT/CC「WannaCrypt(WannaCry)に関する注意喚起」 ※外部リンク

また、2019年には大手自治体において、サポート終了したデータベースシステムから個人情報が漏洩する事案が発生しました。

この事例では、既知の脆弱性を悪用した不正アクセスにより、約10万件の個人情報が外部に流出し、対応コストは調査費用や補償を含めて数億円規模に達したと報告されています。

データ漏洩時の平均被害額と企業への影響

米国大手の某Sierによれば、データ漏洩1件あたりの平均コストは445万ドル(約6億5千万円)に達しているそうです。

日本国内に限定すると、平均被害額は約4億8千万円にも達すると報告されています。

データ漏洩による影響は金銭的損失だけではありません。

• ブランドイメージの毀損による顧客離れ
• 取引先からの信頼失墜と契約解除
• 株価への悪影響(上場企業の場合)
• 経営層の責任問題と人事的影響
• 従業員のモチベーション低下

特に重要なのは、一度失った信頼を回復するには長期間を要するという点です。調査によれば、データ漏洩を経験した企業の約65%が、完全な信頼回復まで3年以上を要したと回答しています。

コンプライアンス違反リスク

レガシーシステムは、現代の法規制やコンプライアンス要件に対応できないケースが多く見られます。

個人情報保護法は2022年4月に改正され、漏洩時の報告義務や安全管理措置の強化が求められるようになりました。古いシステムでは、これらの要件を満たすログ管理やアクセス制御の実装が技術的に困難な場合があります。

また、クレジットカード業界のセキュリティ基準であるPCI DSSや、医療情報を扱う場合の「医療情報システムの安全管理に関するガイドライン」など、業界固有の規制も年々厳格化しています。

レガシーシステムでこれらの基準を満たすことは極めて困難であり、最悪の場合、業務停止命令などの行政処分を受けるリスクがあります。

リスク2: 維持管理コストの膨張

古いシステム維持にかかる隠れたコスト構造

レガシーシステムの維持管理コストは、表面的な保守費用だけでは測れません。

実際には以下のような「隠れたコスト」が存在します。

技術的負債の利息: システムの複雑性が増すごとに、小さな変更でも多大な工数が必要になります。ある製造業の事例では、新機能追加の工数が5年前と比較して3倍に増加していました。

機会損失コスト: IT予算の大半が既存システムの維持に消費されるため、新規事業やイノベーションへの投資ができなくなります。

統合・連携コスト: 新しいシステムとの連携が必要になるたびに、カスタム開発が発生します。あるサービス業では、CRMシステムとの連携だけで年間2,000万円のコストが発生していました。

隠れたコストは、経理的な数字などで確認することができない為、見えにくこともありますが、実は結構な損失を生み出しているのです。

技術者不足による保守費用の高騰

レガシーシステムで使用される技術に精通したエンジニアは年々減少しています。

特にCOBOLやFORTRANなどの言語は、新規に学習するエンジニアがほとんど存在せず、希少価値が高騰しています。

経済産業省の調査によれば、2020年時点でCOBOL技術者の平均年齢は55歳を超えており、10年以内に多くの技術者が定年を迎えることが予測されています。

この結果、保守費用は以下のように上昇傾向にあります。

• COBOL技術者の単価: 2015年比で約40%上昇
• 緊急対応時の単価: 通常保守の2～3倍
• 外部ベンダー依存による値上げ: 年率5～10%

ある金融機関では、COBOLシステムの保守要員確保のため、定年退職した元社員を高額な契約金で再雇用せざるを得ない状況が続いています。

そもそも論として、未だにCOBOLやFORTRANを使い続ける理由はなんなのか？という議論はあるのですが、、ここでその議論について考えることはやめておきましょう。

新旧システム間のインテグレーションコスト

デジタル変革を進める企業では、新しいクラウドサービスやSaaSを導入する一方で、基幹システムとしてレガシーシステムが残り続けるケースが一般的です。

この「二重構造」が大きなコスト要因となります。

データ連携の複雑化: レガシーシステムは標準的なAPI(REST、GraphQLなど)をサポートしていないため、カスタムの連携プログラム開発が必要です。

データ形式の変換: 古いシステムの固定長データや独自フォーマットを、現代的なJSON形式などに変換する処理が常時必要になります。

リアルタイム性の欠如: バッチ処理中心の古いシステムでは、リアルタイムデータ連携が困難で、ビジネスの機動性を損ないます。

TCO(総所有コスト)の観点から見た経済的損失

システムのTCOには、直接的なコストだけでなく、間接的なコストも含めて評価する必要があります。

TCOの評価について解説しはじめると、一冊の本ができてしまう程の文字量になってしまいますので、ここでは割愛しますが、某調査によると、

レガシーシステムのTCOは、同等機能のモダンシステムと比較して平均で2.5倍に達するとされています。さらに重要なのは、このコスト差が年々拡大している点です。

ある流通業の実例では、15年運用したオンプレミスシステムをクラウドベースの新システムに刷新した結果、5年間のTCOが従来比で45%削減され、投資回収期間は2.5年と算出されました。

次回は、「リスク3: ビジネス機会の損失」「リスク4: 属人化と技術継承の断絶」について詳しく解説します。

解説記事「古い業務システムを放置すると起きるリスク5選」の続きは

現在準備中です。

公開までお待ちください。

APPSWINGBYは、最先端の技術の活用と、お客様のビジネスに最適な形で実装する専門知識を有しております。システム刷新（モダナイゼーション）やシステムリプレース、新規サービスの設計・開発、既存システムの改修（リファクタリング、リアーキテクチャ）、DevOps環境の構築、ハイブリッドクラウド環境の構築、技術サポートなど提供しています。

貴社のレガシーシステムの刷新についてご相談されたい方は、お問い合わせフォームからお気軽にご連絡ください。AI開発とSIの専門家が、貴社の課題解決をサポートいたします。

システム開発にお困りではありませんか？

もしも今現在、

• どのように開発を依頼したらよいかわからない
• どのように開発を依頼したらよいかわからない
• 企画や要件定義の段階から依頼できるのか知りたい
• システム開発費用がどれくらいかかるのか知りたい
• 見積りがほしい

など、システム開発に関するご相談・ご依頼がございましたら、お気軽にご相談ください。APPSWINGBYでは、「アプリでお客様のビジネスを加速し、お客様とともにビジネスの成功と未来を形作ること」をミッションとしています。大手SIerやＲ＆Ｄ部門で培った経験やノウハウ、高度な技術力でお客様の「やりたい」を実現します。

今すぐ相談

まずはお気軽にご相談ください

この記事を書いた人

株式会社APPSWINGBY マーケティング

APPSWINGBY（アップスイングバイ）は、アプリケーション開発事業を通して、お客様のビジネスの加速に貢献することを目指すITソリューションを提供する会社です。

ご支援業種

情報・通信、医療、製造、金融（銀行・証券・保険・決済）、メディア、流通・EC・運輸 など多数

株式会社APPSWINGBY マーケティング

APPSWINGBY（アップスイングバイ）は、アプリケーション開発事業を通して、お客様のビジネスの加速に貢献することを目指すITソリューションを提供する会社です。

ご支援業種

情報・通信、医療、製造、金融（銀行・証券・保険・決済）、メディア、流通・EC・運輸 など多数

監修

株式会社APPSWINGBY 　CTO 川嶋秀一

動画系スタートアップや東証プライム上場企業のR&D部門を経て、2019年5月より株式会社APPSWINGBY 取締役兼CTO。
Webシステム開発からアプリ開発、AI導入、リアーキテクチャ、リファクタリングプロジェクトまで幅広く携わる。
C, C++, C#, JavaScript, TypeScript, Go, Python, PHP, Java などに精通し、Vue.js, React, Angular, Flutterを活用した開発経験を持つ。
特にGoのシンプルさと高パフォーマンスを好み、マイクロサービス開発やリファクタリングに強みを持つ。
「レガシーと最新技術の橋渡し」をテーマに、エンジニアリングを通じて事業の成長を支えることに情熱を注いでいる。

株式会社APPSWINGBY 　CTO 川嶋秀一

動画系スタートアップや東証プライム上場企業のR&D部門を経て、2019年5月より株式会社APPSWINGBY 取締役兼CTO。
Webシステム開発からアプリ開発、AI導入、リアーキテクチャ、リファクタリングプロジェクトまで幅広く携わる。
C, C++, C#, JavaScript, TypeScript, Go, Python, PHP, Java などに精通し、Vue.js, React, Angular, Flutterを活用した開発経験を持つ。
特にGoのシンプルさと高パフォーマンスを好み、マイクロサービス開発やリファクタリングに強みを持つ。
「レガシーと最新技術の橋渡し」をテーマに、エンジニアリングを通じて事業の成長を支えることに情熱を注いでいる。