SysAdmin's Group システム管理者の会
日本最大規模の
システム管理者のネットワーク

コラムを楽しむ

システム管理に携わる人たちが語る。様々な話題満載のコラムをお届けします。

品川海外システム運用研究会 第13回 セキュリティ対策を集約せよ ―クラウド時代のリスク管理―
2011年10月20日 19:55

 2010年の年末に世間を騒がせたWikileaksによる機密情報漏えいの問題は、ターゲットとなった米国政府には大きな脅威をもたらすとともに、多くの政府機関、民間企業に対してインターネットの世界におけるセキュリティ対策の在り方に改めて疑問を投じた。この問題ではBank Of Americaのように、まだ何も内部情報が漏れていないのにも関わらず、ウィキリークス創始者ジュリアン・アサンジ氏が「次のターゲットは米大手銀行。来年早々にも内部文書を大量にリークする」と予告するだけで、株価が3%も落ちてしまうケースも出てきている。

 問題の本質は、近年高度に進化したIT技術そのものよりも、それにより大量の企業データを極めて細かく集約されるようになった情報の管理の仕組みにある。InformationWeek2010年に実施した北米企業のITリスク管理に関する調査によると、35%以上の企業が2011年度のIT関連予算においてセキュリティ対策費を増額すると回答したのに対し、減額するとした企業はほとんどない、という結果であった。クラウド・コンピューティングの浸透によるインターネット環境へのプラットフォーム依存、モバイル端末を使った業務への変化、企業活動とソーシャルネットワークサービスへの適用、などますますオープンなIT基盤がそろえられる中で、本当に必要なのはどのようなセキュリティ対策なのだろうか?

CRO(Chief Risk Officer)に集約するリスク管理

 前述のInformationWeekの調査によると、企業において今後リスク管理対策として進めている取り組みとして、40%以上の企業が「より包括的にリスク管理を行う体制をとる」という回答が得られた。これはリスク対策のポイントが業務内容ごとに異なることから各部門任せにしていたリスク管理を、企業全体において集約することで、情報漏えいの出口となる部分を俯瞰的に管理することを目的としている。リスクとはもはや個別事案の対処ではなく、リスクという視点を中心とした管理(risk-centric)を浸透させる仕組みにしなければ防ぐことができない、というものである。

そこで現在注目されているのは、企業にCRO(Chief Risk Officer)のポジションを用意する動きである。前述の調査によると、CROを設けて企業のリスク管理をまとめている企業は3%しかないという回答状況ではあるが、「包括的なリスク管理」を取り入れるためには、組織の中にリスク管理を統括する部門を作ることが効果的であり、徐々に注目を浴びつつある。このポジションの理想としては、情報システムの技術のノウハウがあり、財務、業務運用の構造がわかる人材が望まれるが、何よりもこの人材が企業内に「リスク管理標準」を策定し、確実に情報漏えいを抑えるための規則として徹底させることで、企業におけるリスク管理のパフォーマンスが大幅に向上するとみられている。

リスク対策への投資とそのハードル

前述の調査によると、企業内に包括的にリスク管理標準を定めて浸透させることによる投資効果は、31%の回答者は時間・費用とも多少節約できる、30%は時間・費用とも大幅に節約できる、と前向きな回答が多くみられている。しかしその一方で、65%の回答者においては業務運用・財務などへのリスク管理標準が十分組み込まれていないとされ、その背景として近年急速に進んだ社内業務の「グローバル化」「アウトソーシング」の対策が不十分であることが指摘されている。

 では「グローバル化」「アウトソーシング」に対しては個別にリスク対策を講じるべきなのか?「リスク管理を集約する」という視点からすると、むしろリスク管理標準の徹底を前提に進めるべきであり、対策を急ぐあまりに国別・業務別の例外を増やすことによるコスト増が、長期的にはリスク管理標準の徹底を脅かすリスクとなりうると考える方が良いと思われる。ハードルは将来的な投資効果を考え直すチャンスと考えるべきである。

クラウド化に動くリスク対策ベンダー

ベンダー側もリスク対策に対するユーザの動きを黙って待っている訳ではない。クラウド・コンピューティングの市場が広がる中、新たな包括的リスト管理のソリューションを提案するために、大企業を中心にGRCGovernance, Risk and Compliance)というカテゴリのリスク管理市場の獲得を狙う動きが活発化しつつある。数年前まではSOX法対策などの内部統制支援ツールとして注目された分野が、再度脚光を浴びはじめている形である。

EMC社 は業種や業態を問わずITセキュリティや財務・法務・人事など多くの企業に共通する業務を統合管理するGRCベンダーのArcher社を、 IBM社 は 包括的なコンプライアンス・リスク管理のソリューションを提供するベンダーOpenPages社を買収している。いずれもオンプレミス版・SaaS版の両製品を提供しているのが特長である。

面白いのは、従来のソフトウェアベンダーとは異質の領域からこの市場への参入が始まっていることである。大手通信社ロイターを傘下に保有するカナダの情報サービス企業 Thomson Reuters社は、同社の財務・法務管理のサービスとして内部統制プロセス管理ツールである Paisleyを買収した。また北米市場の代表的な株価指数S&P500で知られる信用格付機関Standard & Poor’sも企業のリスク管理部門を設立し、金融関連・保険関連の企業を対象としたサービスに参入しようとしている。

 

リスク管理は大企業ほど組織の隅々にまで徹底させることが難しいが、大企業ほど漏えいが起きたときに対するダメージも大きい。ゆえに問題が起きたときほどその結果に目が注がれるが、問題を引き起こした背景は既に常時のリスク管理業務の中にあらわれている。漏れる水とあとから塞ぐための対応に追われる前に、漏らさないための常時の対応を行うのが、リスク中心管理の考え方でありリスク管理標準作成の前提であることを改めて念頭に置きたい。

 

参考:

Risk Avengers
(Informationweek Jan 31. 2011)

品川海外システム運用研究会
品川港南口桟橋ちかく。 頑張れば東京湾を見渡せる、とある会社の会議室で、東京湾の向こうに広がる太平洋と世界に思いを馳せ、海外のビジネス市場でどのようなITシステムがトレンドとなっては廃れていくのか、またそれらを支える技術はどんなもので、私たちの生活やビジネス環境はどう変わっていくのかを、海外システムに興味を持つ営業やマーケティング、技術者が集まり、夜な夜な熱い論議を交わします。 たまにはビールを片手に。 その論議を経たレポートを、海外システム通信としてシステム管理者の会ポータルサイトで公開! 海外に出張しているシステム管理者の方が、「現地ではこうだよ。」なんてコメントしてくれたらいいなと期待しつつ、皆様にお届けいたします。
記事一覧へ
筆者紹介

品川海外システム運用研究会

研究会メンバ:

・K谷リーダ
わが研究会の頼れるリーダ。
NYでの営業経験を持つ技術者。もうすぐ2歳になる息子にぞっこん。
・K玉
お客様のシステムを支えるサポート技術者。
スペイン留学時に学んだパエリア作りをメンバに教えてくれるなど、社内にスペインの風を運ぶ。
・U田
大学・院と情報システムを専攻した生粋の技術者。
在学時と就職後に海外プレゼン経験あり。
研究会での的確なアドバイスはさすがとメンバをうならせる。
・W田
アメリカ留学での語学を活かし、海外営業担当に。
興味深い記事や面白いニュースを研究会に持ってきてくれる。
たしなむお酒も国際派?
・N村
サポートから転部した新米マーケティング担当。
小さい頃から観ていたSound Of Music のビデオのおかげで発音だけはいいが、英語の記事を読むのにいつも一苦労。

コメントを書く

未ログイン: ログインする

コメント: ログイン(会員登録)すると、コメントを書き込むことができます。

  • 新着Q&A
  • 最新の回答
回答数:22019年11月12日

システム管理者認定講座<全コース共通>試験のみ受験希望の方はこちら

動画で見るセミナー
動画で見るセミナー

2020年7月に開催されました第14回システム管理者の会 感謝の日イベントにおきまして、第3回システム管理者アワード 表彰式が執り行われました。 表彰式の様子と、株式会社クエスト様、ニッセイ情報テクノロジー株式会社様、株式会社山櫻様よりご紹介いただきました各社の活動をご覧ください。

個人情報保護方針
運営者につい て
利用規約
サイトマップ