2010年の年末に世間を騒がせたWikileaksによる機密情報漏えいの問題は、ターゲットとなった米国政府には大きな脅威をもたらすとともに、多くの政府機関、民間企業に対してインターネットの世界におけるセキュリティ対策の在り方に改めて疑問を投じた。この問題ではBank Of Americaのように、まだ何も内部情報が漏れていないのにも関わらず、ウィキリークス創始者ジュリアン・アサンジ氏が「次のターゲットは米大手銀行。来年早々にも内部文書を大量にリークする」と予告するだけで、株価が3%も落ちてしまうケースも出てきている。
問題の本質は、近年高度に進化したIT技術そのものよりも、それにより大量の企業データを極めて細かく集約されるようになった情報の管理の仕組みにある。InformationWeekが2010年に実施した北米企業のITリスク管理に関する調査によると、35%以上の企業が2011年度のIT関連予算においてセキュリティ対策費を増額すると回答したのに対し、減額するとした企業はほとんどない、という結果であった。クラウド・コンピューティングの浸透によるインターネット環境へのプラットフォーム依存、モバイル端末を使った業務への変化、企業活動とソーシャルネットワークサービスへの適用、などますますオープンなIT基盤がそろえられる中で、本当に必要なのはどのようなセキュリティ対策なのだろうか?
CRO(Chief Risk Officer)に集約するリスク管理
前述のInformationWeekの調査によると、企業において今後リスク管理対策として進めている取り組みとして、40%以上の企業が「より包括的にリスク管理を行う体制をとる」という回答が得られた。これはリスク対策のポイントが業務内容ごとに異なることから各部門任せにしていたリスク管理を、企業全体において集約することで、情報漏えいの出口となる部分を俯瞰的に管理することを目的としている。リスクとはもはや個別事案の対処ではなく、リスクという視点を中心とした管理(risk-centric)を浸透させる仕組みにしなければ防ぐことができない、というものである。
そこで現在注目されているのは、企業にCRO(Chief Risk Officer)のポジションを用意する動きである。前述の調査によると、CROを設けて企業のリスク管理をまとめている企業は3%しかないという回答状況ではあるが、「包括的なリスク管理」を取り入れるためには、組織の中にリスク管理を統括する部門を作ることが効果的であり、徐々に注目を浴びつつある。このポジションの理想としては、情報システムの技術のノウハウがあり、財務、業務運用の構造がわかる人材が望まれるが、何よりもこの人材が企業内に「リスク管理標準」を策定し、確実に情報漏えいを抑えるための規則として徹底させることで、企業におけるリスク管理のパフォーマンスが大幅に向上するとみられている。
リスク対策への投資とそのハードル
前述の調査によると、企業内に包括的にリスク管理標準を定めて浸透させることによる投資効果は、31%の回答者は時間・費用とも多少節約できる、30%は時間・費用とも大幅に節約できる、と前向きな回答が多くみられている。しかしその一方で、65%の回答者においては業務運用・財務などへのリスク管理標準が十分組み込まれていないとされ、その背景として近年急速に進んだ社内業務の「グローバル化」「アウトソーシング」の対策が不十分であることが指摘されている。
では「グローバル化」「アウトソーシング」に対しては個別にリスク対策を講じるべきなのか?「リスク管理を集約する」という視点からすると、むしろリスク管理標準の徹底を前提に進めるべきであり、対策を急ぐあまりに国別・業務別の例外を増やすことによるコスト増が、長期的にはリスク管理標準の徹底を脅かすリスクとなりうると考える方が良いと思われる。ハードルは将来的な投資効果を考え直すチャンスと考えるべきである。
クラウド化に動くリスク対策ベンダー
ベンダー側もリスク対策に対するユーザの動きを黙って待っている訳ではない。クラウド・コンピューティングの市場が広がる中、新たな包括的リスト管理のソリューションを提案するために、大企業を中心にGRC(Governance, Risk and Compliance)というカテゴリのリスク管理市場の獲得を狙う動きが活発化しつつある。数年前まではSOX法対策などの内部統制支援ツールとして注目された分野が、再度脚光を浴びはじめている形である。
EMC社 は業種や業態を問わずITセキュリティや財務・法務・人事など多くの企業に共通する業務を統合管理するGRCベンダーのArcher社を、 IBM社 は 包括的なコンプライアンス・リスク管理のソリューションを提供するベンダーOpenPages社を買収している。いずれもオンプレミス版・SaaS版の両製品を提供しているのが特長である。
面白いのは、従来のソフトウェアベンダーとは異質の領域からこの市場への参入が始まっていることである。大手通信社ロイターを傘下に保有するカナダの情報サービス企業 Thomson Reuters社は、同社の財務・法務管理のサービスとして内部統制プロセス管理ツールである Paisleyを買収した。また北米市場の代表的な株価指数S&P500で知られる信用格付機関Standard & Poor’sも企業のリスク管理部門を設立し、金融関連・保険関連の企業を対象としたサービスに参入しようとしている。
リスク管理は大企業ほど組織の隅々にまで徹底させることが難しいが、大企業ほど漏えいが起きたときに対するダメージも大きい。ゆえに問題が起きたときほどその結果に目が注がれるが、問題を引き起こした背景は既に常時のリスク管理業務の中にあらわれている。漏れる水とあとから塞ぐための対応に追われる前に、漏らさないための常時の対応を行うのが、リスク中心管理の考え方でありリスク管理標準作成の前提であることを改めて念頭に置きたい。
参考:
Risk Avengers
(Informationweek Jan 31. 2011)
連載一覧
筆者紹介
研究会メンバ:
・K谷リーダ
わが研究会の頼れるリーダ。
NYでの営業経験を持つ技術者。もうすぐ2歳になる息子にぞっこん。
・K玉
お客様のシステムを支えるサポート技術者。
スペイン留学時に学んだパエリア作りをメンバに教えてくれるなど、社内にスペインの風を運ぶ。
・U田
大学・院と情報システムを専攻した生粋の技術者。
在学時と就職後に海外プレゼン経験あり。
研究会での的確なアドバイスはさすがとメンバをうならせる。
・W田
アメリカ留学での語学を活かし、海外営業担当に。
興味深い記事や面白いニュースを研究会に持ってきてくれる。
たしなむお酒も国際派?
・N村
サポートから転部した新米マーケティング担当。
小さい頃から観ていたSound Of Music のビデオのおかげで発音だけはいいが、英語の記事を読むのにいつも一苦労。
コメント
投稿にはログインしてください