ITガバナンスは今後どうなるか--クラウド時代の展望(日本ITガバナンス協会副理事長梶本氏)

ZDNET Japan Ad Special

2019-01-15 14:00

[PR]しばしば目にする「ガバナンス」という言葉。企業などの組織における「統治」といった意味を持ち、ITにおいても「ITガバナンス」といった形で使われるが、幅広い概念の用語であり、なかなか理解が難しい。

昨今、企業の不祥事などが相次いで報じられる中で、しばしば目にする「ガバナンス」という言葉。企業などの組織における「統治」といった意味を持ち、ITにおいても「ITガバナンス」といった形で使われるが、幅広い概念の用語であり、なかなか理解が難しい。組織のITガバナンスについて、日本ITガバナンス協会(略称:ITGIジャパン)副理事長の梶本政利氏に聞いた。

「COBIT」の日本版を手掛けるITGIジャパン

日本ITガバナンス協会
副理事長
梶本政利氏
日本ITガバナンス協会
副理事長
梶本政利氏

 梶本氏は経営からガバナンス、リスク管理、情報セキュリティまで幅広い知見の持ち主だ。そのキャリアはコンピュータ企業に始まり、ITコンサルティング会社、監査法人を経て後、2003年から経営コンサルタントとして活動している。そのかたわら、ITGIジャパンの副理事長をはじめ、2009年11月から2018年3月までは総務省の技術顧問、2017年12月からは電力広域的運営推進機関(略称:OCCTO)で参与としてCIOおよびCISOへのアドバイザー役を務めている。

 ITGIは全世界13万以上の会員を擁する非営利団体ISACA(情報システムコントロール協会、CISAなどの資格認定も手掛けている)の一部門で、IT管理フレームワーク「COBIT」(Control Objectives for Information and related Technology)を手掛けている。ITGIジャパンは、その日本支部という位置付けだ。

 「ISACAは世界各地に支部を持ち、日本では東京・大阪・名古屋・福岡の4支部があります。私は2005年頃に東京支部の会長を務めましたが、そうした会長経験者たちが集まって、日本企業のためにCOBITの日本語版を提供しようと2006年に設立したのがITGIジャパンです。その後、COBITを中心としたITガバナンスのフレームワークを日本に普及させるべく、翻訳のほかカンファレンスなどの活動も実施するようになりました」(梶本氏)

 COBITの最初のバージョンは、1996年に公開され、その後は数年おきに改訂が繰り返され、カバーする範囲を広げてきている。ITGIジャパンではこれまでに、設立当時の最新版であるCOBIT 4から、COBIT 4.1、COBIT 5までの日本語訳を提供。現在では次のバージョンであるCOBIT 2019(バージョン名は、これまでの通し番号から暦年表記に変わるとのこと)の翻訳に取り掛かるところだという。

ガバナンスとは「不確かな世の中での舵取り」

 このCOBITこそがITガバナンスを語る上で重要な存在だ。ITGIジャパンでは、COBIT 5を「事業体のITに関するガバナンスとマネジメントについての、全体を包括するフレームワーク」と位置付けている。このCOBIT 5で掲げられているのが、以下の「5つの原則」だ。

1.ステークホルダーのニーズを充足
2.事業体全体の包含
3.一つに統合されたフレームワークの適用
4.包括的アプローチの実現
5.ガバナンスとマネジメントの分離

 原則5の「ガバナンスとマネジメントの分離」については、まず前提として用語の定義を確認したい。具体的には次の通りだ。(参照元)。

ガバナンス

ほとんどの事業体において、ガバナンスは役員会の責任であり、その議長のリーダーシップのもとにある。ガバナンスは、ステークホルダーのニーズ、状況、及び選択行為を評価する(E)こと、優先順位付けと意思決定によって方向(D)を定めること、成果、コンプライアンス、及び同意された方向と目標に対する進捗をモニタリング(M)することによって、事業体の目標が達成されることを保証するものである(EDM)。

マネジメント

ほとんどの事業体において、マネジメントは上級管理職の責任であり、CEOのリーダーシップのもとにある。マネジメントは、ガバナンス組織体によって設定された、その事業体目標を達成する方向に沿った活動を計画し(P)、構築し(B)、実行し(R)、そしてモニタリング(M)を行う(PBRM)。

図:COBIT 5における「ガバナンスとマネジメントの分離」の考え方
図:COBIT 5における「ガバナンスとマネジメントの分離」の考え方

 つまり、ガバナンスは経営層の仕事であり、上級管理職が実施するマネジメントをモニタリングしたり、フィードバックを得てビジネスニーズを加味して評価し、その方向性を指示したりする一連のプロセスというわけだ。COBITでは、こうしたガバナンスやマネジメントのプロセスを、きちんとした形で組織全体にわたりカバーすることが推奨される。

 「よく『ガバナンスを効かせろ』と言われますが、ガバナンスの責任を部下に押しつけるのは、経営者の仕事を丸投げしているようなものだと思うのです。そもそもガバナンスの語源はギリシャ語で、船の舵取りを意味する言葉に由来します。同じ語源の英語Governorは知事などを指し、やはり組織のトップのことです。古代の航海では、地図が不確かで潮流などの情報も乏しい上に、現地での商売がどうなるかは行ってみないと分からないこともあったでしょう。さらには、乗組員たちの体調管理など、いろいろなことにも気を配らねばなりません。不確かな世の中を渡っていく必要があるという点で、今の経営者に求められる『舵取り』も、古代の船乗りと共通するところがあります」(梶本氏)

情報セキュリティにも経営層によるガバナンスが必要

 IT分野においてガバナンスは、情報セキュリティにも深く関係している。

 「セキュリティとITガバナンスの関係でいえば、セキュリティは『会社の構造体におけるリスクマネジメント』の一つであり、『リスクマネジメントにおける方針』を示すのがガバナンスです。ガバナンスとは価値を生み出す行為であり、『価値を創造する』、その価値を保全するため『リスクを最適化する』、およびそれらに費やす『リソースを最適化する』ことを含みます。2番目のリスクを最適化するという部分はERM(Enterprise Risk Management)、すなわち会社としてどこまでリスクを取っていいかの判断であり、まさに取締役会の責任において決定するもの。これが決まらないと、情報セキュリティの費用も見極めがつきません」(梶本氏)

 つまり、セキュリティに関する責任も、最終的には経営層のガバナンスに帰するということだ。企業などの組織に対するサイバー攻撃は、頻度が増加するだけでなく手口も複雑化・巧妙化が進んでいる。数々のセキュリティ製品やサービスを導入し、従業員への教育や訓練をいくら徹底しても、もはや完璧に防げるとは言い難い状況だ。梶本氏が携わっている組織でいえば、社会インフラに深く関わるOCCTOのような組織では、SOC(Security Operation Center)による通信内容の監視なども行ってセキュリティを高めているというが、このような対策は相応のコストを伴い、一般企業で実施できるところは多くないだろう。

 得ようとする価値との兼ね合いで、自社がどこまでのリスクを受容するか、逆にどこまでのコストならセキュリティに出せるか、経営層がきちんとした方針を示しガバナンスを行う必要がある。

 「私が知っている範囲でも、ITガバナンスを経営課題として認識し、COBIT 4.1など早い段階から全面的に取り入れている企業がある一方、経営層のガバナンスができていないため下の層のリスクマネジメントもできていないような企業があります」と語る梶本氏。そうした経営者にガバナンスの重要性を自覚してもらうには、「謝罪会見をしたいですか?」と問いかけてしまうと、手っ取り早く伝わるという。

 「ITにアレルギーのような感覚を持つ役員も、そろそろいなくなってきていると思いますし、責任の所在を肌で感じてもらえばいいのです。この言葉は、従業員側から経営層に訴える際にも有効だと思います」(梶本氏)

価値創造に有効な武器となるクラウド

 組織の価値を生み出すという観点では、ビジネスのスピード感を高めるクラウドの活用が近年拡大している。

 「クラウドのスピード感は、ビジネスチャンスを逃さないためにも重要ですし、企業によっては既存のオンプレミス環境よりも、可用性やセキュリティなどの点で有利なケースも多くなります。『攻めのIT』『デジタル経営』などといった、いかにして情報を経営に生かしていくかという観点からも、価値創造においてクラウドが重要な存在であり、一つの選択肢となることは間違いありません。リスクを理解した上で使えば、有効な武器になるでしょう。ただ特定の業種や業界、あるいは国や地域によっては「データの所在」が強く問われる場合があるので、そのあたりへの配慮は今後重要になってきます。GDPR(EU一般データ保護規則)が施行になった際、それを強く意識した人も多かったはずです。これまで活用されてこなかった分野にクラウドが普及していく上でも、やはり情報のロケーションは鍵となるでしょう」(梶本氏)

 梶本氏は、ISACAの認定資格の一つ、公認情報システム監査人(CISA)の資格を持つ。この資格プログラムでは、セキュリティや内部統制などについて情報システムを監査するための知識や技術などが評価されるという。その監査人としての立場からは、クラウドをどのように評価しているのだろうか。

 「パブリッククラウドに対するシステム監査は、現実的に行えません。監査人がデータセンターの現場に直接入ることが難しい上に、その中でデータがどのように管理されているかを短期間で見極めることも難しいですから。そのため、信頼できる第三者機関による認証が指標となり、必要となる認証の数々をきちんと得ているかどうかで評価しています。例えば、アマゾン ウェブ サービス(AWS)は、これ以上求められないと思えるだけの必要な認証を得ており、監査人の視点でも安心できる選択肢として考えていいでしょう」(梶本氏)

 信頼できる第三者機関による認証が十分か? これがパブリッククラウドを選択するときの一つの大きなポイントと言えそうだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]