経営によるITリスクマネジメントがテクノロジーの活用を促進する
ITリスクのマネジメントに取り組む企業は増えたものの、必要な仕組みができているのか疑問が残ります。本稿では、その解決策として、経営によるITリスクマネジメントについて解説します。
ITリスクのマネジメントに取り組む企業は増えたものの、必要な仕組みができているのか疑問が残ります。本稿では、その解決策として、経営によるITリスクマネジメントについて解説します。
テクノロジーが劇的に進化しているにもかかわらず、情報システム障害は依然多く発生しています。過去の経験が活かされず類似のトラブルの再発例が見られる一方、IoT、自動運転、デジタルレイバーなど先端テクノロジーの進展に伴いITリスクは複雑化の傾向にあり、今後益々トラブルの増加が懸念されます。以前より多くの企業がITリスクのマネジメントに取り組まれていますが、トラブルを未然に防げているのか、先端テクノロジーに対応できる仕組みとなっているのか疑問が残ります。
本稿では、その解決策として、経営によるITリスクマネジメントについて解説します。なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。
ポイント
- 情報システム障害は依然として多く発生しており、経営の悩みの種である。
- テクノロジーの進展は情報システムを複雑にし、情報システム障害を増やす。
- テクノロジーの効果を最大限享受するには、経営自らがITリスクを把握し判断を下すことが必要である。
- 経営にはITリスクが可視化されたダッシュボードが必要である。
I.依然として情報システムは経営の悩み
1.CIOの最終優先課題は「ITの安定」
KPMGおよびHarvey Nashが共同で実施した2017年度CIO調査※1(図表1参照)によると、CIOのオペレーション上の優先課題は「安定的かつ一貫性のあるITの提供」がトップとなりました。過去1年間の増減率を見ても、21%と最大の増え方を示しています。興味深いことに、同じく過去1年間の増加率が最大なものとして、「革新的な新製品・サービスの開発」があります。企業は革新的な新製品・サービス開発を積極的に進めているものの、安定的かつ一貫性のあるIT提供がこれに追いついていない可能性があります。過去3年間の推移を見ると、「安定的かつ一貫性のあるIT提供」はトップ3に入りながらも減少傾向にありました。今回、「革新的な新製品・サービスの開発」の大幅な増加に従い、再度増加に転じ始めた可能性があります。ITの安定は再びCIOの最優先課題となったと言えるでしょう。
図表1 オペレーション上の優先課題
2.重要な情報システム障害は増加
独立行政法人情報処理推進機構(IPA)発行の『SEC journal 50号』※2によると、2017年前半(1月~6月)における、報道された情報システム障害は23件でした。昨年度の件数(41件)を考慮すると、それを上回る可能性は否定できません。また、これまでの経過を見ると、2009年にシステム障害に関する報道数は大幅に減ったものの、その後は増加傾向にあります(図表2参照)。CIOの最優先課題が「安定的かつ一貫性のあるIT提供」であり、かつ情報システム障害が増えていることから、依然として情報システム障害は経営の悩みの種であると言えます。
次章で、この原因について考察します。
※2『SEC journal 50号』(独立行政法人情報処理推進機構 技術本部 ソフトウェア高信頼化センター、2017年9月1日)P.52「情報システム事故データ 情報システムの障害状況 2017年前半データ」より
II.テクノロジーの進展が情報システム障害を増やす
1.情報システムが複雑化
世の中を見渡してみると、様々な場面で情報システムの複雑性が増していることに気付きます。インターネット接続を可能とするIP化と、ソフトウェア規模を表すプログラムステップ数の数年間の推移を見てみます。
(1)広がるインターネット接続
いまやPC、プリンター、電話のみならず家電製品にまで、IP化が浸透しています。図表3のとおり、監視カメラ国内市場もIP化が進みつつあり、2015年のIPカメラ市場は780千台(対前年比 112.7%)を達成しました。これは、監視カメラ全市場の約6割にあたり、2020年には2,600千台になると予測されています※3。IP化により、社内はもちろん、外部ともインターネット回線を使用し暗号化通信を用いたシームレスな通信が可能となりました。旧来のメインフレームや制御系システムもIP化対応の小型コンピュータに置き換わり、リモート操作や自動化など業務の幅が大きく広がっています。スマートフォンを使い自宅の家電製品を操作する、または社内システムにアクセスし、リアルタイムの経営情報が閲覧できる時代です。一方、コンピュータ間の依存関係が広がり、コンピュータ機器障害やマルウェア感染機器が他のコンピュータ機器に悪影響を与え、結果として業務をストップさせる可能性が高まっています。
※3プレスリリース「IPカメラ国内市場に関する調査を実施(2016年) - 映像データの数値化で、新たな市場の登場が期待される - 」(株式会社矢野経済研究所、2016年10月19日)
(2)拡大するソフトウェア規模
ソフトウェアの規模が拡大しています。マイクロソフトWindowsのプログラムステップ数を例に挙げると、Windows 3.1から最新のWindows 10までにプログラムステップ数は3百万行から80百万行へと約27倍に増加していることがわかります(図表4参照)。参考までに記すと、メガバンク勘定系システムのプログラムステップ数は60百万行と言われています。Windowsのソフトウェア規模が、メガバンクの勘定系システムを超えるほど膨張しているのです。ソフトウェアの規模が拡大すると、機能の細分化が進み、ソフトウェアの品質を維持することが難しくなります。プログラム間の組み合わせパターンが増えることで、網羅的な検証の難易度が高まり、ソフトウェアの品質低下に繋がります。なお、ここに挙げたプログラムステップ数の数値は相対的なイメージを持っていただくことを目的としており、数字の正当性を保証するものではありません。
2.情報システム障害の増加原因は「コンピュータ間依存関係の拡大」と「品質確保の難易度上昇」
情報システムの複雑性が増す要因として、「コンピュータ間依存関係の拡大」と「品質確保の難易度上昇」の2つが考えられます。「コンピュータ間依存関係の拡大」は、インターネット接続が広がったことに起因しており、情報システム障害が発生した場合の影響範囲を拡大させます。また、「品質確保の難易度上昇」はソフトウェア規模の拡大に起因しており、情報システムの品質を低下させます。私たちの生活や仕事のやり方を大きく変えたインターネット接続と、多くの機能を持った最新ソフトウェアは、同時に重大な情報システム障害を増加させる原因の1つとも言えます。情報システム障害増加のメカニズムを図表5に示します。
図表5 情報システム障害増加のメカニズム
出典:KPMG作成
III.経営にITリスクマネジメントを組み込む
1.経営層がITリスクをマネージする
ビジネスの現場では便利なITツールがあふれ、便利さを享受するためのコストも数年前に比べると格段に下がるなど、私たちはテクノロジーから多くの恩恵に与っています。こうした状況はリスクを実態より軽く捉える、またはリスクを受容し過ぎる傾向を生みやすく、リスクについて現場から経営層に意見し難いケースが見られます。たとえば、コンサルティング会社やITベンダーの先端テクノロジーを活用した理想像に安易にとびつき、プロジェクトを開始するや1年そこらで頓挫するケースは枚挙にいとまがありません。プロジェクト稟議時の資料ではリスクがほとんど議論されず、システムを使って業務をこうしたい、ああしたいといった将来の夢や希望ばかりが議論の中心となっているのが現状です。もちろん将来の夢は大事ですが、併せて経営層が現実のリスクについて真摯に受け止め判断を下すべきです。経営層が自らリスクを診て、自ら判断するマネジメントが必要なのです。これには経営層が正しくリスクを認知することが大切であり、そのためにはリスクの可視化が求められます。
2.ITリスクの可視化
ITリスクの可視化の1つにITリスクダッシュボードがあります。ITリスクダッシュボードの図表を見ることで、経営層は、どこのリスクが高いのか理解できます。たとえば、図表6のITリスクダッシュボードは、ITのリスク領域を5つに分け、リアルタイムにリスクがリスク選好を越えていないかを見る「リスク選好度」、年間ベースのリスクマネジメント活動でリスクを有効にマネジメントできているかを見る「リスクマネジメント有効性」、さらに将来のリスクに対してのリスク担当の評価である「見通し」の3つの側面からリスクを表したものです。
図表6 ITリスクダッシュボード
出典:KPMG作成
「リスク選好度」とはリアルタイムに自社が選好したリスクを超えていないかを見る指標のことです。リスクは日々変化しているため、リスク領域ごとに重要リスク指標を紐付け、その動きを見ることで「リスク選好度」を測ります。図表7に、サイバーセキュリティとITオペレーションの例を挙げます。設定する重要リスク指標は、自社の規模や特性、さらにデータ収集の実現性を加味したうえで決定されます。
図表7 重要リスク指標の例
| リスク領域 | 重要リスク指標の例 - (重要リスク指標の個数は状況に応じて設定) | 重要リスク指標ターゲット |
|
|---|---|---|---|
| Warning | Breach | ||
| サイバーセキュリティ | 90日を超えるアプリケーション上の重要な脆弱性の件数 | >=1 | >=3 |
| アクセス管理ソリューションが備わっていないアプリの割合 | 50 | 80 | |
| フィッシングメール訓練にてクリックしたユーザ割合 | 15-20 | >20 | |
| リモートアクセスポリシー違反 | 3-5 | >5 | |
| 時間内で認証されたユーザアクセスの割合 | <95 | <90 | |
| ITオペレーション | ストレージの稼働率 | >75 | >85 |
| ネットワーク稼働率 | >40 | >50 | |
| メインフレームプロセッサーの稼働率 | >85 | >95 | |
| ビジネス部門からの変更リクエスト割合 | >=9 | >=10 | |
| インシデント件数 | >54 | >56 | |
出典:KPMG作成
このような重要リスク指標を収集し、リスク領域ごとの「リスク選好度」への到達状況を評価します。すべての重要リスク指標がBreachターゲットに未達かつWarningターゲット未達が50%以下の場合、「リスク選好度」範囲内とするなど一定のルールの下、「リスク選好度」への到達状況を評価します。
「リスクマネジメント有効性」では、リスクマネジメント活動の有効性を見ます。これには2つの視点があり、1つはリスク評価を実施した時点のリスクを基に課題対応の進捗から現時点で想定されるリスクの大きさを示す残余リスクです。2つめは、リスクマネジメント活動の進捗を示し、重大リスク領域/課題の重大な未対応件数、および期限超過の割合がこれに該当します。
「リスク担当の見通し」は、リスク担当がこれらのリスク情報に加え、独自の知見や新たな情報を基に将来にわたってのリスクの見通しについて判断した結果を表しています。経営層はこの3種類の情報を基に、焦点をあてるリスク領域を特定し、リスク担当にさらなる詳細情報を求め対応方針を検討します。
3.まとめ
1枚のITリスクダッシュボードですが、その背後には多様かつ大きなデータ群が存在します。こうしたデータをタイムリーに収集・集計したうえでビジュアル化するには、一定の労力と仕組みが必要となりますが、現在はRPAやAIなどのテクノロジーを利用することで実現できるようになりました。
テクノロジーが進展し情報システム障害が増えている現状において、経営層が自らITリスクを診て、自ら判断するマネジメントが必要です。そのためには経営層向けにITリスクを可視化することが効果的であり、テクノロジーの進展がこれを可能にします。テクノロジーを活用し経営層のITリスクマネジメントを整備することが、テクノロジーの効果を最大限に享受することに繋がります。
執筆者
KPMG コンサルティング株式会社
IT リスクコンサルティング
パートナー 伊集院 正
