いま必要とされるITガバナンス、それを実現するGRCとは（EMCジャパン）

EMCジャパン株式会社は6月17日、セミナー「ITガバナンスの実体と課題を知る～GRC最初の一歩から活用事例まで～」を開催した。同社RSA事業本部マーケティング部の部長である水村明博氏は、IT予算の約3割がリスク対策に使われており、そこに占めるITガバナンスの予算の割合も増加していると指摘。同社でも金融や建築といった業界を中心に相談も増えているとして、ITガバナンスの実態と課題を、海外の事例を含めて紹介した。

◆ITガバナンスのポイントは「標準化」と「定着」

はじめに同社グローバルサービス統括本部のクライアントソリューションズディレクターである松原健一郎氏によるセミナー「ITガバナンスの実態と課題」が行われた。松原氏は、ITガバナンスのポイントは「標準化」と「定着」であるとし、そのためにどのような課題があるかを明確することが重要であると指摘。

ITガバナンスとコーポレートガバナンスの歴史をみていくと、バブル崩壊後に「ガバナンスをきちんとしよう」ということで1994年に日本コーポレートガバナンスフォーラムが発足している。その動きは、2005年に新規定された会社法において講じられた「コーポレート・ガバナンスのための措置」で結実した。

一方、ITガバナンスでは1990年代にシステム開発の「オープン・個別最適化」が社内限定で始まった。その後、インターネットの本格的な普及を受けて「外部侵入・ロケーション越えの管理」が注目され、2000年代半ばには仮想化による集約が本格化し「個体は減少、複雑さは激増」する。そして2007年には運用管理モデルも確立し、洗練され、またITIL v3が公開され「ITILに基づく『標準化』へ」の流れが加速した。

ここで松原氏は経済産業省の定義を示す。ITガバナンスは「企業が、ITに関する企画・導入・運営および活用を行うにあたって、すべての活動、成果および関係者を適正に統制し、目指すべき姿へと導くための仕組みを組織に組み込むこと、または、組み込まれた状態」と定義されているが、このうち「適正な統制」が「標準化」であり、「仕組みを組織に組み込む」ことが「定着」であると説明した。

ITガバナンスをどの分野で行うのかについて、松原氏はEA（Enterprise Architecture）のレイヤーで説明。行うべきはビジネスレイヤーというよりも、AA（アプリケーション）、DA（データ管理）、TA（インフラ）のITレイヤーであり、特にEMCはインフラのレイヤーに最も取り組んできた実績がある。

◆インフラはアーキテクチャと運営プロセスの標準化が必要

ITガバナンスの進め方については、まずITインフラの標準化が必要であるとした。これにはアーキテクチャの標準化と運営プロセスの標準化が必要で、この標準化によって品質にブレがなくなる。ポイントは、7～8割の人が選択できるラインアップを揃えること。また、目に見える標準化は着手しやすいため、アーキテクチャの標準化は比較的進んでいるという。

インフラのアーキテクチャ標準化の傾向について松原氏は、メインフレームとUNIX、IA（Windows、Linux）を可用性と俊敏性を軸に、年代と市場規模を合わせてグラフ化したものを紹介。これによるとメインフレームは2020年になっても市場規模が横ばいのまま推移、UNIXは2020年には新たな用途に採用される可能性も低くなるという。

IAにおいては、仮想化によって2000年から2010年にかけて可用性、俊敏性が大幅に向上し、2020年にはコンテナ化によってさらに市場規模も急拡大していく。IAは信頼性も大幅に向上していることから、アーキテクチャの標準になっていくとした。また次世代アーキテクチャの策定には、「一般的なアーキテクチャモデルの検討」「選定分類（アプリ・データ特性）」「選定基準（実現性・有効性）の検討）」の3つのステップにより参照モデルを完成させるというサンプルを紹介した。

運営プロセスの標準化については、インフラ運用業務とインフラ（提供）サービス運営業務の2面で標準化を進めることが重要であるとした。運用においては、日々行われる部分を標準化していくが、どの領域から始めるかについては、プロビジョニングや調達ルールからというケースが多いという。運営においては、受付からの一連の流れをステップごとに標準化していくが、予算や納期、課金など多様なケースがあるため、プロセスや業務のフローで無駄をなくすことから始めていく。

◆定着のポイントは「PDCAサイクルを回せる」こと

定着については、PDCAサイクルを回せる仕組みを作ることが重要であるとした。これにより仕組みが認知され、維持、進化を続けていくことができる。特にポイントとなるのは、アーキテクチャと運営プロセスの双方でPDCAサイクルを回していくことで、アーキテクチャはすでに始まっているところが多いが、運営側で回しているケースは少ないと指摘した。双方のサイクルを、世代を超えて回していくことが重要だという。

今後は、データもデバイスも人も増えていく。また、時代は「クラウド化」であり、20年に一度の大きな変革の波に乗っている。ハイブリッドクラウド環境も増えていくため、サイトを越えた可搬性や自社の範囲を超えるリスクに対処しなければならない。テクノロジーとサービスの進化も加速し、アプリケーションのあり方も変化していく。

日本においては2020年の東京オリンピックを控えており、モバイルデバイスがさらに増加していく。この「3rdプラットフォーム」は従来のプラットフォームとは全く性質が異なっており、ソフトウェアドリブンのビジネス、ユーザ体験レベルの向上、リアルタイムの営業情報提供などが求められてくる。そこではアプリ開発のサイクル短縮がより重要になっていく。

松原氏はITガバナンスの課題として下記の6点を挙げた。
・ITインフラ環境のライフサイクルのさらなる高速化
・新しいテーマの頻出に遅滞なく対応
・確実なガバナンスのアップデートによるGRCは可能かを挙げ、解決の方向性として
・PDCAモデルの確立
・CSIRTなどリスク管理チームの独立、強化
・eGRCツールなど、ITの力を活用した運用モデルづくり

EMCが提供する「eGRC」は、変化に耐えられる運用を支援するためのツールであり、新しいものにルールを反映し、さらにPDCAを回すことが容易になる。EMCでは、eGRCをさらに強化していくための投資も行っており、収益の10％をM＆Aに、12％を研究・開発に投資しているとして、セッションを締めくくった。

◆GRC定着のために必要なこととは

続いて、同社RSA事業本部事業推進部のビジネスディベロップメントマネージャーである松島伸恵氏による「先進顧客によるGRC課題解決事例～GRCツールの導入がもたらす効果～」が行われた。松島氏はまず、GRCの定義について説明した。GRCは、企業ガバナンスを方向付ける要素となる「コンプライアンス」、企業の方向付けを行う「ガバナンス」、ビジネス目標の達成を阻害する要因を管理する「リスクマネジメント」の3要素により構成される。

一方で、「罰則の厳罰化」「多発するサイバー攻撃と進化する手法」「法令の厳格化と度重なる改訂」「経営層自身の社会への説明責任」など、企業を取り巻く環境は随時変化しており、企業のグローバル展開に合わせて、これらの国際対応も求められている。この状況に対し、対応への準備不足と報告事項の組織のサイロ化や国際化に伴う情報収集の不備による元レポートの信頼性の欠如といった課題がある。

また今日の状況として、部門ごとには最適化されていても全体ではサイロ状になっていること、コンプライアンスやガバナンスがExcelで管理されていることを挙げ、問題が発生したときの相関分析を難しくしていると指摘した。さらに、エクセルを駆使してGRC状況を管理したとしてもその参照や運用が難しく、なかなかGRCの活動が根付かないという問題をかかえる企業が多いということも事実であるとした。

そこで必要になるのが「GRCの定着」であり、そのためには「遵守すべき法令とその手順の明確化」「リスクと対応の可視化」「GRC実施状況のモニタリング」「標準化GRCプロセス」が特に重要であるとした。さらに、情報を限られた人間だけが把握するのではなく、関係者全員に情報をフィードバックすることによるコミュニケーションが定着に結びつくとした。

◆GRCツールによる3つの成功事例

続いて松島氏は、実際の導入事例を紹介した。ひとつ目は、グローバル展開している米国の製造業のケースだ。プロジェクトはコンプライアンス管理室と情報システム統括の共同チームとなっている。ここでは、全社セキュリティポリシーはあるものの、部門ごとにシステムや運用プロセスがサイロ化しており、ポリシー自体が形骸化していた。また、度重なるM＆Aが拍車をかけ、ガバナンスが効かない状況だったという。

また、SOXやISMSへの準拠も求められているが、全社ガバナンスが効いていないため全社での取得が難しく部署や、拠点ごとに個別に対応を行っており、それにかかるコストも莫大なものになっていた。そこで、社内クラウドを利用したシステム共通基盤の導入に合わせた「全社ポリシー」の再定義と適用、リスク管理の標準化、統制状況の可視化と把握に取り組んだ。これにより、運用ポリシー・セキュリティポリシーの実現と定着、作業の効率化とコスト削減、全社でISO27001の取得を実現した。

松島氏はこの事例の取り組みを「ツール導入による個別最適からの脱却」とし、成功要因は「システム基盤と合わせた展開」と「標準を決定する際のコミュニケーション」であったとしている。

2つ目の事例は、教育分野として海外の大学機関を紹介した。大学ということもあり、最先端の研究のためには利用システムを制限できず、システムの標準化ができなかった。また、最先端の研究のために自由を奪わないという校風のため、そもそもITセキュリティのガバナンスが存在しなかった。そのためサイバー攻撃に脆弱で、しばしば攻撃の踏み台にされることもあったという。

最大の課題はITセキュリティのガバナンスが存在しないことで、そのために何か問題が発生した際の責任の所在が不明確であり、資産管理基準もなかった。さらに多くの監査指摘を受けており、その修正にかかかる高額なコストの適正化も必要であった。そこで、ITガバナンスの策定と辛酸の把握と管理、リスク管理、BCP、コンプライアンス対応とモニタリング、情報セキュリティマネジメント、全学ポリシーの策定に取り組んだ。

その結果、ITガバナンスの強化、内部監査品質の向上、コスト削減を実現した。松島氏はこの事例の成功要因として、プロセスの標準化と責任範囲の明確化により、「誰が、何をすべきかの明確化」を強制ではなく自主的に行えるようにしたこと、スモールスタートからの開始でITガバナンスを徐々に定着させたことを挙げた。

3つ目の事例は、個人を主な対象とする米国の大規模銀行のケースだ。同行ではGRCプロセスの標準がなく、各拠点個別の運用による80以上のGRCプロセスが存在、非効率なGRC活動が行われ、そのコストも莫大になっていた。また、作業負担も大きく、現場部門の作業の妨げになっていたという。ここでの課題は、「GRCプロセスの標準化」「GRC関連作業の効率化とコスト削減」「次期資分野の把握と必要な対応」であった。

そこで同行では、GRCプロセス標準化の推進、運用のための整備、法令管理対応に取り組んだ。その結果、法令管理作業とコストを削減し、俯瞰的で透明性のある可視化を実現、可視化した情報を全社員にフィードバックし、全社員が相互にリスク状況を把握・意見交換することで、GRCカルチャーの熟成と戦略投資の最適化を実現した。松島氏はこの事例の成功要因として、アジャイル型のアプローチを挙げた。「はじめから完璧を作るのではなく、完璧に向けて育て上げる」ことが重要であるとした。

最後に松島氏は、EMCのGRCソリューションはガートナーが定義する、企業が行うべき6つのGRCドメインと一致しており、その最大の特長は「ビジネスコンテキストを中心に動く」ことであるとした。ビジネスコンテキストは企業を形成するすべての資産（資産、設備、IT情報、ビジネスプロセス、企業活動にかかわるすべての人など）であり、それを中心にGRCを行うということだ。

また、EMCはGRC定着のためのフェーズごとにコンサルティングを提供していることも紹介した。これからのGRC活動は「守りから攻め」が求められるとし、方向性とオポチュニティ、パフォーマンスの向上がキーとなるとして、セッションを締めくくった。

なお、同社はセミナー「ITガバナンスの実態と課題を知る～IT GRC最初の一歩から活用事例まで～」を8月25日に開催する。対象は、大手・中堅企業の監査業務担当マネージャ、リスクマネージャ、ITマネージャ。定員は20名となっており、特設ページにて事前申し込みが必要だ。