• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
ITpro Special
週間WEEKLY ITpro Special ITpro

システムリスク管理の形骸化を防ぐ

システムリスク管理は、情報システム部門にとって重要な業務の1つだが、業務の目的が見えなくなりがちで、形骸化してしまうことも少なくない。原因はリスクの評価やモニタリングの手法にあると指摘するのが、ServiceNowの沼本尚明氏だ。モニタリング作業自体は自動化を図り、スタッフが是正対応の検討に充てられる時間を増やすことで、“ITコントロール業務”の価値を高めることが可能になるという。
ServiceNow Japan
ソリューションコンサルティング統括本部 第二ソリューションコンサルティング本部
本部長
沼本尚明 氏

 沼本氏は、情報システム部門によるITのコントロール業務は「監査を受ける時に向けて備えたものになっており、価値を生み出す活動になっていない」ことに問題があるという。システム変更時の影響範囲特定や誤操作への対策など、システムにどのようなリスクがあり、リスクに適切に対処できているかを見極める作業は、ITを健全に活用するために欠かせない。しかし、現状では監査を乗り切るのが目的になっていて、ITコントロールの業務内容が形骸化しやすい。

 具体的には、コントロールの順守状況だけに目を向けて、例外対応を極力排除してしまうケースがそれに当たる。実際の運用の現場では、例外対応は避けられないが、硬直的な対応で例外を一切認めず業務が滞ったり、例外対応があったにもかかわらずそれを隠し、記録しなくなった結果、実態が分からなくなったりする。また、コントロールの存在を証明するために上級職のレビューを必要以上に増やすことで、個々のレビューが甘くなり、レビューの意味がなくなることも形骸化の例だ。

 本末転倒な状況を打開するためには、情報システム部門が「リスクの適切な評価と、その結果に基づいた対応に注力することが必要」と沼本氏は強調する。個々のリスクがコントロールによって許容レベル内に収まっているか、収まっていなければ問題をチェックし、費用対効果を考えながら是正対応を進めていくべきである。

 こうした業務は、本来ならば情報システム部門が力を入れて取り組むべきことの1つだ。しかし現実には、スタッフはコントロールの順守状況を把握することに追われており、モニタリングだけで手がいっぱいなのが実情である。沼本氏は、モニタリング作業はソリューションにより自動化を進めることで、「リスクの評価と是正対応の検討という本来業務に時間を割けるようになる」と、自動化の必要性を訴えた。

図1:ServiceNowのプラットフォームで現場の情報と統制活動を連携させる
[画像のクリックで拡大表示]
システムリスク管理に必要な情報を
一元管理するプラットフォーム

 現場の業務を支えつつモニタリングを自動化するためのプラットフォームが「ServiceNow」だ。IT業務管理の「ITSM」、セキュリティに関連した活動情報を蓄積する「Security Operations」、リスク登録やテスト実行などを行う「GRC」の各アプリケーションが、そのプラットフォーム上で動作する。

 ITSMは、ITサービス管理のベストプラクティスであるITILに準拠したIT業務管理機能を提供する。インシデントの受け付けから問題管理や、変更管理など一連のプロセスでやり取りされる情報を、資産情報などと併せて統合的に管理する。その蓄積された情報が、コントロール順守状況評価のための業務履歴やリスク評価の基礎情報となる。

 Security Operationsは、各システムのセキュリティ状況を管理する。企業のシステムには様々なセキュリティツールが導入されているが、各ツールから上がってくる情報は個別に管理されていることが多い。Security Operationsなら各ツールと連携するインタフェースを備え横串で管理できる。

 GRCはITの統制(Governance)、リスク(Risk)、コンプライアンス(Compliance)という一連のコントロール業務全体をカバーする。ITSMやSecurity Operationsで日々蓄積した情報を基に、リスクの定義やその評価方法の定義・実行、具体的な評価を行い、コントロールがどの程度順守されているか、もともと定義したポリシーや基準は適切かなどを分析できる。是正が必要な場合、その実行に必要なタスクを自動的に起こし、さらにそれを追跡していくことも可能だ。

 こうした一連の作業に関する情報は、メールやスプレッドシートでやり取りされもともと構造化されていないことが多い。そのため各スタッフが個別のツールを使い分けながら管理していく必要があり、それがITサービス管理業務の肥大化と、目的がすり替わる形骸化の原因になっていた。

 ServiceNowはワークフローやタスクボード、チャットなど、業務を記録しながら情報を構造化していくプラットフォームとしての機能を持つ。モバイルも含めたあらゆる端末から情報を登録し、一元的なデータベースとすることでコントロールテストやモニタリングの自動化を支援。コントロール業務のために、収集した情報をいったんレポート化するという負担がなくなるだけでなく、常に現場を反映した新しい情報を基に、業務の優先順位付けやアサイン検討など価値の高い作業にスタッフが集中できるようになる。それにより「情報システム部門における管理業務の働き方改革が進む」と、沼本氏は同社のソリューションの最大の効果をアピールする。

図2:ServiceNowのGRCでシステムリスク管理担当がリスクの適切な評価など本来業務に専念できるようになる
[画像のクリックで拡大表示]
レポート作成業務を削減し3億円のリスク低減を実現

 一連のソリューションによるITサービス管理の働き方改革を実現した事例として、沼本氏は製薬会社のケースを紹介した。グローバルで175カ国以上、約12万5000人のスタッフを持つこの会社は、製薬にまつわる知的財産やリサーチ情報を適切に管理してブランドイメージを保つために、セキュリティに関連したインシデントへの対応やコンプライアンス確保の業務を効率化する必要があった。

 もともとこの会社はITSMを導入していたが、これらの課題に対応するためにSecurity OperationsやGRCも併せて導入。IT業務のプラットフォームを統合したことで、レポート作成などにかかっていたコストを約2700万円削減。労働生産性の向上も実現し、これらにより情報システム部門が目標の1つとして掲げるべきリスク低減により多くのリソースを投入することができるようになった。その結果、約3億円のリスク低減を実現したという。

お問い合わせ