経営リスクを最小化するITガバナンスの実践：視点

これからは、情報システムをビジネス遂行の基盤となるデジタル資産として捉え、情報システムへの投資・効果・リスクを統合管理し永続的に最適化する組織的・戦略的な仕組みであるITガバナンスがますます重要になるだろう。

[横山浩実, 石毛陽子，ITmedia]

企業価値向上の前提となるITガバナンス

　Society5.0が提唱され早5年。情報システムとビジネスを一体的にとらえ企業戦略に基づく情報システム戦略を策定することや、情報システムが技術的負債になることを防いで計画的にパフォーマンス向上させること、そして、新規デジタル技術を活用しサービス・内部業務変革を推進することなどが、持続的な企業価値の向上を図るための要素であることは共通認識となっている。これまでも多くの企業でシステム整備の観点から情報システムを台帳管理し、セキュリティ状況の把握や更改時期の検討などを行ってきていた。しかしながらこれからは、情報システムをビジネス遂行の基盤となるデジタル資産として捉え、情報システムへの投資・効果・リスクを統合管理し永続的に最適化する組織的・戦略的な仕組みであるITガバナンスがますます重要になってきているといえよう。

　ITガバナンスの要素は「IT投資・リソース配分」「アーキテクト・データ整備」「IT組織」「セキュリティ・リスク」に分解できる。経営活動との直接的な関係が深い「IT投資・リソース配分」や「IT組織」は、経営企画部門と情報システム部門が共同で検討が進められるケースが多い。一方で、技術要素が多いと誤解されがちな「アーキテクト・データ整備」「セキュリティ・リスク」は経営目線での取り組みが失念されがちであるため、本稿では、経営部門がどのようにこれらを捉えるべきかについて考察する。

アーキテクト・データ整備

　ビジネスバリューチェーンにおける活動を可視化して経営マネジメントの判断材料とすることで、静的な財務状況以外の事業状況も加味した予測型経営を行う企業が増えている。可視化した情報はKPIダッシュボード上でリアルタイムに集計結果及びドリルダウン形式での構成要素を見られるようにすることで、IT投資やリソース配分を判断することが可能になる。このようなデータ駆動型経営においては、財務管理を行う基幹系とひもづける形でエンタープライズ系及びIT基盤のデータを整備するアーキテクチャを採用することが重要といえる。

　また、エンタープライズ系の情報は、ユーザ関連の情報を多数含むケースが多いが、ペルソナやサービス提供のユースケースに沿ったアーキテクチャ・データ整備とすることで、顧客価値の観点からの分析が可能になる。その際には、これまで重視していなかった、非オペレーションデータである「エクスペリエンス」（感想・利用状況）も合わせた管理とすることで、将来予測の確度を高め、より実践的な打ち手を検討することが可能になるだろう。

　なお、新規デジタル技術の進展が目覚ましい昨今、状況に応じた外部サービスの利用などを容易にすることが重要であるため、データポータビリティを考慮することも必須であり、標準化の観点からは、共通語彙基盤やベースレジストリの概念も取り入れたい。

セキュリティ・リスク

　セキュリティインシデント・情報漏洩は業務中断や停止、データ喪失を招くのみならず、企業の信用失墜、競争力低下などのネガティブインパクトも与えるものであり、大きな経営課題となっている。そのため、経営目線でのセキュリティ・リスクは、システムのみに着目するのではなく、「組織／人」「システム／ネットワーク」「データ」全てを対象として捉えるべき時代となっている。（図A参照）

経営目線でのITリスク

　近年の企業活動では業務システムのクラウドシフトや端末のモバイルデバイス化及びBYOD、パブリックネットワークの活用などが進み、リスクコントロールのために社内にITを限定するという手段をとることができなくなってきている。そのため、「社内外」というセキュリティ境界に依存せず、ネットワーク全体の「ゼロトラストモデル」という考え方を取り入れ、多層的な防御により未知の攻撃も含めて対処できる仕組みにしていくことが重要となる。

　ゼロトラストモデルにおいては、セキュリティ境界として「ユーザ」を用いるのが合理的である。ユーザのセキュリティ境界を適切に管理してデータを保護しリスクを最小化するためには、ユーザ認証、デバイスの管理及びアプリケーションの正当性識別に基づくアクセス制御及び可視化を行うことが必要であるが、同時に、データ保護を前提とするデジタルの利用が業務遂行の足かせにならないように、ユーザの利便性も確保することに留意が必要である。

　例えばSailPoint社のソリューションでは、最小権限のアクセス制御をジャストインタイムで提供し、アクセス権限を一元的に可視化し、こと利用時の検証と継続したモニタリングを通じてアイデンティティセキュリティを確保するを可能としている。これにより、不要なアクセス権が25％削減された事例、内部監査要員が25人から2人に削減できた事例もある。

　このように、必要な人だけが必要なシステムに即時にアクセスできる利便性・ガバナンスを意識したセキュリティを確保することが、企業の競争力を支える基盤となる。

まとめ

　DX時代のITガバナンスは、経営資源になっているデジタル資産を適切に管理し、活用するための組織能力である。DX戦略の基盤となる取り組みであるため、経営戦略、事業戦略と連携させ、DX人材育成のテーマの一つとして取り組んでいただくことが、企業価値を創出することに大きく寄与することに留意し、次世代のITガバナンスを強化いただきたい。

著者プロフィール

横山 浩実（Hiromi Yokoyama）

ローランド・ベルガー プリンシパル

東京大学大学院工学系研究科修了。米系会計系コンサルティングファーム、欧系ソフトウェア会社等を経て現職。内閣官房IT総合戦略室にてIT戦略調整官としても勤務。公共業界、IT分野を中心に、デジタル事業戦略、標準化を通じたコスト・ビジネスモデル刷新、業務プロセス改革及びシステム導入など多岐にわたるコンサルティングプロジェクトに従事。

著者プロフィール

石毛 陽子（Yoko Ishige）

ローランド・ベルガー シニアプロジェクトマネージャー

東京大学文学部卒業後、日系投資銀行を経てローランド・ベルガーに参画し、東京及びシンガポールにて日本企業のアジア展開を支援。人材系ITベンチャーの役員を経て再参画。DX、全社戦略、組織改革やM&Aなど、幅広いプロジェクトを手掛ける。