複雑化するデータリスクに対応する統合リスク管理のアプローチ：Computer Weekly製品ガイド

データドリブンなプロジェクトやセキュリティ強化の必要性が原動力となって、統合型リスク管理が台頭している。

[Peter Ray Allison，Computer Weekly]

iStock.com/AndreyPopov

　ガバナンス、リスク管理、コンプライアンス（GRC）は、組織がデータコンプライアンスとセキュリティ管理を実現するための比較的新しい技術と言える。一般的にはデータセキュリティに関係しているが、データ復旧やサードパーティーとのサービス品質保証契約が含まれることもある。

　GRCは一般的にIT部門の領域だ。コンプライアンス責任者が担当する場合もあるが、他のビジネス部門が関わることはめったにない。リスクに対しては、ビジネスの観点からではなくガバナンスの観点から目を向ける必要がある。

関連記事

モバイル端末や印刷に潜むコンプライアンス違反のわな

自己暗号化ドライブ（SED）で守れるもの、守れないもの

フィッシング／なりすまし攻撃を防ぐDMARCのススメ

ソフトウェア保守契約を無検討で更新してはならない

サイバーリスクの管理に自信のない企業が今すぐすべきこと

　SailPoint Technologies Holdingsの欧州、中東、アフリカ（EMEA）業務担当ゼネラルマネジャー、ティム・ギャリガン氏は言う。「データは石油よりも高い価値を持つようになり、人間は1日で2.5EB（エクサバイト）ものデータを生成している。このデータブームから、データの安全を守って管理する必要性が生まれた。管理すべきデータが増えるほど、そのデータに誰がアクセスし、それをどう扱い、どのようなセキュリティ対策を講じるのかを適切に統制することが難しくなる」

　データ共有能力の向上に伴い、GRCは組織のデータセキュリティ手順にさらに相対的なアプローチを提供する統合リスク管理（IRM）へと発展した。「センシティブなデータのまん延する性質と、それがもたらすセキュリティおよびプライバシー問題がこの動きの原動力となっている」とALTR Solutionsの製品担当バイスプレジデント、ダグ・ウィック氏は話す。

　IRMは、リスクを認識する組織が技術と戦略を使って意思決定や実績を出す速度を速め、人の介入と自動化されたプレイブック（筋書きを想定し、そのプロセスに応じて展開すべき行動を決定）を通じて特定の状況の拡散を防止する一連のプロセスで構成される。

　ただし、GRCやIRMはどんな組織にも適しているわけではない。大規模な管理構造を持ち部門数や従業員数が多い企業、中でも複数の地域や国に拠点を持つ企業には最大のメリットがある。従業員や部門の数が限られ、オフィスが1つしかない小規模組織では、それほどの恩恵は期待できないかもしれない。

　Exasolが実施した最近の調査によれば、企業のデータドリブンプロジェクトの半分以上は失敗に終わっている。そうした失敗の4分の1以上はスキル不足が原因だった。小売りや金融サービス業界ではさらに悪い状況だったことが分かっている。そうしたプロジェクトが失敗する原因の筆頭は、データ統合、データ移行、EU一般データ保護規則（GDPR）の順守に関連していた。

　IRMはGRCよりも統合性の高いアプローチなので、経営陣は自組織が直面しているリスクとチャンスをより包括的な形で認識できる。

　GRCとIRMの主な違いの一つは、GRCが孤立、あるいはサイロ型で運用される傾向があるのに対し、IRMは組織内のデータ共有が増えるほどある部門のイベントが別の部門にも影響を及ぼすことを認識する。

　「ガバナンスやコンプライアンスが、自分たちのセキュリティ態勢をチェックする手段として使われ始めている」とタンカード氏は言う。「だが法務や人事の他の側面は持ち込まない傾向がある」

　例えばクラウドストレージは、普通はIT部門の管轄だが組織の業務の全局面に影響を及ぼし得る。同様に、従業員データベース（普通は人事部門の管轄）が使えなくなった場合、直ちに全社的な重大問題になる。

　IRMは、セキュリティを重視してリスクを認識するトップダウン方式の文化を組織に浸透させる。IRMが実現するこの統合型アプローチは、より一貫性の高いコーポレートガバナンスの機会を組織にもたらす。GRCと違って、IRMは本質的にあらゆるレベルで組織の構造に組み込まれ、経営陣による現状の把握を後押しするとともに脅威への反応を加速させる助けになる。

　SailPointのギャリガン氏は「個人および集団的責任の文化をつくり出すことは、構造上の弱点を最低限に抑える助けになるとともに、会社の資産を守ることにもなる」と指摘した。

　IRMは事業慣行に対するコーポレートガバナンス機能を強化し、データの使い方を具体的に指定することによって組織のコンプライアンス態勢を強化できる。その結果、手順が組織全体に運用レベルで浸透する。

　GDPR順守の必要性は、セキュリティ監視の複雑性を増大させたとタンカード氏は言う。「GDPRは、自分たちのデータを使う権限の多くを個人の元に戻して悪用を防いでいるという点で優れた法律だ。だが、組織が収集しているユーザー情報を誰が参照できて誰が許されないのかを管理するという点においては極めて複雑になった」

　総合的なアプローチでは、必要とする人物が必要とする情報に必要なときにアクセスできるようにすることで、そうした規制問題に素早く反応できるようになる。

　GRCは一般的に、それぞれの部門が孤立して業務を行う。これは時間とリソースの使い方が非効率的になるだけでなく、複数の部門が同じ作業を行うという作業の反復にもつながり得る。こうした作業の重複は混乱を引き起こすだけでなく、部門間の不信の種にもなりかねない。

　タンカード氏は言う。「これが単なる一般的なリスクとコンプライアンスだったときは、多くの物事が重複していた。思考のつながりがないことは真の問題だった。ある部門がわれわれの所にやってきて、IT部門が言っていることを信用できないので、モニタリングソリューションを導入してほしいと求める状況に陥ったことさえある」

　それと比べると、IRMの中核的な利点は組織が自分たちのリスクと、それが全体に及ぼし得る影響について理解を深められる点にある。この総合的な認識は、組織構造の効率性を最大限に高め、イベントへの順応性を向上させ、目の前にあるリスクとそれをどう回避すべきかに関する認識を高める絶好の機会を与えてくれる。

　これを通じ、IRMは本質的に会社経営の効率性を向上させる。複数のシステムを横断して情報を共有する場合はタイムラグが生じるが、全てを組織全体で平等に共有すれば、準備ができ次第、各部門が即座にかつ適切に情報にアクセスできるようになる。

　この手法で業務の無駄を洗い出すこともでき、ワークフローの一層の合理化と生産性向上につなげることができる。

新しいビジネスチャンス

　IRMによって管理が強化されるおかげで、組織は既存の業務の中に新たなビジネスチャンスを見いだすことができるようになる。企業は特に不安定な時期においてはリスクを取ることを嫌うかもしれないが、IRMは想定されるリスクに対してうまくバランスを取る機会にスポットを当てることができる。業務に対して包括的な視点を持つことで、それまでは考慮されなかったかもしれないリスクとチャンスの両方に可能性を見いだすことができる。

　競争が激しい市場の性質や技術開発における急激な変化を考慮すると、組織が生き残るためには競争力を維持する必要がある。そのための方法の一つが、チャンスを見極めて関連するリスクを理解することだ。

本質的な課題

　だがIRMではあらゆる恩恵と同時に、適切に導入する上での本質的な課題も残る。早いうちから成果を出すために、できる限り早急にIRMを導入するのが最善だと考える向きは多い。一部の組織は既にこのシステムを導入しているかもしれないが、その全てを集約して連携させる必要がある。

　「企業が必ずしも新システムを大量に導入する必要はない。離れ小島状態にしておくのではなく、現状よりもうまく連携させることに尽きる。そうした離れ小島状態を解決するなら、唯一の方法は管理プロセスを統合して役員会を取りまとめ、声を1つに集約することだ。これは急ぐ必要がある。なぜなら事態は現在進行中であり、もし着手していないのであれば、合理化のことを考えているはずだからだ」（タンカード氏）

　ただし、そうしたシステムの連携は最も困難な局面になるかもしれない。特に、全てのシステムが新しい構造の中で適切に統合され、個々のユーザーや部門が業務をこなすために必要な情報に問題なくアクセスできることを確認すると同時に、必要なデータ保護基準を維持することが重要になる。

　「これは仕事を割り当てる際の課題になる。なぜなら担当者がその仕事に関連したリスクのことを熟知している必要があるからだ。人に対して適切なポリシーを適用し、パーミッションが破られないことを確認し、法令やガイドラインの順守を徹底させることには大きな需要がある」。Zarion Softwareのプロダクトマネジャー、スティーブン・ラルフ氏はそう語る。

　IRMを適切に確立するためには、恩恵を享受する前に時間とリソースの両方に相当の投資を要する。残念ながら、高度に技術的なIRMのこの性質のため、適切なスキルセットを持つ人材の数は非常に限られる。

　「リスク管理に携わる全員が、GRCとIRMの特権をかみ砕いて理解できるスキルと能力を持たなければならない」とALTRのウィック氏は言う。

　ただし選択肢は幾つかある。一つは、必要なスキルセットを獲得するためにIRM導入の経験がある人材を採用することだ。これは最も資本を要する方法だが、IRMをすぐにでも導入したいのであれば最も現実的な方法でもある。

　その代替として、現在いる従業員をトレーニングしてIRM導入の準備をさせることもできる。これは資本の有効的な活用方法かもしれないが、その知識は大部分が理論的なもので、実践で試したことがないという問題はある。そうした従業員がIRMを導入する前に辞めてしまうリスクもある。

　最後に、フリーランスのコンサルタントと契約してネットワークにIRMを導入することもできる。スキルの獲得という点においてこれは最も資本の集中を必要としない方法だが、事業の効率性という点では最も効率が低い。契約期間が終了すればそうしたスキルセットを失ってしまう。

　そうしたリソースへの投資は、リソースが限られる組織にとっては特に課題が大きい。だが十分な余裕を持って計画を立て、ビジネスニーズに対する認識を高め、投資に優先順位を付けることによってこの問題はある程度回避できる。

　IRMを導入した組織が直面する課題は、克服できないものではないが確かに存在する。大企業にとっては、リスクをはるかにしのぐ恩恵があり、競争上優位な立場を将来的に維持する態勢の確立につながる。

　「今は隙間からこぼれ落ちるものがあまりに多い。従って、離れ小島状態にしておくのではなく、物事を集約して視野を広げさせてくれることは何であれ、前進に向けた道筋になるはずだ」。タンカード氏はそう話している。