ITリーダーは自らの成功のために,そして企業の成功のために何を成すべきだろうか。米ITリサーチ会社ガートナーのアナリスト,Dale Kutnick(デール・カトニック)氏が,今注目の八つの領域それぞれについて解説する。Part6では,多くの組織で最重要の課題となっているセキュリティやリスク管理について取り上げる。Dale氏は「ITリーダーは,セキュリティをリスク管理と保険の観点から経営トップに説明できるようにしたい」とアドバイスする。(構成=ITpro)

 セキュリティは,全ての企業が常に直面している問題です。いま社員はノート型パソコン,PDA(携帯情報端末),携帯電話を持ち歩いています。社員だけでなくビジネス・パートナーも持っており,ネットワークを使って社のシステムにアクセスします。

 セキュリティというとファイアウオールやウイルス対策ソフトなどに目が行きがちです。もちろんそこを気にかける必要もありますが,ITリーダーは違う視点を持つべきです。

 CEO(最高経営責任者)はリスクマネジメントに目を向けています。個別のワームやウイルスは気にしていません。企業をいかにして保護していくか。ノート・パソコンが盗まれた場合,内部の情報はセキュアなのかに目を向けているのです。CEOは株主に対して,市場に対して責任を負っています。問題があれば当然,株価は下がっていきます。経営の基本的なところを押さえていく必要があります。

 いまだ多くの企業は,ウイルス対策ソフトを買った,ファイアウオールも買った,それからIDS(侵入検知システム)も買ったことで,企業が守れたと思っています。ところがそうではありません。製品ごとにベンダーが異なり,連携が図られていません。これは脆弱性につながります。侵入されたからすぐに検知できるとは限りません。

 一段階進んだ企業は,セキュリティ・ポリシーを導入し,セキュリティ対策チームを結成しています。チームというアプローチを導入する段階です。1つのチームとなって,統合化されたセキュリティ・ポリシーについて考えます。これは,「自分たちが知らないということを知る」段階と言えます。自社の脆弱性として,どんなものがあるのかを把握する。そして,一定のプロセスの中で脆弱性をカバーしていくわけです。

 さらに進んだ企業は,もっと高いレベルでのコミュニケーションを実現しています。CFO(最高財務責任者)に対して,リスクマネジメントや保険という側面で話をします。セキュリティ対策に必要なコストの話もできます。CFOは必ずお金,コストのことを考えています。一体どれだけの予算を防御にかけるべきなのかをCFOと議論できるようにしています。ビジネスの観点から,ビジネスの人として話せるという状況です。現在,企業全体の15%程度がこのレベルに達していると見ています。

 大体50%の企業が,全く問題がなくなったというわけではありませんが,基本はできていて,コストと結果が考えられているという状況です。何か起きたら即時,何をすればよいのかという対策が決められています。

 ただ,到達すべきは,テクノロジーとビジネスの変更に対してきちんとトラッキングをしていく継続的なプロセスです。ここまで進めばバッチリです。プロセスを決め,アーキテクチャを設計し,戦略的なプログラムを敷いてビジネス・レポートをしっかり書いていくという段階です。2008年までに大体20%の企業がこうした段階に進むと思います。

セキュリティ&リスク管理

2008年までに,リスク・マネジメント・サイクルを回せる体制を確立すべき

 注意したいのは,セキュリティ=コスト設定ではないということです。もちろんコストを考えることは重要です。しかし本来は,ビジネスに対して考えるべきです。つまり,リスクは何で,それに対する保証は何なのかという視点で考えるのです。セキュリティはリスクマネジメントです。より高いレベルではそういう考え方をします。

 要するにセキュリティ対策とは保険を買うようなものです。ですから,ITリーダーの方々は,CFOと話をするときにリスク管理と保険の話をすると良いでしょう。セキュリティ対策の話をするのではなく,リスク管理や保険の話をすれば,CFOに分かってもらえます。CFOの問題意識はそこにあるからです。

 また,セキュリティは効果の問題です。コストを削減して,何か起きたらどうでしょうか。誰かのクビが飛びます。一方,ちょっとコストが高めについた,でも安全でエグゼクティブもこれならとりあえず大丈夫だと判断できるレベルにあるのであれば,皆さんITリーダーは仕事をしっかりやったと判断されると思います。

≪11月24日(金曜日)公開の次回は,ソーシング&ベンダーリレーションズについて解説します≫


■ITリーダーがとるべき八つのアクション 目次

総論:ITリーダー、成功へのエール 
Part1:ビジネス・インテリジェンスと情報管理 
Part2:エンタープライズ・アーキテクチャ 
Part3:アプリケーション管理 
Part4:ビジネスプロセス改革 
Part5:IT基盤&運用 
Part6:セキュリティ&リスク管理 
Part7:ソーシング&ベンダーリレーションズ 
Part8:プログラム&ポートフォリオ管理