シマンテック グローバルサービス担当のグレッグ・ヒューズ氏
シマンテック グローバルサービス担当のグレッグ・ヒューズ氏
[画像のクリックで拡大表示]
シマンテック会長兼CEOのジョン・トンプソン氏
シマンテック会長兼CEOのジョン・トンプソン氏
[画像のクリックで拡大表示]

 「今後の企業活動において、ITリスク管理は不可欠だ」。米シマンテックが11月2日に都内で開催したイベント「Symantec Vision 2007」で、同社のグレッグ・ヒューズ グローバルサービス担当グループ・プレジデントは、ITリスク管理の重要性を強調した。

 同社は、このところセキュリティ技術だけでなく、セキュリティ・インシデント(不慮の事故や事件)に伴う事業リスクを考慮した「ITリスク管理」の必要性を説いている。同社が定義するITリスク管理とは、「リスクを減らすこと」「コストをコントロールすること」「ITのパフォーマンスを最大化すること」の3つである。ITリスク管理ができることが、企業の競合優勢性につながるとする。講演でヒューズ氏は、ITリスク管理を実践している例として、ルノーF1チーム、セールスフォース・ドットコム、スターハブを挙げた。さらにリスク管理を専門とするCRO(Chief Risk Officer)の必要性も語っている。同社のジョン・トンプソン会長兼CEOは「既にCRO職を設けている企業もある」と報告した。

 同氏は講演で、北京オリンピックの予約システムのダウンなどを引き合いに出すなど、毎日のように何らかのIT関連のトラブルが報道されていると紹介、「野心的なゴールだが、ITリスクがない世界を目指そう」と呼びかけた。シマンテックは、この目標に向けていくつかの会社と協力体制を築いている。しかし、現状では、500人のITマネージャのうち約6割が「1年以内にIT関連のトラブルが起こる」と回答しているという調査結果を報告した。

 こうしたセキュリティ対策やITリスクに対するコストや人員などのリソース配分については、どの企業も頭を悩ます課題である。こうした課題に対して、ヒューズ氏は横軸を想定被害規模、縦軸に企業にとっての戦略的価値をとったマトリクスを示した。例えば、戦略的価値が高く、想定被害規模が小さいものについては自社で実践、逆に被害規模が大きいが戦略的な価値が低いものについてはアウトソースすべきなど、指針を示した。アウトソースについては、単に技術だけではなく、その「後ろ側にいる人や事業プロセスが重要」(トンプソン氏)とし、シマンテックに任せて欲しいとアピールした。

 さらに、ITリスク管理の実践にあたっては、「ITリスクの現状把握」「インパクトの数値化」「ソリューションの設計」「ITとビジネスバリューの整合、ソリューション導入」「持続的な改善プログラムの構築」の5つのステップで進めるべきだとした。こうした活動を支援するツールとして、「Foundation IT Risk Assessment」の提供を日本国内でも始めると発表した。