多くの企業が内部統制強化に取り組んでいる。だがその進め方については疑問を呈する声も少なくない。先日,6月26日に東証マザーズに上場したばかりのデジタル・フォレンジック調査の専門会社UBICの守本正宏社長から興味深い話を聞いた。

 「企業の(内部統制強化への)取り組みはセキュリティシステムへの依存が肥大化し,“防御のための防御”になってしまっている。重要なのは,ダメージを受けてもすぐに攻勢に転じられる態勢を作ること,すなわち“攻撃のための防御”でなくてはならない」。

デジタル・フォレンジックは不正抑止にも効果

 内部統制強化において,IT統制やセキュリティはリスク管理の重要なテーマである。企業の中には,統制ツールの導入に巨費を投じ,監視の網を幾重にも張り巡らして,ささいな異常でも漏らさず検知しようと躍起になっているところもある。あのリスク,このリスクと,想定し得る限りのリスクに対応しようとすると,予算はいくらあっても足りないのが実情だ。

 しかし,いくら監視や検知能力を強化したところで,不正を立証する機能を持たなければシステムは骨抜きになる。デジタル・フォレンジックは電子データを解析することによって不正行為を立証する手法であり,うまく使いこなせれば,低コストで,内部統制の強化を効果的に実現するための武器になる。不正を察知した場合,初動調査を速やかに行って証拠を押さえられれば,問題を内部的に処理することができ,被害を最小限に留めることができるからだ。

 「多くの不正行為を見てきたが,犯罪者を最終的に突き動かすのは,『不正をしてもバレないだろう』という根拠のない自信。デジタル・フォレンジックによってPCの定期監査を行えば,不正行為をけん制する強い抑止力になる」と守本氏は話す。

被害を最小限に食い止め,攻勢を維持する

 企業が情報漏えい事件などを起こした場合,それによって企業が被るダメージを最小限に抑えるマネジメント技術がダメージコントロールである。内部統制の時代には,リスクコントロールと同時にダメージコントロールをいかにうまくやるかが鍵になる。

 実は守本氏は,ダメージコントロールの重要性を文字通り,肌身をもって知った経験がある。民間企業に転じる前は海上自衛隊の艦艇部隊に所属し,数々の航海演習に参加して実戦さながらの訓練を積んできた。「敵のミサイルを機関砲で迎撃する射撃演習では,護衛艦のわずか数十メートル先の海上で,ミサイルが爆破されたこともある」(同氏)。

 このような戦闘訓練の中,常に考えるべきことは,「いかに味方の被害を最小限にとどめながら,戦闘能力を維持するか」だった。実際問題として,護衛艦の船体の壁は意外に薄い。大きな流木に当たると穴があいてしまうという。敵のミサイル攻撃を受けたらひとたまりもない。

 「壁が損傷を受けたときのために,何を積んでおくと思いますか?」と守本氏は意味ありげに問いかける。「実は,毛布と木ぎれなんです」──思わぬ答えに,筆者は目をしばたかせた。船体の壁に穴があくと海水が流れ込んできてしまう。それを防ぐのに,なんと不要になった毛布や木ぎれを使うというのである。

 壁を厚くすればいいかというと,そうもいかない。必要以上に壁を厚くすると船体が重くなり,航行速度が落ちる。それでは戦闘力に影響する。コスト面から見ても,レーダーや機関砲など攻めの装備に資金を投下し,防御のための装備には最低限のコストしかかけない。

 戦闘力の継続・維持を最優先にし,被害を受けた場合には影響を最小限にとどめる=ダメージコントロールが,戦闘訓練における最高の行動規範だった。「これはBCP(Business Continuity Plan)の概念に通じ,ダメージコントロールとしてのフォレンジックを市場に拡げるというUBICの戦略につながっている」と守本氏は話す。

 「内部統制はコストがかかる」と嘆く向きが多いのは,防御にばかり眼が行っているからではないか。企業の使命は,事業の成長や収益の拡大にある。攻めの経営に資金を投下し,守りのコストはできるだけ抑えなくてはならない。それには自社の業態を徹底分析し,リスクを見極め,しかるべきところに効果的かつ集中的に資金を投下する必要がある。リスクの低いところには“毛布と木ぎれ”で十分なのだ。

 機関砲か,毛布か,リスクの見極めは,結局のところ社内の人間にしか分からず,十分に議論を尽くすことが求められる。ITコンサルタントが提示する一般論だけに流されず,内部統制の整備はこの最初の段階が肝と心得ておく必要があるだろう。