株式会社シマンテック グローバルコンサルティングサービス　ジャパン アドバイザリーサービス部 プリンシパル コンサルタント テクニカルチームリーダー 西野　光 氏

ビジネスにおけるITへの依存度が高まるにつれ，企業を取り巻くリスク要因も多様化かつ高度化している。巧妙化する脅威への対応はもちろん，データの確実な保護，パフォーマンスの向上，さらにはディザスタリカバリ（災害からの復旧）やコンプライアンスへの対応などが急務となっているのだ。これらはビジネスリスクとも直結している。例えば，ITによって提供されているサービスが停止して営業活動ができなかったり，情報漏えいなどによる信用失墜など，今やITの課題という枠を超え，重要な経営課題としてとらえる必要がある。しかし，その対応は局所的または対処療法的になっており，戦略的，包括的なITリスク管理を実施している企業はまだまだ少ない。

「ITリスク管理とは，プロセス，人材，システムの見直しと最適化を行い，組織の望むITコストとリスクのバランスを達成するための企業規模のアプローチ」とシマンテックの西野　光氏は説明する。これを実現するにはITリスクの現状や成熟度を把握し，ビジネスへの影響度を考慮した的確な優先付けを行うことが大切だ。それを可能にするのが，シマンテックの「Foundation IT Risk Assessmentサービス」（以下，FIRA）である。

FIRAはITリスク管理が必要な分野を「セキュリティ（Security）」「アべイラビリティ（Availability）」「パフォーマンス（Performance）」「コンプライアンス（Compliance）」という4つに定義。現在のリスク管理の成熟度をはじめとし，ビジネスクリティカルなリスクの洗い出しと対策についての分析を行う。

例えば，企業の知的財産や個人情報を保護するには，巧妙化し日々変化する脅威の状況を的確かつタイムリーに把握し，積極的な対策をとっておくことが必要だ。また，ビジネスのコアサービスを支えるアプリケーションに企業の営業活動が依存しているケースが増加している現在，ビジネス継続性の確保も重要な課題である。インフラの複雑化によるパフォーマンスの低下やコストの増大を解消するために，標準化への対応やシステムの統合を求めるニーズも高まっている。また内部統制や様々な法規制に対応するには，適切な法令遵守への方策と組織文化が必要であろう。「FIRAはこれらの課題を全方位的にとらえ，的確なリスク分析を基に今後の目指すべき方向性を示唆します」と西野氏は話す。

シマンテックではITリスク管理の手法として，大きく5つのステップを定義している。

ステップ1：現状のITリスク成熟度の分析を行い，対策が必要な分野や項目を明確化。
ステップ2：ITリスクのビジネスへの影響を分析および数値化。
ステップ3：課題解決に向けたソリューションを設計。
ステップ4：ソリューションとビジネスとのニーズの整合性をとり，ソリューションを導入。
ステップ5：ITリスク管理の見直しのための持続的な改善プログラムを構築。

「これら5つのステップを一連のサイクルとして定期的に実践していくことが，ITリスク管理には大切なのです」と西野氏。FIRAはこのITリスク管理手法の中で，ステップ１に当たるITリスクの把握を実現するサービス。その後のプロセスを実践していくための基礎資料となるものだ。

シマンテックは業界をリードするセキュリティおよびアベイラビリティベンダーとして，世界各国においてウイルス対策やデータ保護をはじめとする各種ソリューションのほか，ベンダーニュートラルなコンサルティングサービスを提供している。西野氏は「FIRAにはグローバル規模で培われた実績とノウハウが生かされており，現状の課題だけでなく潜在的なITリスクまで浮き彫りにし，企業の潜在能力を最大限に引き出すことが可能です」とその特徴を述べる。

ITリスク管理において最も重要なのは，なんといっても経営者やトップの意識だ。このサービスはトップダウンアプローチを意識したサービス構成となっている。具体的には，最初に経営層や，ITサイドやビジネスサイドのトップを対象にスポンサー・ワークショップを開催し，自社のITリスクの現状やITリスク管理の重要性に対する経営層レベルの認識を促し，コンセンサスを得る。同時に，インタビューを通じて組織におけるITリスク管理の現状について情報収集を行う。その後，重要な事業資産に関連するITリスクの評価・分析，関連部署のキーパーソンに対するインタビューなどを実施。収集されたデータを分析することでITリスク管理における課題を把握し，アセスメントレポートやITリスク改善プログラムを作成する。最後にそれらをもとに経営層に対してプレゼンテーションを行い，推奨是正措置などを提案するといった流れだ。

注目したいのがITリスクの評価・分析のプロセスである。FIRAでは各産業分野の知識を持ったコンサルタントの経験やノウハウに加え，ITリスクの評価・分析に当たって，最適化されたツール群やベンチマーキング・ツールを効果的に活用する。ツール群が採用している基準は，ITシステム運用の最適化のベストプラクティスである「ITIL」や情報セキュリティマネジメント・システムに関する国際規格「ISO17799」など標準規格の項目をベースに構成されている。しかも，ツールのデータには米国39業種約800社の分析データが蓄積されている。「ビジネスに関連するITリスクを網羅的に分析し，業界標準の位置付けを踏まえたITリスク管理の成熟度を評価できるのが特徴です」と西野氏。

例えば，ITリスク管理の“温度差”を示す「ヒートマップ」はセキュリティ，アベイラビリティ，パフォーマンス，コンプライアンスという4つのリスク項目を俯瞰的に評価したもの。評価結果は視覚的にわかりやすく区色分けして表示されるので，ITリスク管理の課題を一目で把握することが可能だ。

また，ITリスク状況を分析した「リスクプロファイリング」はセキュリティ，アベイラビリティ，パフォーマンス，コンプライアンスという4つのリスク項目についてビジネスへの影響度を評価したもの。各項目を「容認リスク」と「非容認リスク」に分類し，企業が取り組むべき課題に対して優先付けを行う。

ITリスク管理への全体的なアプローチを提案する「ITリスクプログラムモデリング」も注目に値する。これは分析結果を企業文化，ガバナンス，管理分野とポリシー，プログラムオフィス，顕在リスク，プロジェクト管理の6項目に分類し，レーダーチャートにまとめたもの。「自社の現状に加え，今後目指すべき理想形もレーダーチャート化されるため，どの項目に力を入れるべきかを容易に把握できます」（西野氏）。

こうした現状分析の結果は，その後のリスク対策の実行時にも大いに役立つという。「説得力のある分析結果は，トップダウンによるITリスク管理強化を実現するうえで極めて有効です」と西野氏は力を込める。

ITリスクの現状を把握し今後の戦略的なITリスク管理のビジョンを示すFIRAは，多様なITリスクのなかから企業が優先的に取り組むべき課題を提示することで投資の最適化に貢献。限られた予算を効果的に活用するうえで有効だ。さらにFIRAの結果をもとに，シマンテックが提供するコンサルティングや最適なソリューションを選択することで，多様なITリスクに包括的に対応することができる。「FIRAはビジネス全体を俯瞰した計画的・戦略的な投資を可能にし，競争力強化と持続的な成長を強力に支援します」。最後に西野氏はこのように述べ，FIRAの優位性をアピールした。