· 

テック産業アナリスト-のと裕行のライフイノベーションコラム-39

39号リスクマネジメント×テクノロジー=リスクテック(RiskTech)②~テクノロジーリスクのランキング1~4位~

今年も日本最大のIT展示会『第11回 Japan IT Week 秋』が10月28日(水)~30日(金)まで幕張メッセで11の展示会が開催されます。そのうち注目の1つの展示会が「第10回情報セキュリティEXPO」です。

情報セキュリテイ・標的型攻撃対策の範囲は幅広く、サイバー攻撃対策、ゼロディ攻撃対策、情報漏えい対策、AI感染症対策などに関するソリューションが一堂に出展する展示会となり、こういった【リスクテック】細部までフォローされる展示会が開催されるほどこれから、企業として、組織として、国や地方自治体としての備えは万全を期さなければならない時代だということです。

 

また、それらの事故や自然災害や事件など緊急事態が、もしも起こったときの対策や方法をまとめた計画・プランをBCP=Business Continuity Plan 事業継続計画と呼びます。

これらは経済産業省や厚生労働省がISOシリーズとしても推奨する企業・組織の被害を最小限に止め、すぐに、何事も無かったように事業を継続することを可能とするマネジメントシステムになります。 

 

それでは、具体的に企業・組織から個人の情報セキュリテイに目を向け、私達が職場で月一度、実施している情報セキュリティ事項を簡単にご紹介しましょう。

・社給携帯電話やスマホの有無の確認

・その携帯電話やスマホの安全ストラップの状況

・USB等の外部記憶媒体の使用の有無と所在確認

・従業員カードの有無

・従業員カードのネットストラップの破損状況の確認

・ビル入館カードの保管場所の確認

・各種パスワードの定期的な変更

 

一人一人の毎月一度の小さな確認が、全社員に及ぶと強大な力に膨れ上がります。

大きな事故も小さな些細なことから起こることもあります。

そして一人一人が、万が一の事故や紛失の対策。上司への連絡網やデータ通信の停止等

の手順がきっちり決まっていること。その訓練ができていること。

すなわちBCPを策定し備えが出来ていれば、大きな事故は回避できるかも知れません。

 

しかし、10月1日に発生した東証の障害の原因について富士通は「マニュアルの記載と実際の仕様の齟齬(そご)があった」と説明しました。そして私達はどれだけリスク対策を行っていてもリスク回避出来ない場合があることを、身をもって経験しました。

とはいえ二度とこの様な惨事を起こしてはなりません。そして私は、新たなBCPというリスクマネジメントと共に、どのようなリスクも、一人の人間が注意を怠らなければ防げると信じています。

いくらテクノロジーが進化してもリスクは人間がマネジメントしなければならないのです。

 

●テクノロジーリスクランキング

 

今回も前回に引き続き【リスクテック】についてお話いたします。

皆さんは、『The Institute of Internal Auditors(IIA・内部監査人協会)』という国際組織があるのをご存知ですか?この『IIA』は、1941年にアメリカ合衆国ニューヨーク州の法人として、ウォール街に設立された内部監査に関する世界的な指導的役割を担っている団体です。

日本にも提携団体として『一般社団法人日本内部監査協会』が設立されています。

 

実はこの世界的な組織が、テクノロジーリスクの舵取りに役立つ『テクノロジーのトップ10リスク』というアフリカ、南米、中東、 欧州、カナダ、米国の内部監査部門長とIT専門家へのインタビューをもとにまとめたデータを世界に公表しています。

この貴重な資料を参考に今回は【トップリスク1~4位】を紹介します。

 

1.サイバーセキュリティ

このリスクは、IT業界の最大のテーマです。外部の攻撃者が機密データを盗み、データ侵害だけでなく、組織のブランドや評価への損害の可能性があります。

 

2.情報セキュリティ

組織にとって重要な情報の機密性、完全性、可用性の保護を指していますが、基本的に「ネットワークペリメータ(境界)」の保護への取り組みです。

ファイヤーウォール、侵入検知、侵入防止、コンテンツフィルタリング、ネットワークモニタリングなどの「ネットワークペリメータ機器」へ投資が必要です。

しかし、最近の大規模な組織ぐるみのマルチレイヤーの攻撃者は、いたちごっことなり防ぎようがありません。

そのためにも、プログラム責任者を設け「セキュリティプログラム」や「BCP」の作成・管理をお薦めします。

 

3.ITシステム開発プロジェクト

IT予算の大部分はシステム開発プロジェクトに費やされます。そして更には、時代と共に再開発や更新が必要となります。とはいえ、その開発の成功率は低く「全体の成功率の16.2%」です。

また、重大なトラブルが発生したプロジェクトでは52.7 %、システム障害、中止の場合は、31.1%というデータが出ていました。資料によると、ソフトウエア開発失敗のコストは、

業界全体で年間500~800億ドルというデータも出ています。

 

4.ITガバナンス

昨今の企業経営のスキャンダルを見てもお分かりのように、コーポレートガバナンスだけではなく、ITガバナンスの必要性があります。

とはいえ、経営者の中にはITに費やした費用に疑問を抱く人が多いのも現状です。

IT側が考えるビジネスニーズと経営や営業側が考えるITギャップが広がっているのも現実です。

 

そのため優れたITガバナンスには、3つの要素が必要となります。

① ビジネスとの明確な調和

② 測定可能な価値のビジネスへの提供

③ リソース、リスク、実績、コストの責任ある管理

です。

 

まだまだ興味深いランキングですが、

5位~10位までのランキングは次回のコラムでご紹介させて頂きます。