「クラウドは危険」を疑え。形だけの統制がリスクを招く:情報マネージャとSEのための「今週の1冊」(51)
IT統制などは「やればいい」というものではない。経営環境が激変している今、形だけの監査は思わぬリスクや損失を招くだけだ。
監査マネジメント技法――危機管理・リスク管理と監査
・著=戸村智憲ビジネスのグローバル化に伴い、J-SOXやIFRS対応など、エンタープライズ・リスクマネジメントの重要性が一層増している。特にIT分野においては、社外の資産を使うクラウドコンピューティングの進展により、IT統制にも新たな視点が求められつつある。だが監査の在り方を誤れば、企業を良くするための監査が、「現場のモチベーション、生産性を損ね、ギスギスした企業風土を育てる経営上のリスク要因となってしまう」――
本書「監査マネジメント」は、真に有効な監査を行うための知見をまとめた作品である。監査というと「定年間近の人が行う名誉職」、チェックリストを使って「問題点をフォーマット通りに是正報告すればそれで良いもの」といったイメージが根強く残っている。だが、経営・監査環境が激変している今、状況に合わない“格式ばった形だけの監査”をいたずらに実施するだけでは、何のメリットもないまま、単に業務を遅滞させるだけにもなりかねない。問題の本質をとらえた、真に実のある監査と是正・改善を行わなければ、監査自体が「リスク」になってしまうこともあり得ると、強く訴えるのである。
例えば、既存のIT統制も“形だけ”に陥りがちなさまざまな問題をはらんでいる。中でも多いのは、ログを取得していても「単なる取りっぱなし」に陥っており、「ログに関するPDCAサイクル」を回せていない――つまり問題の早期発見・早期是正につながっていない、といったログ管理の問題だ。だが、これを改善しようとすれば、ログ取得・分析用ツールの導入費用、管理者の人件費など、「多額の予算」という新たな問題を引き寄せてしまう。
では、“真に実のある監査と是正・改善”を行うためにはどうすれば良いのか? そこで筆者が提案するのが「クラウド統制」という独自の考え方だ。ログ管理用サーバ、ログの収集・分析ツールをクラウドサービスとして利用することで、コストを大幅に抑えられると説くのである。
だが、本書の提案はここで終わりではない。実はここからが読みどころなのだ。クラウドサービスを使うとなると、必ず持ち上がるのが、「社外にデータを保管するからクラウドは危険なのではないか」という議論だ。筆者はこれに対して、確かに「クラウドは100%安全ではないですが、既存のITも100%安全なものなどあり得ません。ましてや情報漏えいの事件・事故の大半は社内犯による漏えいです」と述べる。つまり“イメージや周囲の評判だけに左右されず、実態・本質をきちんと見据えて考える”ことの重要性を指摘するのである。
その1つの根拠として示される事例も興味深い。ある大手企業では、IT統制に則り、自社のサーバルームへの入退室管理の徹底を図った。入退室管理票を作り、入退室する際には管理者に申請を出し、それが承認されて初めて入退室できるというルールを設け、その申請・承認履歴を管理票に必ず記録するようにしたのである。しかし監査を行ってみると、管理者を1人しか置いていなかったため、管理者が出張などで不在の際には勝手に入退室し、管理者が後で事後承認していたと分かった。社内にIT資産を持ち、立派な管理制度を作っていても、管理者1人がいなくなっただけで「あっという間に無法地帯」になっていたのである。
まさしく“形だけの統制”というわけだが、こうした問題の前では「クラウドサービスは社外にデータを出すから危険」という議論などナンセンスだ。つまり筆者は、周囲の評判だけに影響されて思考停止に陥ることなく、自社の実態、クラウドサービスの実態、自社が取り組むべきことをきちんと見据えて考えれば、より低いコストで「堅牢かつ健全なIT統制」を実現することも可能だと訴えるのである。
本書の魅力は、このように監査におけるさまざまな問題に触れながら、“形や形式”にとらわれず、真に有効な監査を行うための考え方を紹介してくれる点にある。もっと言えば、監査を通じて「経営を改善するための視点」を提供してくれる作品であり、決して“格式ばった”監査マニュアルなどではないのだ。
もちろんIT統制の話題はごく一部であり、このほかにも監査をする側、受ける側の心理をひも解いた「監査心理学」や、円滑に監査を行うための「監査コミュニケーション」など、監査にとどまらず、組織を運営する上で役立つ知見を全方位的に収めている。加えて、学術書のような固い印象のタイトルを裏切る、非常に柔軟かつ分かりやすい戸村氏の筆致も魅力。どの部門の人が読んでも、一種のコラムとして楽しみながら、業務改善のためのあらゆるヒントが得られるはずである。ぜひ手にとってみてはいかがだろう。
- 人はなぜ不正を働くのか?
- なぜIKEAは世界中で支持されるのか
- 今こそ「メディア」を考える
- 部下を信じ、尊敬する
- ご機嫌取りになれ
- “暗い未来”に漫然と向かわないために
- 1つの行動が社会を変革する
- あなたには確固たる「ミッション」があるか?
- 「会社に行きたくない」人ほど会社に依存している
- 失敗の2大パターンは“精神論とお役所仕事”
- コミュニケーションは、ツールではなく人が行うもの
- 社員が疲弊している会社は、経営層とITに問題あり
- ロジカルシンキングで成果が出ない訳
- 手段ばかりを求めていると、結果は出せない
- 「技術へのこだわり」という日本企業の根深い病
- 日本軍とまったく同じ、日本企業の“敗戦理由”
- “技術だけ”では、開発プロジェクトは失敗する
- 断捨離で、業務とシステムはもっと快適になる
- 仕事でモメたくない人のための教科書
- その油断と慢心が“炎上”を招く
- 本当は怖いフェイスブック
- 組織も自分もダメにする「自分大好き」という病
- 災害対策、コスト削減、システム改善は全て同じ問題
- あなたなら、自社システムをどう攻撃する?
- “想定外”から1年、見て見ぬふりはしていませんか?
- ナイトライダーも示唆する人とシステムのあるべき関係
- アップルが成功し、ソニーが失敗した理由
- 貴社のビジネス、ITシステムに“マインド”はあるか?
- 何のために働くのか? その回答はシンプルそのものだ
- 事故を起こす企業の特徴は、「責任者が不明」
- スマホ導入は、セキュリティポリシー設定がキモ
- 失敗は、「簡単なこと」「当たり前のこと」で起こる
- ITがどれほど進展しても、経営の基本は変わらない
- コピペやお絵かきが得意な人は“中毒”の疑いあり
- 情報は、人間関係があって初めて有効に活用できる
- “顧客”や“ユーザー”との関係作りを見直そう
- システム導入・浸透のポイントは“楽しさ”にあり
- “当たり前”を覆すチャンスはまだまだ埋まっている
- ソーシャルメディア・リテラシが収益を左右する
- 技術者はアーティストであり、製造業者ではない
- 分析するのは「ツール」ではなく「人」である
- ブランドは、消耗品である
- 当然のことを当然にこなすための指南書
- リスクを知っていてこそ、スマホは使いこなせる
- 個人でも企業でも、“ナンパ野郎”はウザいだけ
- 「見える化」だけでは、ビジネスは進まない
- 2ちゃん、ニコ動、外務省。次の標的は貴社のサイト!?
- あなたの会社は「突然死」の危機にさらされている
- BCPは、業務部門と情シスが連携して初めて成功する
- 仕事や人生、そして復興にも、秘策はない
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。