ITガバナンス

　ITの世界も例外ではない。例えば、クラウド・コンピューティングの普及により、企業は情報システムがどのように動いているかなどを気にする必要がなくなった。それがクラウド・コンピューティングのメリットでもあるが、ISACA副会長のロルフ・フォン・ロッシング氏は次のように指摘する。 

　「たった数ページのSLA（Service Level Agreement）でカバーできることは限られている。もし、SLAに書いてなかったら、ユーザー企業の思惑とは違う対応をするかもしれない。性悪説で考えれば、SLAにはいくら書いても書ききれない。だから、モニタリングが必要となるのだ」 

　つまり、クラウドで提供されるサービスが、正しく機能しているのか、不正をしていないかなど、ユーザー企業でモニタリングすべきということである。情報漏洩が発生すれば、結局のところユーザー企業の責任となることを考慮すると、その必要性を理解することができる。

　「ビジネスにおいて最もリスクの高い部分はどれなのかを見極める。そこでリスクを下げるためにコントロールする。不正があれば、不正がないように、例えばチェック機構を入れるといったことをコントロールと呼んでいる。そのコントロールを含めて、しっかりと機能しているかどうかを見るのが、モニタリングとなる」 

　コントロールを入れたところで、機能しているとは限らない。だから、モニタリングが重要になるというわけだ。 

　ただし、モニタリングが機能するとも限らないため、場合によっては外部のサービスを利用したり、モニタリングをモニタリングしたりするといったことも必要となる。そのため、これではモニタリングという作業に際限がないように感じてしまう。モニタリングを実施することによって、結局、大きなコストがかかるようではパブリック・クラウドを利用しない方がよいということになりかねない。 

　これに対してジョンソン氏は「たとえ社内の情報システムでも、IT部門が提供するサービスと考えれば同じ。クラウドであろうがなかろうがリスクがある以上、監査的な視点が必要になる」と指摘する。モニタリングが必要とされるのは、クラウドに限った話ではないということだ。もちろん、ITだけの話でもない。マネジャーなら部下をモニタリングする必要があるし、部下もマネジャーをモニタリングする必要がある。企業のトップでさえも同じ立場にある。 

　一方で、モニタリングが重要だとしても、こうした監視社会的な発想は日本では受け入れがたい面もある。「すべてが日本だけという閉じた世界の話ならそれもあるだろうが、海外とのやり取りがあるなら無視はできない。それにクラウドなら世界中のどこにあるか分からない。本当に信頼できるのか？」とロッシング氏は警告する。日本人が常識だと考えるサービス・レベルが、海外では通用しないケースがあることも想定しておくべきだろう。

　「SOX法の対応では多くのコストが必要となるが、それを削減するためにモニタリングが利用されている。モニタリングが機能していれば、財務報告にウソがないことが証明しやすくなり、監査対応が容易になるためだ」とジョンソン氏。もちろん、モニタリングはSOX法対応のためにあるわけではなく、監査コストの削減は効果の一面にすぎない。 

　繰り返しになるが、モニタリングの適用範囲は広い。そうした中で、CIOはどのような役割を担うべきかについて聞いた。 

　「CIOがやるべきなのは、社内でモニタリングのカルチャーを作ること。そして、それを機能させること」とジョンソン氏。また、「CIOはITコストを下げることや、どのようなIT投資をするかなどに注力しがち。それも大事だが、何か問題が起きたときにはモニタリングの重要性を認識するはず」と付け加えた。もちろん、それでは遅いのだが。