1.IRMへの関心の高まり
組織におけるリスク管理の考え方として、現在「IRM」が注目されています。IRMとは、Integrated Risk Managementの略称で、従来のコンプライアンス重視の考え方とは異なり、パフォーマンス、レジリエンス、保証、コンプライアンスの一連のリスクにバランスよく対応することで、組織の意思決定を最適化し、パフォーマンスを向上させることを目的とした、統合リスク管理と呼ばれる概念です。
IRMの最大の特徴は、ビジネスに影響するリスクにフォーカスしている点です。組織を安全に運営するための管理手法として、これまでは、過去に起きた問題を回避するための規制対応やコンプライアンス遵守を重視するGRC(Governance Risk Compliance)という概念が採用されていました。しかし、GRCでは、組織のパフォーマンスの向上ではなく、コンプライアンス遵守を起点として組織を管理する考え方であるため、時間やお金をかけて様々なリスクへの対応を試みるものの、必ずしもそれがビジネスの成果につながらないということも多々あるのが難点でした。それに対し、IRMは、ビジネスを推進する要素に影響を与えるリスクに着目し、パフォーマンス、レジリエンス、保証、コンプライアンスにバランスよく対応することで、複雑化・多様化するリスクを効率的かつ効果的に管理することができます。このように、未来に起こりうるリスクを的確に把握し対応するIRMへの取り組みは、状況の移り変わりが速い今の時代に対応して組織を安全に運営するために有効であると考えます。
2.IRMの6つの要素
IRMを構成する要素として、ガートナーにより以下の6つの要素が定義されています(※1)。IRMを実現するためには、組織はこの6つのアクティビティの全てを対処する必要があります。
図:IRMの6つの要素
では、これらの要素を対処しIRMを実現するにあたって多くの組織が解決すべき課題について、3章で示します。
3.IRMを推進するために必要なこと
前章で紹介した6つの要素は一朝一夕に実践できるわけではありません。IRMを実現するためには多くの組織において以下に示す2つの課題を解決することが必要であると考えます。
第一の課題は、多くの組織ではビジネスに最も影響を与えるリスクを優先的に管理することができていない可能性があることです。現在多くの組織では、JIS Q 27002やNIST SP 800-53等の一般に公開された規格で示されるセキュリティ対策を実施できているかをチェックし、組織に存在するリスクを特定しており、このやり方では必ずしもビジネスに影響を与えるリスクを抽出し、優先的に対応するということができていないのが現状です。
この課題を解決するためには、自組織のビジネスの背景や特徴を踏まえたリスク把握を行う必要があります。具体的には、ビジネスの背景や特徴から、組織が優先的に達成すべき目標を実現するための要素(以下、「ビジネスドライバー」という。)を抽出し、阻害要因となるリスクを特定した上で実施すべきセキュリティ対策の状況を測るためのKPI(Key Performance Indicator)やビジネスドライバーへの影響を測るためのKRI(Key Risk Indicator)を設定します。
これらを実行するには、組織固有の状況を加味するための工夫が必要です。まず、ビジネスドライバーを抽出するために、組織が掲げる目標や外部環境に関する情報等、ビジネスに関わる情報を幅広く収集した上で、何がビジネスに特に影響を与えるかを検討する必要があります。そして、推進すべきセキュリティ活動を特定するためには、ビジネスドライバーの実現に向けた関係各所の取り組みやその背景にある狙いを考慮する必要があります。さらに、KPIやKRIに関しても、一般に公開されている情報からのみで設定することはできず、セキュリティの成熟度に応じて設定することが重要です。
第二の課題は、組織を取り巻く環境の変化のスピードが激しい状況において、リスク状況をタイムリーに把握できていないことです。一般的に、企業のセキュリティ対策の状況は、エクセルベースのチェックシートを関係各所に配布し、かなりの手間をかけて記入してもらい、その内容をチェック/分析することで把握しています。企業に依りますが、この一連の活動を1~3年周期で実施していることが多く、このようなアナログな手法が未だに主流であるのが現状です。
この課題を解決し、タイムリーなリスク把握を実現するソリューションとしてIRMツールの活用が挙げられます。IRMツールを用いることで、関係各所へのヒアリングからその回答結果の集計までの一連の業務を一元的に実施することができ、いつでも見たい時にリスクの状況を確認することができます。さらに、リスクを把握するための情報を自動収集することで、常に新鮮な情報を手に入れることが可能になり、人手を介さないことから情報の正確性が向上します。
ただし、IRMツールを実装するだけで適切なリスク管理ができるわけではありません。情報を自動収集する仕組みを構築する場合、チェック項目を判定するために必要な情報の洗い出しが必要ですし、その情報を調査対象の端末やサーバからIRMツールに連携する方法を検討する必要があります。その連携も、IRMツールの機能を用いて調査対象の構成情報を収集する方法や、個別のセキュリティ製品の情報をAPI連携で取得する等、方法は様々です。
また、情報を自動収集して終わりではなく、チェック項目の判定方法の検討も重要です。素データの蓄積だけでは当然不十分であるため、前述したKPIやKRIに落とし込むためのデータ分析やその仕組みづくりが必要です。さらに、業務フローや体制を見直す必要があるケースもあります。組織が保有するあらゆる情報システムからIRMツールに情報連携するにあたって、連携可否等に関する関係各所との調整、ルール整備が必要です。
このように、IRMツールの実装は一筋縄で構築できるものではなく、様々なステークホルダを巻き込んだ細かな工夫が必要です。NTTデータでは、これらのIRM実現に向けた支援サービスを検討しています。
4.まとめ
従来のリスク管理はコンプライアンス主導のリスク管理が主流でした。しかし、状況の移り変わりが速い今の時代には、コンプライアンスだけではなく、ビジネス成果主導で、パフォーマンスの向上を実現するためのリスク管理であるIRMという考え方が重要になってきています。実現のためには、ビジネスコンテキストを踏まえたリスク管理と、タイムリーな情報収集を実現することが鍵となると考えます。
