この記事は、ISACA名古屋支部が実施している外部セミナー参加支援プログラムに基づき寄稿されたものです。
参加報告
ITGI Japan Conference 2011
ISACA名古屋支部会員 平岩雅彦
【全体概要】
ITビジネスの世界ではグローバルなガバナンスが必要となったこと。時代は急激に変化しており、我々も変化に敏感になるべきであること。今やリスクマネジメントが価値を生み出すものとなったことを経営者や従業員に理解してもらい、経営者のニーズに合致したITガバナンスの監査を実施することが大切だと感じた。
COBIT5もより経営者の感覚に近い形に変わると説明があった。「IT技術志向」から「ビジネス志向」も追加する形に変え、経営トップ層のビジョンとミッションも盛り込み、非技術的な文化・スキルも入れたフレームワークにして、リスクと価値の統合によってビジネス価値創造の増大に寄与させていこうとの意気込みが感じられた。
• 基調講演
「情報セキュリティのグローバルガバナンスについて」
(パナソニック 情報セキュリティ本部 本部長 金子恵子氏)
顧客・技術・製品情報が漏れてしまう企業は、企業価値向上や高信頼企業の実現が不可能な時代になったことから、当時のトップ指示で「情報システム部」とは別に法務部門母体で「情報セキュリティ本部」を2004年に立ち上げ。→グローバルコンプライアンスの視点に感心!
情報セキュリティは (1) グローバル共通ルール、(2) 役員・従業員全てに適用、(3) 教育し違反者には厳格適用(性善説から性悪説に)に。まずIT資産の見える化、内部監査/自主精査/自己点検、全従業員へ情報セキュリティガイドブック配布とeテストを実施。事業場ごとに一日監査を3年に1回行うための監査プロフェッショナル研修の先生を育成し約4000人へ1日研修終了した。最近の技術情報の盗難は本社を狙わず、技術情報が行っていそうな下請け企業に行ってデータを盗られることが行われる様になったため、取引先の監査も始めている。
SPAの2011/10号でも記事になったが、日本の企業の社内文書が中国のBidoに大量に掲載され今回の配布資料から社内情報は記載不可となった。ログ監視は無実の証拠が残るログによって、結果的に従業員の保護となること。性弱説、弱い心を発現させないための環境を作ることも大事である。
• スポンサーセッション1
「ITと会計」ガバナンスが導く経営管理の高度化
(日本オラクル アプリケーション事業統括本部 担当ディレクター 桜本利幸氏)
ERPとEPM(Enterprise Performance Management)の導入でコスト削減事例紹介。
• 海外スピーカーセッション1
「イノベーションが連続するこのアジャイルな世界で我々が知っているガバナンスは果たして適切に機能するのか?
(Mr. Robert Stround 米国)
クラウド、仮想化、iPad、iPod、アンドロイド、サイバー攻撃など我々にはあらゆる方向から変化が押し寄せている。サイバーテロも考えてセキュリティを強化する必要がある。またSNSによりコミュニケーション方法が変わった。いまやソーシャルメディアを無視できず、企業文化の一つになった。ガバナンス、リスクマネジメントが価値を生み出すものとなり、セキュリティが不可欠となった。「技術志向」から「ビジネス志向と技術志向」へ変容している。ITへのビジネス上の要求は能力と資源を凌駕するが、とにかくスピーディな対応が必要。
COBIT5は非技術的な文化・スキルも入れたフレームワークに変わる。CIOの役割も変化している。ガバナンスとマネジメントプロセスのPDCA、リスクと価値の統合により、情報と技術資産における価値創造が増大することになると考えている。
• スポンサーセッション2
「日立の考える事業継続とITガバナンス」
(日立製作所 情報・通信システム社 経営戦略室担当本部長 梶浦 敏範氏)
昔は工場毎にシステムが異なっていたが、業務システムを標準化して共通インフラ化することで統制や相互補完を容易化した。よって震災時に別事業所で事業継続できた。ITガバナンスを企業内で統一したが、ウィキリークスやサイバーアタックの現状をふまえて同一業界内でも統一をしていきたいと考えている。
• 海外スピーカーセッション2
「企業はITILだけを必要としているわけではない〜目標へ戻る道」
(Mr.Marlon Molina スペイン)
ISACAはITILを使っていると喜ぶが、欧州議会議員でもITILを知る議員は少ない。欧州議会議員にプレゼンした際に、企業がITILを本当に使っていることをどうやって把握するのか?と聞かれたが、満足な回答ができなかった事が悔しくその後、色々と考えた。ITILはBusinessに必要なのでなく単なるツール、会社のビジネス上の評価はOutcomes=結果で見る。ツールを使うことが目的でなく、事業目標との融合が最も必要で、結果が出せるかが全てだと気づいた。
• 総括講演
「COBIT5の全体像とCOBITファミリーの使い方 COBIT5とRiskIT、ValITの今後」
(日本ITガバナンス協会 事務局長 梶本政利氏)
COBIT5=4.1+ValIT+RiskIT+BMIS(Business Modelate for Information security)
COBITを経営陣にそのまま説明しても理解されにくいなどの4.1で困っていたことが改善される期待を持っている。5の基本構造はガバナンスとマネジメント重視。経営トップ層のビジョンとミッションを盛り込む形に変容し、「コントロール目標」などの従来の用語は記載されなくなった。フレームワークとプロセスリファレンスガイドが正式に出されるのが2012年初めなので、全体像が揃うにはまだ時間かかる。膨大な量の翻訳作業などが予想されるので、日本の各支部の皆さんにもご協力をお願いしたい。
以 上
(名古屋支部註: 一部講演資料は ITGI Japan の Webサイトからダウンロード可能です。)