世界180カ国以上、11万人を超える会員によって構成される国際的団体、ISACA(旧称: 情報システムコントロール協会)。情報システムの監査/保証とセキュリティ、ITガバナンス、そしてITに関係するリスクやコンプライアンスを中心に、今日の企業が抱えるITとビジネスの課題解決を支援する同団体の年に1度のアジア地域でのカンファレンス「Asia-Pacific CACS/ISRM」が5月30日(金)~6月1日(日)の3日間、東京都内で開催された。本稿では、カンファレンスのクロージングキーノートのスピーカーを務めるために来日した、ISACA国際本部の副会長であり、米国下院議会おいて米国政府と議会に対するインスペクタージェネラルの立場にあるTheresa Grafenstine氏に、現在の財務リスクやITガバナンスに対する見解について話を聞いた。
コーポレートガバナンスとITガバナンスにもはや境はない
Theresa氏は現在、米国下院のインスペクタージェネラルとして、超党派的な立場で米国政府や議会の監査を統括している。これまで22年以上にわたってインスペクタージェネラル・オフィス監査の分野で活躍してきており、米国国防省の監査部門でも監査を行ってきた実績がある。また、ISACAに関しては国際本部の副会長、そして財務委員会のチェアパーソンなども兼任する。
「財務の観点からISACA全体がしっかりと活動できるよう支えるのが私の役割です。戦略的なビジョンに向けて財務がしっかり対応できているか、日々注意を払っています」とTheresa氏は説明する。
このように財務監査を本業とするTheresa氏だが、IT分野の監査にも最近では力を入れているという。
「これからリスクが高まるのはITだと考え、サイバーセキュリティやITガバナンスといった分野の仕事も増えてきています」(Theresa氏)
Theresa氏によると、「ガバナンス」という言葉が頻繁に使われだしたのは、米エンロンの不正事件やそれを契機に制定された米サーベンスオックスレー法(通称SOX法)などからだという。
「金融危機で世界中がパニックに陥った2008年頃からは、どの企業でも『ガバナンス』が最重要事項として扱われるようになりました。今では官民問わず、何よりもガバナンスを重要視しています」
当然、ITガバナンスについても同様に重要性が高まっている。特にITガバナンスのフレームワークの最新版であるCOBIT 5ではコーポレートガバナンス全般をカバーしており、もはや一般的なガバナンスとITガバナンスとの境界はなくなりつつあるのだ。
「COBIT 5を統括すべき対象はCIOだけではありません。CFOや法務部門長も含めて企業全体が参画しなければもはや実現できないのです。ガバナンスは企業全体の問題ですので、本来それが当然だと言えるでしょう。確かに昔のCOBITはITが中心でしたが、COBIT 5の対象は非常に広く、ビジネスバリュー全般を見ることができます。逆に言えば、ビジネスバリューをいかに上げるかという課題に対して、ITがイネーブラとなるためのヒントが隠されているのです。また、複雑な事象をそのままにしておくとリスクが高まりますが、その複雑さを上手に低減できるのがCOBIT 5なのです」(Theresa氏)
こうした視点をベースに、5月31日に行われたTheresa氏のクロージングキーノートでは、実際に米国政府が内部のガバナンスをどう外部ガバナンスへと広げ、それをもとにどのように活動を行っているのかが紹介された。
課題だらけの現在のIT環境に向き合うには
米国政府や米国議会への監査を担う立場にあるだけに、Theresa氏のサイバーセキュリティに対する関心は広範に及ぶ。
「ティーンエイジャーの保護から国家レベルのハッキングまで、サイバーセキュリティで考える領域は広がる一方にあり、重要度もますます増しています」とTheresa氏。
そして "自分の専門領域ではない" と前置きしたうえで、サイバー戦争のリスクについての見解を次のように語った。
「もはやどこの国であろうともフォーカスしなければいけない分野だと思います。脅威とニーズの間にあるギャップを的確に見極めるのも大事ですし、特に次世代の人材育成におけるサイバー教育のあり方を考え直す必要があるでしょう。そのためのワークフォースも必要になります。次世代の戦争というのはそうしたサイバー戦が軸になるのではないでしょうか」
そして最後にTheresa氏は、日本のCIOやITマネージャーに対して次のようなメッセージを送ってくれた。
「現在のITには非常に多くの課題があるので、時にはそうした課題に飲み込まれてしまいそうになるかもしれません。そうならないよう、プライオリティをつけて大きな課題からチャレンジすることをぜひおすすめします」