「終わりのないリスク対策」は、必ずしも人間系だけに起因するのではありません。技術革新や新たな脅威……設計・稼動開始時点では対策が万全でも、情報システムは完成した時点で"劣化"が始まっています。
この"劣化"を早期に検知し、是正するために有効なのが「監査」です。言葉の響きは堅苦しい印象があるかもしれませんが、本質的には「点検」と同じです。しかし、「点検」が一般に製作者サイドの自主的な意思が含まれるのに対し、「監査」は、第三者から脆弱性や、その原因となっている設計理念、運用面でのアンマッチなどの指摘を受けることができるものです。皆さんにも思い当たる節がありませんか(筆者もこうして書いた文章を自分で「点検」するのは難しいものがありますので、編集部という第三者の「監査」が入っているわけです)。
もう1つ、監査には大事な「メリット」があります。それは、「万が一の時に自分が疑われないこと」です。
情報漏えいに関する報道事例を見てください。事象が発覚すると、当該組織では徹底した調査が行われます。結果が出るまでの間、その組織の構成員や開発・保守担当者は、あたかも「被疑者」のごとく適正に情報を処理したかどうかの説明を求められます。この時、自身が潔白であるという証拠を示すのは案外難しいものです。監査は、「適切な体制の下にシステムが運用されている」ことを証明する材料にもなるのです。
筆者も情報漏えいの原因究明現場に何度か立ち会ったことがありますが、社員同士・関係者同士が身内に対して疑心暗鬼になるというのは、見ていてもつらいものがあります。そうならないためにも、「胸を張った開発・運用、整斉・監査に臨み、アカウンタビリティを確保する」ということを、今一度考え直してみてはいかがでしょうか。ただ、人海戦術でアカウンタビリティを確保するための材料を揃えると、大変な苦労が伴うだけでなく、人為的なミスも発生しがちです。このような場面でこそ、「ITのリスクはITでマネジメントする」という考え方を徹底し、組織のIT習熟度を向上させるべきでしょう。
執筆者プロフィール
坂井司 (Tsukasa Sakai)
株式会社JSOL
ITコンサルティング・技術本部 情報技術戦略部 部長
『出典:システム開発ジャーナル Vol.3(2008年3月発刊)』
本稿は原稿執筆時点での内容に基づいているため、現在の状況とは異なる場合があります。ご了承ください。