ITガバナンスは
グローバル視点でのエンドポイント管理が鍵

ICTを利用して達成する目標の設定と、それを実現する戦略の策定、リスク管理、リソース管理など、秩序立ったDXなどのICT活用の実現に必要とされるのが「ITガバナンス」です。さらに、業務委託や発注先となる関連会社などのグループを含む企業の事業継続、コンプライアンス強化に欠かせない取り組みともいえます。

経済産業省では、「ITガバナンスとは経営陣がステークホルダのニーズにもとづき、組織の価値を高めるために実践する行動であり、情報システムのあるべき姿を示す情報システム戦略の策定および実現に必要となる組織能力である」と概要を定義し、経営陣がITガバナンスを構築すべきとしています。

ITガバナンスが注目を集めるようになったきっかけは、2002年4月に発生した国内メガバンクの大規模なシステム故障だといわれています。当時、3つの銀行システムを統合する計画でしたが方針決定が難航し、プロジェクトの進捗状況も悪かったため、システムの稼働テストが遅れていました。実際には、システム稼働の2日前にもエラーが起きるなど不安を抱えたまま開業したところ、営業初日からATMの停止や口座振替の遅延、二重引き落としといったトラブルが発生してしまい、国内でも類を見ないビジネス、企業活動に深刻な影響を与える大規模故障となってしまいました。

この銀行のトラブル以降、多くの企業の経営層が危機感を抱きました。ICTはビジネスを戦略的に進めるうえで欠かせない技術ではありますが、ひとたび運用を誤れば大きな損失へつながることを共通認識として持つようになります。このような背景からITガバナンスの重要性がより顕著になったのです。

ITガバナンスを考えるとき、ポイントの1つとなるのがリスク管理です。ICTを活用すれば、ビジネスに関するさまざまな情報がデジタルデータとして記録できます。これは大きな利便性をもたらす一方、悪意ある第三者の標的になるリスクも高まるため注意が必要です。マルウェア感染による情報漏えいなど、経営やビジナスに悪影響を与えるリスクが生じることにもなります。さらに業務で利用しているサーバーやシステムがサイバー攻撃を受け、業務の停滞のみならず、最悪の場合には企業の社会的信用が失墜してしまうといったリスクも考えられるでしょう。このようなリスクをコントロールするための投資と対策も、ITガバナンスでは考慮する必要があります。

ITガバナンスは国内のみならずグローバルレベルでの取り組みも重要になります。企業の海外進出が進むなか、国内にある自社のITガバナンスには取り組んでいても、海外までは対応しきれていないケースが少なくないためです。海外拠点でITガバナンスが効いていない状況に陥れば、ICT活用の目的の達成が遠のくだけでなく、リスクコントロールの観点でも不都合が生じることになります。たとえば、海外拠点のICT利用が十分に統制されていないガバナンスの効いていない状態である場合、リスクコントロールで重要なセキュリティ対策が不十分となり、その“穴”を狙ってサイバー攻撃を受けてしまうようなことも考えられるでしょう。

実際、一般社団法人 日本情報システムユーザー協会（JUAS）が公開している「企業IT動向調査2020（2019年度調査）」においても、グローバルITガバナンスの目的として「情報セキュリティ向上」がいずれの売上高でもトップとなっており、グローバル全体のセキュリティ強化を考える上で、ITガバナンスはもっとも重要であると考えられていることがわかります。

◇グローバルITガバナンスの目的

出典：一般社団法人日本情報システム・ユーザー協会「企業IT動向調査2020 （2019年度調査）～データで探るユーザー企業のIT動向～」[PDF P.53]

グローバルに事業を展開する企業においては、さまざまな国や地域を網羅したグループ全体でのITガバナンスがICT活用による相乗効果の発揮を目指すうえで不可欠となります。このようなグローバルITガバナンスは、大きく分けて3つのモデルに分類されます。順に解説していきましょう。

1つめの「中央集権型」というのは、本社などの中央のIT部門がICTに関する権限を集中して持つというタイプです。この中央集権型は、サプライチェーンのグローバル最適化の推進や、間接コストの削減を目指すグローバルの大手製造業などに多く採用されています。グローバルなITガバナンスがしっかり効かせられるというメリットがありますが、ややICT戦略の自由度が下がるというデメリットがあります。

続いて「地域／事業別連邦型」とは、本社などの中央のIT部門が権限を持つ領域と、各国や地域の事業部門が権限を持つ領域を切り分ける対応です。一般的には重要度の高い最上位のルールを中央の本社が取り決め、そのルールにもとづき権限を持つ現地の事業部門が具体的な取り組みを進めていきます。中央集権型のメリットを残ししつつも、各国や地域の事業部門がニーズを汲み取って柔軟に対応にしたいといった場合は「地域／事業別連邦型」を採用するケースが多いようです。グローバルのITガバナンスを効かせつつ、一定領域の権限を委譲できるバランスのとれたタイプです。

そして3つめの「分散（分権）型」は、各国や地域の事業部門がICTに関する権限を分散して持ち、それぞれが独自のルールでICTに関する活動を進めていきます。目覚ましい勢いで成長した企業や新規事業の立ち上げを頻繁に行う企業などは「分散（分権）型」を採用する傾向にあります。グローバルなITガバナンスの効きはやや弱くなるものの、ICT戦略のスピード感は確実に向上します。

グローバルITガバナンスの最適なモデルは、各企業の特性や経営戦略によって異なります。グローバルでのサプライチェーン統合、間接業務でのコスト削減といったグループ一体の運営を経営戦略に掲げる場合は、信頼性、安全性を重視するフォーマルな「中央集権型」を採用すべきでしょう。国や地域で固有の事情がある場合などには、ガイドラインとなる大枠のルールを定め、一定の範囲で現地の権限を認めるバランスタイプの「地域／事業別連邦型」を選択すべきかもしれません。昨今、多くの企業がしのぎを削るDXの推進に重きを置くのであれば、意思決定のスピードが速く、自由度の高い変革の生まれやすい「分散（分権）型」を選択するのがいいのではないでしょうか。

グローバルITガバナンスを進める場合、企業固有の特性、経営戦略を考慮したうえで3つのガバナンスのモデルのどこを目指すかを明確にすることに加え、各ITガバナンス項目について集権化すべき領域、権限を委譲する領域はどこにあるのかを具体化するプロセスが重要になります。自社のみでは対応が困難な場合は、ICTに精通した外部のコンサルタント、キャリア、ベンダーなどに相談するなど、アウトソーシングする方法を検討するという選択肢もあるでしょう。

このITガバナンスが求められる領域はいくつもありますが、とりわけ重要なポイントの1つとして挙げられるのが資源の管理です。具体的にはハードウェアやソフトウェアといったシステム関連の資産を適切に把握・管理することであり、コストの最適化に有効であるのはもちろん、ICT環境の把握や変更管理などにおいても欠かすことのできないポイントになります。さらにICT戦略と自社で持つ資産の整合性の把握、ICT環境がもたらしたベネフィットを数値化するといったデータ利活用の観点でも大きな意味を持ちます。資源の管理に重点を置いた取り組みがセオリーといえるでしょう。

とはいえICTの利用が業務のあらゆる領域に広がった現在、利用されているリソースすべてを適切に管理することは容易ではありません。たとえば、最も注視すべきキーワードは「シャドーIT」の問題です。拠点や工場などにおいて、IT部門が把握していないPCやサーバー、アプリケーションなどのサービスが導入され使われている、自宅のPCをオフィスに持ち込み、社内ネットワークに接続して自社システムやクラウドサービスなどを利用しているケースは珍しくありません。こうした存在してはならないシャドーITを放置したままでは、セキュリティ上の問題となりかねないため注意が必要です。

その理由の1つとして挙げられるのは、OSやアプリケーションなどで発覚した脆弱性が放置されることです。適切に管理されていないことから、パッチや修正プログラムが適用されずに脆弱性が放置されたまま使われ続け、それが原因でマルウェアに感染する、あるいは社内へ侵入するための踏み台として使われるといったことも十分に考えられます。適切にリスクコントロールを行うためには、こうしたシャドーITにまで目を光らせ、適切に管理できる状態にする投資や対策が求められます。

このような問題の対処には、ネットワークなどに接続されている、さまざまなデバイス（エンドポイント）をしっかりと把握し、未管理のエンドポイントがあれば即座に通知するといった管理者をサポートする仕組みづくりが必要になります。このようなエンドポイント管理を効果的に実現するプラットフォームとして注目を集めているのが、「Tanium（タニウム）」というプラットフォームを活用した「エンドポイントマネジメントソリューション」です。

エンドポイントマネジメントソリューションは、PCやサーバーにインストールしたエージェントを通してハードウェア情報やソフトウェア情報、OS関連の情報などを取得することが可能なうえ、リモートでパッチの適用や端末の再起動、ソフトウェアの配信などを実施します。まさにエンドポイント管理の最適化が実現できる技術、メニューを網羅したソリューションといえるでしょう。

さらに資産管理の観点で見逃せないのは、エージェントがインストールされていないPC、サーバーを検知できる仕組みを備えていることです。これにより、IT部門が把握していないPCやサーバーを見つけ出すことが容易になります。さらにエージェントのサイレントインストールにも対応しているため、検知したPCやサーバーを以降は適切に管理することができるようになります。

リスクコントロールを考えたとき、Windowsのパッチファイルなどを効率的に配布する、「リニアチェーン・アーキテクチャ」が組み込まれていることも魅力となります。特にWindows 10では修正プログラムや更新プログラムが数100MB～数GBになることがあり、その社内への配布は大きな問題となることがあります。リニアチェーン・アーキテクチャにより、こうしたパッチファイルを細かく分割して配信し、LAN内のエージェント同士で不足しているファイルを保管しながらファイルを構成することで、ネットワークに負荷をかけずにパッチファイルを配布できる効果も生まれます。

さらにグローバルで利用できるため、海外の拠点も含めてエンドポイント管理を一元化し、分析、評価できることもエンドポイントマネジメントソリューションのメリットです。ITガバナンスはAI、IoTなどを活用したDX推進、業務改善を下支えする重要な取り組みといえます。ITガバナンスが十分に機能しない、セキュリティ面で不安があるということであれば、エンドポイント管理の強化をぜひ検討してみてはいかがでしょうか。

なおNTTコミュニケーションズの「トータルマネージドセキュリティ」は、端末からインターネット、クラウドに至る資産管理やエンドエンドのセキュリティ対応、多言語ユーザーサポートを提供します。その際、セキュリティオペレーターが24時間365日体制でインシデントハンドリングを行い、セキュリティサービスマネージャーと連携してセキュリティインシデントの未然防止や解決を図ります｡このような三層のセキュリティ対策＝ゼロトラストセキュリティの実現などにより、外部のセキュリティ脅威から企業の大切なICTインフラを守ります。