ITガバナンスとは？
実践方法とグローバルでの取り組みを解説

ICTを利用して達成する目標の設定と、それを実現する戦略の策定、リスク管理、リソース管理など、秩序立ったDXなどのICT活用の実現に必要とされるのが「ITガバナンス」です。さらに、業務委託や発注先となる関連会社などのグループを含む企業の事業継続、コンプライアンス強化に欠かせないマネジメントの取り組みともいえます。

経済産業省では、「ITガバナンスとは経営陣がステークホルダーのニーズにもとづき、組織の価値を高めるために実践する行動であり、情報システムのあるべき姿を示す情報システム戦略の策定および実現に必要となる組織能力である」と概要を定義し、経営陣がITガバナンスを構築すべきとしています。

ITガバナンスが注目を集めるようになったきっかけは、2002年4月に発生した国内メガバンクの大規模なシステム故障だといわれています。当時、3つの銀行システムを統合する計画でしたが、方針決定が難航し、プロジェクトの進捗状況も悪かったため、システムの稼働テストが遅れていました。実際には、システム稼働の2日前にもエラーが起きるなど不安を抱えたまま開業したところ、営業初日からATMの停止や口座振替の遅延、二重引き落としといったトラブルが発生してしまい、ビジネス、企業活動に深刻な影響を与える国内でも類を見ない大規模故障となってしまいました。

この銀行のトラブル以降、多くの企業の経営層が危機感を抱きました。ICTはビジネスを戦略的に進めるうえで欠かせない技術ではありますが、ひとたび運用を誤れば大きな損失へつながることを共通認識として持つようになります。このような背景からITガバナンスの重要性がより顕著になったのです。

ITガバナンスを実践する上では、経済産業省による「システム管理基準」が参考となるでしょう。同システム管理基準では、ITガバナンスを実践するために組織が取るべき行動について、次のような基準が示されています。

「システム管理基準」において、経営陣は「評価（Evaluate）」「指示（Direct）」「モニター（Monitor）」の3つの行動を通じてITガバナンスを実践することが望ましいとされています。この3つの行動の頭文字を取って「EDMモデル」と呼ばれ、国際標準であるISO/IECや日本の規格JISでも示されています。「評価」は、現在のITシステムを客観的に把握することを指します。また、現在のシステムと将来目標とする情報システム像とを比較し、目標とするシステムを実現するために必要な資源や、想定されるリスクなどについて分析することも含みます。「指示」は、目標とするITシステムを実現するために必要な資材を割り振ったり、責任を割り振ったりすることを指します。また、想定されたリスクへの対処を指示することも含みます。「モニター」は、目標とするITシステムが現時点でどの程度実現しているか、想定したパフォーマンスが得られているか、リスクを回避できているかなどの情報を収集することを指します。

ITガバナンスの実現のため、具体的には、次のような活動が必要となります。まずは自社の経営戦略とビジネスモデル、達成すべきビジネス成果を確認し、その実現に向けてITが果たすべき役割を明確化した「IT戦略ビジョン」を策定します。IT戦略ビジョンでは、ステークホルダーのニーズを適切に反映し、組織外部の期待や要請に応えられるようにすることが求められます。また、新しいITソリューションや新技術が戦略ビジョンに及ぼす影響や、市場変化による経営戦略への影響を定期的に評価し、その結果に基づいて経営戦略やIT戦略ビジョンの見直しを行うことも重要です。続いてIT戦略ビジョンに従い、自社の経営戦略を達成するためにITを具体的にどう活用するかを計画する「IT戦略」を策定します。IT戦略では、今後のITガバナンスの方向性や今後のデジタル活用方針などを決定することが求められます。また、デジタル活用方針には、例えばITソリューションの調達方法やIT人材の育成方法などが含まれます。実践後には決定した方向性に従ってITガバナンスが実践されているか、効果的・効率的にIT戦略が進行しているかを確認します。自社での確認が難しい場合には、外部のソリューションを活用しても良いでしょう。同時に責任の明確化も必要です。例えば経営陣や取締役会など、ITガバナンスの実行責任および説明責任がどこにあるのかを明確にしておきましょう。

一方、ITガバナンスの実践に向けた体制作りも必要となります。まずは、ITシステムの利活用に関わるステークホルダーを特定し、適切な協議を通じて関係を構築する必要があります。ステークホルダーのニーズを正確に把握し、それをビジネス目標やIT投資計画に反映させることが重要です。また、主要なステークホルダーの満足度を継続的に評価する仕組みを整備し、フィードバックを通じてIT戦略を改善していくことが求められます。取締役会などがリーダーシップを発揮する必要もあります。IT戦略に沿った活動が実現できているかを常に確認し、指示・監督を通じて組織全体を牽引する役割を担います。目標達成のため、率先して規範となるような行動を実践することが重要です。データの利活用に関する方針を策定し、組織内に周知する必要もあります。データの品質（正確性）を担保する仕組みや、効率的に一元管理できる仕組みを構築する必要があります。また、データの漏えいや改ざんが発生しないよう、適切に保護されるようなセキュリティを確保することも重要です。さらにリスクへの評価と対応も必要となります。導入したITシステムに脆弱性などがないかを確認し、発見された場合にはそのリスクが受容可能なものかどうかを判断し必要な対策を取ります。特に重大なリスクについては、必要な対策が漏れなく講じられていることを確認することが重要です。組織が長期にわたって社会的責任を果たし、事業継続性を有するよう努めることも必要となります。情報セキュリティ事故を完全に防ぐことは不可能ですから、ICTの活用能力を継続的に向上させ、自律的に自社のセキュリティ対策を強化していくことが重要です。また、ステークホルダーだけでなく、自然環境や経済環境にも悪影響を与えることのないよう配慮しましょう。

ITガバナンスは国内のみならずグローバルレベルでの取り組みも重要になります。企業の海外進出が進むなか、国内にある自社のITガバナンスには取り組んでいても、海外までは対応しきれていないケースが少なくないためです。海外拠点でITガバナンスが効いていない状況に陥れば、ICT活用の目的の達成が遠のくだけでなく、リスクコントロールの観点でも不都合が生じることになります。たとえば、海外拠点のICT利用が十分に統制されていないガバナンスの効いていない状態である場合、リスクコントロールで重要なセキュリティ対策が不十分となり、その“穴”を狙ってサイバー攻撃を受けてしまうようなことも考えられるでしょう。

実際、一般社団法人 日本情報システム・ユーザー協会（JUAS）が公開している「企業IT動向調査報告書」によれば、2020年版においてグローバルITガバナンスの目的として「情報セキュリティ向上」の項目がトップとなっていました。2025年版においても情報セキュリティ施策の強化が引き続き重要視されており、グローバルな視点でのITガバナンスの必要性が高まっていることが見て取れます。

◇情報セキュリティの各種施策の見直しや強化

出典：一般社団法人日本情報システム・ユーザー協会
「企業IT動向調査報告書2025」[PDF P.123]

グローバルに事業を展開する企業においては、さまざまな国や地域を網羅したグループ全体でのITガバナンスがICT活用による相乗効果の発揮を目指すうえで不可欠となります。このようなグローバルITガバナンスは、大きく分けて3つのモデルに分類されます。順に解説していきましょう。

1つめの「中央集権型」というのは、本社など中央のIT部門がICTに関する権限を集中して持つというタイプです。この中央集権型は、サプライチェーンのグローバル最適化の推進や、間接コストの削減を目指すグローバルの大手製造業などに多く採用されています。グローバルなITガバナンスがしっかり効かせられるというメリットがありますが、ややICT戦略の自由度が下がるというデメリットがあります。

続いて「地域／事業別連邦型」とは、本社など中央のIT部門が権限を持つ領域と、各国や地域の事業部門が権限を持つ領域を切り分ける対応です。一般的には重要度の高い最上位のルールを中央の本社が取り決め、そのルールにもとづき権限を持つ現地の事業部門が具体的な取り組みを進めていきます。中央集権型のメリットを残ししつつも、各国や地域の事業部門がニーズを汲み取って柔軟に対応にしたいといった場合は「地域／事業別連邦型」を採用するケースが多いようです。グローバルのITガバナンスを効かせつつ、一定領域の権限を委譲できるバランスのとれたタイプです。

そして3つめの「分散（分権）型」は、各国や地域の事業部門がICTに関する権限を分散して持ち、それぞれが独自のルールでICTに関する活動を進めていきます。目覚ましい勢いで成長した企業や新規事業の立ち上げを頻繁に行う企業などは「分散（分権）型」を採用する傾向にあります。グローバルなITガバナンスの効きはやや弱くなるものの、ICT戦略のスピード感は確実に向上します。

グローバルITガバナンスの最適なモデルは、各企業の特性や経営戦略によって異なります。グローバルでのサプライチェーン統合、間接業務でのコスト削減といったグループ一体の運営を経営戦略に掲げる場合は、信頼性、安全性を重視するフォーマルな「中央集権型」を採用すべきでしょう。国や地域で固有の事情がある場合などには、ガイドラインとなる大枠のルールを定め、一定の範囲で現地の権限を認めるバランスタイプの「地域／事業別連邦型」を選択すべきかもしれません。昨今、多くの企業がしのぎを削るDXの推進に重きを置くのであれば、意思決定のスピードが速く、自由度の高い変革の生まれやすい「分散（分権）型」を選択するのがいいのではないでしょうか。

グローバルITガバナンスを進める場合、企業固有の特性、経営戦略を考慮したうえで3つのガバナンスのモデルのどこを目指すかを明確にすることに加え、各ITガバナンス項目について集権化すべき領域、権限を委譲する領域はどこにあるのかを具体化するプロセスが重要になります。自社のみでは対応が困難な場合は、ICTに精通した外部のコンサルタント、キャリア、ベンダーなどに相談するなど、アウトソーシングする方法を検討するという選択肢もあるでしょう。

このITガバナンスが求められる領域はいくつもありますが、とりわけ重要なポイントの1つとして挙げられるのが資源の管理です。具体的にはハードウェアやソフトウェアといったシステム関連の資産を適切に把握・管理することであり、コストの最適化に有効であるのはもちろん、ICT環境の把握や変更管理などにおいても欠かすことのできないポイントになります。さらにICT戦略と自社で持つ資産の整合性の把握、ICT環境がもたらしたベネフィットを数値化するといったデータ利活用の観点でも大きな意味を持ちます。資源の管理に重点を置いた取り組みがセオリーといえるでしょう。

とはいえICTの利用が業務のあらゆる領域に広がった現在、利用されているリソースすべてを適切に管理することは容易ではありません。たとえば、最も注視すべきキーワードは「シャドーIT」の問題です。拠点や工場などにおいて、IT部門が把握していないPCやサーバー、アプリケーションなどのサービスが導入され使われている、自宅のPCをオフィスに持ち込み、社内ネットワークに接続して自社システムやクラウドサービスなどを利用しているケースは珍しくありません。こうした存在してはならないシャドーITを放置したままでは、セキュリティ上の問題となりかねないため注意が必要です。

その理由の1つとして挙げられるのは、OSやアプリケーションなどで発覚した脆弱性が放置されることです。適切に管理されていないことから、パッチや修正プログラムが適用されずに脆弱性が放置されたまま使われ続け、それが原因でマルウェアに感染する、あるいは社内へ侵入するための踏み台として使われるといったことも十分に考えられます。適切にリスクコントロールを行うためには、こうしたシャドーITにまで目を光らせ、適切に管理できる状態にする投資や対策が求められます。

このような問題の対処には、ネットワークなどに接続されている、さまざまなデバイス（エンドポイント）をしっかりと把握し、未管理のエンドポイントがあれば即座に通知するといった管理者をサポートする仕組みづくりが必要になります。このようなエンドポイント管理を効果的に実現するプラットフォームとして注目を集めているのが、「Tanium（タニウム）」というプラットフォームを活用した「エンドポイントマネジメントソリューション」です。

エンドポイントマネジメントソリューションは、PCやサーバーにインストールしたエージェントを通してハードウェア情報やソフトウェア情報、OS関連の情報などを取得することが可能なうえ、リモートでパッチの適用や端末の再起動、ソフトウェアの配信などを実施します。まさにエンドポイント管理の最適化が実現できる技術、メニューを網羅したソリューションといえるでしょう。

・導入事例（大和ハウス工業株式会社エンドポイントマネジメントソリューション (Tanium)導入事例）

さらに資産管理の観点で見逃せないのは、エージェントがインストールされていないPC、サーバーを検知できる仕組みを備えていることです。これにより、IT部門が把握していないPCやサーバーを見つけ出すことが容易になります。さらにエージェントのサイレントインストールにも対応しているため、検知したPCやサーバーを以降は適切に管理することができるようになります。

リスクコントロールを考えたとき、Windowsの最新パッチファイルなどを効率的に配布する、「リニアチェーン・アーキテクチャ」が組み込まれていることも魅力となります。特にWindows 10では修正プログラムや更新プログラムが数100MB～数GBになることがあり、その社内への配布は大きな問題となることがあります。リニアチェーン・アーキテクチャにより、こうしたパッチファイルを細かく分割して配信し、LAN内のエージェント同士で不足しているファイルを保管しながらファイルを構成することで、ネットワークに負荷をかけずにパッチファイルを配布できる効果も生まれます。

さらにグローバルで利用できるため、海外の拠点も含めてエンドポイント管理を一元化し、分析、評価できることもエンドポイントマネジメントソリューションのメリットです。ITガバナンスはAI、IoTなどを活用したDX推進、業務改善を下支えする重要な取り組みといえます。ITガバナンスが十分に機能しない、セキュリティ面で不安があるということであれば、エンドポイント管理の強化をぜひ検討してみてはいかがでしょうか。

なおNTTドコモビジネスの「トータルマネージドセキュリティ」は、端末からインターネット、クラウドに至る資産管理やエンドエンドのセキュリティ対応、多言語ユーザーサポートを提供します。その際、セキュリティオペレーターが24時間365日体制でインシデントハンドリングを行い、セキュリティサービスマネージャーと連携してセキュリティインシデントの未然防止や解決を図ります｡このような三層のセキュリティ対策＝ゼロトラストセキュリティの実現などにより、外部のセキュリティ脅威から企業の大切なICTインフラを守ります。