経営戦略の羅針盤　第12回　ITリスクへの対応

今月27日(日)、航空会社のコンピュータシステムに障害が発生し、130便が欠航、約7万人に影響がでた。23日(水)にも、鉄道会社の新幹線のネット予約システムに障害が発生し、約8時間利用停止となった。

IT（情報技術）の利用が一般的になった今日、このようなシステム障害は当該企業ばかりでなく社会的な影響が大きい。企業経営において、ITリスクの管理は、どのように考えれば良いのだろうか。

ITリスクと、その管理上の留意点

ITリスクには、さまざまなものが存在する。基幹システムのダウン、顧客情報の漏洩、ウィルス、不正アクセス、HPへのアタック、誤作動、メールの配信ミス、といった一般的な要因もあれば、IT投資戦略の不在、ITコストの増大といった経営上の要因も含まれる。

これらITリスクを管理していく上で留意すべき主な6つの視点を紹介したい。

まず、「利用可能性」である。これは、「いつでも利用できるかどうか」である。冒頭の交通機関のネット予約だけでなく、証券会社や銀行のネットサービスのように、顧客自身がネットを通じて直接サービスを利用する機会が増えた今、24時間365日サービスが使えるような状態にしておくことが求められる。

次にシステム設計・運用上で留意すべき点は、「パフォーマンス」「キャパシティー」「インテグリティー」「アクセス」の4つある。

「パフォーマンス」とは、処理能力とレスポンスである。ネット経由でのサービス提供の場合、端末の応答やデータ処理に時間がかかり過ぎるとユーザーはストレスを感じる。これらを回避するために、システム全体の構成やネットワークの容量などを考慮しておく必要がある。

「キャパシティー」は、十分な容量と拡張性があるかどうかだ。ユーザーの増加や、季節的・時間的なアクセスの増大などにより、データ量が急拡大すると既存の情報システムの許容量を超えてしまう可能性がある。データベースやサーバーなど情報システムの容量には限界が伴うので、常に利用状況をモニターしシステム容量を拡張できるようにしておく必要がある。

「インテグリティー」とは、データを更新したときその他の関連データが一緒に更新され、システムに不整合が発生しないかどうかである。そのためには、複数のアプリケーションを通じた運用行程の管理が必要である。

「アクセス」では、社内の重要情報や顧客情報が漏洩、改竄、破壊などされないかどうかだ。これには、セキュリティーの方針、承認手続きの構築、データベースへのアクセス権限管理などが有効である。

ITにかかる「コスト」にも配慮すべき

そして、システム全体として留意すべき点に「コスト」がある。情報システムの開発、保守、運用には費用がかかるが、予算制約もあり適切に管理する必要がある。また、企業経営の上で、それらのコストが許容範囲のコストなのか、チェックしておく必要がある。

ITリスクを完璧に防ぐことは、不可能である。ただ、どのようなリスクがあり、その発生可能性、そのリスク発生による被害程度を把握し、それぞれのリスクに対するコントロール(予防的か発見的かの措置）を構築しておくことは、肝要である。