TOPシステムトレンド> 資産利用者の拡大
最新 図解 CIOハンドブック
最新 図解CIOハンドブック

第8回:ITに関する内部統制の確立
 監修者:野村総合研究所  淀川 高喜   2005/12/28
前のページ  1  2   3  次のページ
資産利用者の拡大

   アウトソーサーに譲渡したIT資産の利用範囲を、譲渡したユーザ企業以外に拡大することで、1ユーザ企業あたりの負担を削減することが可能となる。典型的には、アウトソーサーが、譲り受けたIT資産(主に、ソフトウェア)をASP(Application Service Provider)事業に用いるケースである。

   この他、アウトソーシングする以前に、未稼働部分があったり稼働率に余裕がある大型のハードウェアなどを用いてアウトソーシングを実施することにより、こうした余剰資源を他のユーザ企業向けに有効活用することができる。

   こうすることで、譲渡元のユーザ企業のコスト負担額が軽減される。余剰スペースを抱えていたデータセンターをアウトソーサーに譲渡する場合も、同様のコスト削減効果が期待される。
情報セキュリティ対策の考え方

   情報セキュリティ対策は、「情報資産の機密性/完全性/可用性を脅かすリスク(脅威)に対して、検討され施される」ものである。対策には「情報技術」によるもの、すなわちなんらかのシステム機能を用いたものと、「設備」によるもの、すなわち物理的な施設に施されるものがある。

   しかし、この2つだけに頼るとコストが高くなりがちである。また、業務の利便性が損なわれる可能性もある。こうしたことから、3つ目に「ルールや人」による対策で代替し補完することが考えられる。この3者の組み合わせ方は、「リスクの大きさ」「対策に要するコスト」「運用可能性のバランス」を踏まえて検討される必要がある(図2)。

情報資産を取り巻く脅威とその対策
図2:情報資産を取り巻く脅威とその対策
(画像をクリックすると別ウィンドウに拡大図を表示します)

   情報セキュリティ対策は、さらに別の観点から、分類を行うことができる。すなわち、「予防的対策」「発見的対策」「対処的対策」という3つの分類がこれにあたる。このうち「予防的対策」とは、リスクの発生そのものを抑制・防止するための対策である。

   しかし、100%の予防は不可能である。そのためにいち早く、もしくは確実にリスクやセキュリティ事件・事故を検知するための対策が必要であり、その対策が「発見的対策」である。さらに万一に事件などが発生した場合には、その被害を最小限にとどめ、被害からいち早く業務の復旧を果たすための対策が必要である。それが「対処的対策」である。

   予防的対策だけに重点を置くのでは、万が一の時に適切な対策ができない。発見的対策および対処的対策もあわせて用意する、いわば3段構えの対策が必要である。整理すると情報セキュリティ対策は次のような評価が必要である。

  1. リスクを正しく認識する
  2. 認識したリスクの対策状況を認識する
  3. リスクに対しての対策については、ルールによる対策とシステムや設備による対策のバランスを見る
  4. 予防・発見・対処の観点から対策における漏れを確認する

表1:情報セキュリティ対策の評価に必要な観点

   そしてさらに重要となるのが、そうした対策の状況やリスクの状況をたえず見直し、改善をはかる情報セキユリティマネジメントのPDCAサイクルを確立することである。
前のページ  1  2   3  次のページ

株式会社野村総合研究所 淀川 高喜
 監修者プロフィール
株式会社野村総合研究所  淀川 高喜
プロセス・ITマネジメント研究室長 兼 金融ITマネジメントコンサルティング部長。国家試験 情報処理技術者試験 試験委員会 委員。1979年野村総合研究所入社。生損保、銀行、公共、運輸、流通、製造業などあらゆる分野における幅広いシステムコンサルティングに携わる。専門は情報技術による企業革新コンサルテーション、情報システム部門運営革新コンサルテーションなど。
INDEX
第8回:ITに関する内部統制の確立
  IT資産のオフバランス化によるコスト削減
資産利用者の拡大
  ITに関する様々なリスク