
企業価値向上に資するセキュリティガバナンスの実現に向けて ──デジタルガバナンスで捉えるべきサイバーセキュリティ管理態勢
本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。
プロダクトリスクサービスの事例を紹介します。
アジャイル開発やクラウドなど、新たな開発手法やサービスに対しても提供することが可能です。
通常のシステム監査では、システムの品質を確保するための内部統制(例えば、プロジェクト管理手続、プログラム等の成果物作成手続)に着目して評価を行うことが一般的ですが、プロダクトアシュアランスは、実際に作成されている成果物(設計書、プログラムのソースコード、テスト項目など)の品質を評価します。
内部統制の有効性に着目するシステム監査のみでは、内部統制が形式的には機能しているものの、実質的には不十分である場合、品質上の問題を発見することは困難です。
一方、プロダクトアシュアランスは、「設計の誤り」、「プログラムに潜在しているバグ」、「網羅的に実施されていないテスト」など、通常のシステム監査のみでは発見が難しい品質上の問題を発見することが可能です。
プロジェクト管理には、進捗、問題・課題など、幾つかの管理項目がありますが、これらの中でも品質管理は特に重要です。プロジェクトを成功させるための要素としてQCD(Q:品質、C:コスト、D:納期)がありますが、品質の問題は、結果的にコストと納期に波及するためです。プロジェクトで開発しているシステムの品質が不十分である場合には、品質向上を図るために追加の作業が必要となり、スケジュールの遅延やコストの増加を招きます。また、品質が不十分なままシステムを本番稼働した結果、顧客に影響を及ぼす重大なシステム障害が多発した場合には、顧客対応や品質改善に相当のコストを費やすだけでなく、会社の信頼が損なわれる危険性があります。
本サービスは、プロジェクトの品質管理の取り組みにフォーカスをあてて、評価・助言を行います。クライアントやベンダーに代わって、テストで発見した不具合の分析・追加的な品質向上策の提言や、ベンダーが行う品質評価の妥当性を評価することも可能です。
多くのシステムは、障害発生時の影響を最小限に抑えるために、ハードウェアやネットワーク等を多重化しています。しかしながら、システム障害発生時に多重化の仕組みが機能せず、全面停止してしまう事例をしばしば耳にします。この原因は、設計の考慮不足や実機での検証不十分等、システム構築時に十分な対応を行っていないことが挙げられます。
PwCは、高信頼性が要求されるミッションクリティカルなシステムで発生した障害事例とそこから導き出された教訓をナレッジ・ノウハウとして蓄積しています。これを活用し、クライアントのシステムの安定稼働の妨げとなるリスクを識別した上でクライアントの対応状況を評価し、認識した問題点・課題に対して助言を行います。
プロダクトアシュアランスの効果を最大限に享受するためには、どのような状況・タイミングで、システム品質の改善に取り組むべきかを見極めることが重要です。例えば、現在利用しているシステムで障害が多発している場合や、新たに開発しているシステムで問題が多発している場合など、品質リスクが顕在化しており、品質向上を図る取り組みを行おうと考えている場合は、プロダクトアシュアランスを実施する最大の契機です。
プロダクトアシュアランス実施のニーズ(例)
本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。
経済産業省の「企業価値向上に向けたデジタル・ガバナンス検討会」での政策背景を踏まえながら、「デジタルガバナンス・コード3.0」への準拠にあたり、日本企業における経営者とDX推進担当者が押さえるべき論点を考察します。
多くの企業はDXに取り組む中で、その達成度を図る指標を設けていますが、指針や基準が少ないため、試行錯誤している状況です。DX成果指標にガバナンスを効かせるにあたっての課題や、DX戦略の蓋然性と実効性を高めるためのポイントについて解説します。
DXに関する情報をステークホルダーの信頼に足る形で開示し、持続的な企業価値創造のためのイノベーションを実現するために必要なデジタルガバナンスおよび、DXに係る情報の開示のあるべき姿について考察します。