全2644文字
PR

ビッグデータを管理する際にはエンタープライズアーキテクチャー(EA)が参考になる。監査する際もEAを踏まえたフレームワークに沿って管理体制を確認する。分析者のスキルやAIの活用など、ITだけでなく人間の実施する業務にも注意が必要だ。

 本連載はAI(人工知能)時代に求められるIT監査のあり方について、内部監査人の立場から解説する。

 「AI時代」と題しているが、AIの影響のみを対象にしているわけではない。アジャイル開発やクラウドコンピューティング、ビッグデータといった、AIとともに急速に普及してきたIT関連の事象を、内部監査時にどのように扱うべきかを広く取り上げていく。

 監査人の視点を知ることは、監査を受ける側となる情報システム部門やユーザー部門に所属する情報システムの管理者などにも役立つ。監査人の視点は、日ごろの情報システムの開発や運用において重視すべき視点となるからだ。

 今回は前回に引き続きビッグデータについて取り上げる。AI活用に欠かせないビッグデータだが、単なる大量のデータを指すだけではない。量だけではなくその性質や特徴、そしてリスクを踏まえて、管理体制を構築する必要がある。

 ビッグデータ活用における最大のリスクは、ビッグデータに費やしているコストに対して、ビッグデータから得られる価値が期待に届かないとだ。

 加えてコンプライアンスや情報セキュリティー、インフラストラクチャー、アプリケーション、データ、業務などの分野に関連するリスクがある。

 ビッグデータに関連する情報システムや業務の内部監査では、これらのビッグデータの性質を踏まえた監査が求められる。以下でビッグデータの管理と監査について解説していく。

EAを参考の管理モデルを構築

 まずはビッグデータの管理体制の構築から見ていこう。ビッグデータのあるべき管理体制を構築する際に参考になるのが「エンタープライズアーキテクチャー(EA)」だ。

 ビッグデータの管理にEAが参考になるポイントが大きく2つある。

 1つめのポイントはEAが組織の全体最適の観点から情報システムを捉えている点だ。ここで指す「最適」とは現時点の最適ではなく、企業などが追求する将来のあるべき姿に対して最適であることを指している。

 もう1つのポイントは、情報システムは組織の目標達成に役立つ情報やデータを提供するものでなければならない、という考え方に立っている点だ。

 EAを理解するために参考になるモデルの1つに米国行政管理予算局が公表している「連邦エンタープライズアーキテクチャーのフレームワーク(Federal Enterprise Architecture)」がある。

 EAを考える際にはまず、組織の目的と目標、そしてそれらの達成度合いを示す「成果参照モデル」を作成する。その後に、情報システムのあるべき姿を踏まえた「業務参照モデル」「データ参照モデル」「アープリケーション参照モデル」「インフラストラクチャー参照モデル」などを作成していく。

 加えてFEAフレームワークでは、それぞれのモデルにおいて共通して取り組むべき事項として「セキュリティー参照モデル」も示している。情報システムの管理体制として6つの視点を示していることになる。

 このEAのフレームワークをビッグデータの管理体制に適用して考えてみよう。ビッグデータのリスクには「期待通りの成果がでない」ことがある。このリスクを踏まえ、EAのフレームワークにビッグデータの活用・統制(コントロール)の前提となる「統制環境」と「目的、目標等の設定と統合的管理」を加える。

 さらに5つの階層に共通する要素として、個人情報保護法の順守といった「コンプライアンス(法令順守)」を加え、情報セキュリティーのコントロールと同じ位置付けとする。

 期待通りの成果がでないというリスクのほかにも、ビッグデータを管理するためのフレームワークを考える際には、ビッグデータに関する全てのリスクへの対応を考慮する必要がある。

 またこうしたフレームワークに加えて、ビッグデータの管理においてはAIのような技術動向にも目を配る必要がある。ビッグデータの分析手法の高度化を目指して、AIの利用が進んでいる。ビッグデータをより効果的に活用するためにもAIは欠かせない技術である。

図 連邦エンタープライズアーキテクチャー(FEA)の統合参照モデル
図 連邦エンタープライズアーキテクチャー(FEA)の統合参照モデル
最初に成果達成指標を示すことが重要になる(出所:The United States Office of Management and Budget Federal Enterprise Architecture Framework Version 2)
[画像のクリックで拡大表示]