野村證券はどのようにリスクを可視化しているのか

　野村證券がシステムリスク・ダッシュボードの運用を開始したのは、約1年半前のこと。モア氏は、「システムリスク管理のための仕組みは、膨大な量のデータを生成する。そこでそれらのデータをスキャンし、レビューして、コントロールがどのように機能しているのかを知る必要があった」と取り組みの背景を説明する。

　その際に同社は、リスク管理の対象となる4つの領域を設定。それが運用、開発、セキュリティ、管理／統制で、順番に本番稼働しているシステムに関わるリスク、開発フェーズでのリスク、ITセキュリティに関わるリスク、そして自動化やテストなどに関わるリスクだ。

　さらにこの4つの領域にはそれぞれにリスク管理の対象となるビジネスプロセスがある。たとえば運用の領域なら、システムオペレーション、ビジネス継続と災害復旧、アルゴリズム取引管理とモニタリングだ。また管理／統制の領域なら、ベンダー管理、ユーザーIDと論理アクセスなどが挙げられる。

「システムリスク管理の仕組みは膨大な量のデータを生成する。これをそのまま経営幹部に見せても理解しづらい。そこで我々は、プロファイルスコアというものを設定した。各リスクプロセスに点数を与えて、そのプロセスのリスクがどれぐらいのレベルなのかを可視化するものだ。この点数を見ることで、どこに照準を当てなければならないかが一目瞭然になる」

どのようなKCIやKRIを活用しているのか

　それでは野村證券は、具体的にどのようなKCIやKRIを活用しているのか。

「たとえば運用領域のビジネス継続と災害復旧のところでは、まず災害復旧の要件が明確に定義されていないアプリケーションの数を見ている。またフェイルオーバーテストが実行されていないアプリケーションの数も重要で、一次システムから二次システムに切り替えることができるのかなどを少なくとも年に1回はチェックしている。さらには事前に定義したRTO（目標復旧時間）が満たされていないアプリケーションの数や、フェイルオーバーの手順書が文書化されていないアプリケーションの数、その文書の内容がまったく更新されていないアプリケーションの数も指標となる」

　また管理／統制の領域におけるユーザーIDと論理アクセスに関する指標は3つで、正式に承認されていないアカウント数、役回り以上の権限が与えられているアカウント数、個人ユーザーアカウントに付与されてしまっている管理者権限の数だ。

　さらにベンダー管理に関する指標としては、評価と分類が終わっていないベンダーが占める割合、リスク評価を実施していないベンダーが占める割合、スケジュール内に完了していないリスク対策の占める割合、提供サービスの振り返り会を実施していないベンダーの占める割合だ。

　同社ではこうした指標を設け、各々を勘案して導き出される各領域のKRIをシステムリスク・ダッシュボードの中でパーセント（％）で表示し、さらに違反件数をKCIとして表している。

「実際のシステムリスク・ダッシュボードでは、たとえばユーザーIDと論理アクセスについては3つの指標から導き出されるKRIが99.4％、KCIが440といった数値で示されることになる。つまりこの領域では、99.4％の割合で目標が達成されているということだ。ちなみにKCIが440というのは、指標を満たしていないアカウント数が440あるということだが、当社には約10万のアカウントがあり、比率としては非常に低いものだ」

　さらにダッシュボードでは、こうした違反を復旧するために必要な時間も、KRIの隣に欄に表示されている。

【次ページ】野村證券のリスクマネジメントを支えるIT製品群とは