運用者であり統制者が施策を手掛けることによる課題の解決
ただし、このやり方についてはいくつか課題も残されている。まず1つ目として、職務分掌が難しいということがある。通常、職務分掌は部署・役職・担当者の責務を配分して仕事の責任・範囲を明確化することで、責任範囲を明確化し、不正に対する牽制となる。しかし、運用と統制が一人格であることでそうした方法が使えない。そこで、不正検知の機能を利用するようにしているという。
例えば、パブリッククラウドのログ記録機能によって、操作が記録されるようになっている。そこには操作記録用のパブリッククラウドアカウントが用意され、その保存領域はアカウント管理者であっても一定期間削除・編集できない設定となっている。そして、操作記録は定期的に自動チェックされ、不審な動きがある場合はアラートされる。
また、パブリッククラウドの操作記録については、統制チームのリーダーが記録アカウントの管理権限を保持している。運用チームの各リーダーは顧客環境のあるパブリッククラウドアカウントの管理権限は保持しているが、統制チームのリーダーは管理権限を持たず、一般運用者の権利のみを保持している。これにより、記録について運用チームが不正な変更を加えることを困難にし、運用について統制チームによる不正を困難にしている。
そして2つ目の問題は、製品が増加した場合に対応が難しくなることだ。統制担当者は担当製品の運用も実施するが、運用する製品が増えていけば負担が増大する。そこで、製品ごとに統制担当者を出し、定期的に集まって相談会や勉強会を実施している。
また、こうした横への広がりについてもさることながら、統制・運用・開発は日々改善され内容は高度化していくことになる。その際に、定型業務をこなすだけなら可能でも、トラブル対応や改善への参加は困難になっていくのが3つ目の課題だ。そこで、運用チームから運用に関するスキルを共有するために運用チームが持っていたタスクについて各チームから当番を出して、運用チーム1人、統制チーム1人の2人で対応するようにしている。なお人数を控えめにしているのは、運用チームが複数いると、そこだけで問題を完結してしまい、技術的な伝承がなされにくくなるからだ。
そして、もう一つ、コンプライアンスや統制についての怖さ、わからなさといったところから、運用者は「何かあっても隠したい」傾向にある。しかしながら、統制担当者としては隠されてしまえば対処のしようがない。そこでその対立をなくすために、統制担当者も運用担当者として運用業務に携わるようにしているのに加え、統制目的をすべての運用者に伝えるべく、統制チームが新人研修で"統制精神"を注入している。
これまでを振り返り、大嶋氏は「運用や開発は楽しいかと思うが、同様に統制も、運用や開発に関わりながら行うとずっと楽しいものになる。ぜひ、試してみていただきたい」と語り、セッションのまとめとした。
Ask the Speaker
――統制担当者と運用担当者が近い、または同じ場合、手心を加えてしまうことはないのでしょうか。
「職務分掌面でも、かなり大きなリスクだと思います。そこで社内の他の統制関係者の第三者の目を入れて、この体制・仕組みでいいのかをチェックするようにしています。または社外のISO認証など監査の目を入れるようにしています」
――参加者に一番伝えたいポイントは?
「運用担当者自身が統制を担うことで、統制の効果を活かしながら、運用や開発ができます。それはとても『楽しいたけ!』だと伝えたいです」
――作業担当者が画面ショットを取るなどのリスクに対しては、どのような対策をとっているのでしょうか。
「基本的に作業ショットを撮られて困るものはできるだけ閲覧できないようにしています。また、『作業できるよ部屋』にはモバイルの持ち込みは不可となっています」
――統制が「楽しいたけ!」と思った瞬間は?
「統制と運用を両立させて施策に取り組み、成果が出たときですね!」
