企業インタビュー
株式会社ラック
「内部監査のデジタルトランスフォーメーション」進化し続ける内部監査を目指して
株式会社ラック(東証スタンダード上場)
執行役員 内部監査領域担当 監査部長 中島 聡様 / 小菊 裕之様 / 勝間田 美里様
国内を代表する独立系セキュリティベンダー、システムインテグレータとして、社会の発展に貢献してきた株式会社ラック。東証スタンダード市場に上場する企業として、内部監査に関する具体的な取り組みや今後の展望について詳しく伺いました。
「セキュリティ・バイ・デザイン」を実践できる、セキュリティとシステム開発のトップランナー
―まずは、ラックについて教えてください。
中島様 当社は「たしかなテクノロジーで『信じられる社会』を築く。」というパーパスを軸に、セキュリティサービスとシステムインテグレーションを二つの大きな柱として事業を展開して参りました。
特にサイバーセキュリティ分野おいては、国内での知名度、実績ともに高く評価いただいているものと思います。また、近年は、生成AI・LLMを取り入れた先端サービスや、金融機関向けの高度な不正検知サービスを提供するなど、新しい事業分野にも挑戦しています。
また、ここ数年、ランサムウェアによる攻撃で工場が停止するなど、サイバー攻撃が社会問題化しています。社会的に基幹システムのセキュリティの重要性が高まる中、企業にはセキュリティを確保したシステムインテグレーションが求められていると考えています。
私たちは業界屈指のセキュリティ技術を駆使し、先端のテクノロジーを活用するインテグレーターとして、世界で挑戦する企業をはじめ、デジタルトランスフォーメーションに対応する企業を支えることで、豊かで夢のある社会づくりに貢献していきたいと考えています。
―御社は本当の意味で「セキュリティ・バイ・デザイン」のシステム開発ができる数少ない企業ですよね?
中島様 はい、かつて”DevOps”が話題になり、システム開発と運用を一体で考える流れが盛んだった時期に、私たちはさらにセキュリティも考慮すべきだと考えていました。今で言う“DevSecOps”ですね。
“DevSecOps”とは開発の初期段階からセキュリティを考慮し、運用まで視野に入れるというアプローチのことで、私たちのシステム開発は、常にセキュリティを最初から意識して行う点で他社と差別化が図れているものと考えます。この点が、他社と異なる私たちの大きな特徴だと思います。
―御社のセキュリティ事業は、日本で最も信頼される存在の1つだと思います。
中島様 私たちのセキュリティ事業は1995年に他に先駆けて立ち上げられ、既に25年以上の実績があります。監視から発見、対策、対応までトータルなサービスの提供が可能で、これらの点が、そのような評価をいただく理由かと思います。
企業や官公庁の重要なプロジェクトも担うこともあり、日本社会における重要な役割を担っていると感じています。
―最近ではどのような取り組みをされていますか?
中島様 3年程前に、金融犯罪対策センター(FC3)という組織を設立しました。そこでは、不正な振込みなどをAI技術を用いて検知して、被害発生を予防するという独自のノウハウを用いたソリューションを提供し始めました。
このソリューションは、当社の技術力と革新性を象徴するものとなっており、既に一部の金融機関(預金金融機関等)と開発・導入を進めています。
デジタル活用を通じた内部監査の高度化・効率化
―御社が上場企業としてどのように内部監査の高度化に取り組んできたか、具体的な事例を教えていただけますか?
中島様 はい、内部監査の高度化にあたっては、国際的な基準であるIIAのガイドラインに沿って体制を整えることが重要です。私たちの内部監査部門は以前から存在していましたが、本格的な体制整備は2020年から始めました。IIAの基準への準拠に取り組むとともに、実際に構築した体制が機能しているか、継続して必要な改善を進めてきました。
約2年間で体制を整え、3年目には外部評価を受け、総合評価としてGC(Generally Conforms)の評価を得ることができました。外部評価を通じて、自分たちの内部監査の品質を確認するとともに、内部監査の業務品質をさらに向上させるための課題の整理や改善のきっかけを得ることができたと感じています。
―御社はデジタルをうまく活用していますが、DX(デジタルトランスフォーメーション)に取り組むことになった��背景はどのようなものでしたか?
中島様 当社の内部監査部門は、グループ全体の従業員約2,200名に対してわずか6名で運営されています。この少ないリソースで効率的に業務を行うため、デジタルツールの導入が必要でした。特に『NAIKAN』の導入は、内部監査のDXの第一歩として非常に重要でした。
―DXのロードマップはどのように策定されましたか?
中島様 ラックが会社全体でDXを推進する中で、内部監査も例外ではありませんでした。DXというのは単に新しいツールを導入するではありません。大切なことは「DXにより何を目指すか、実現するか」というビジョンの明確化なのです。私は計画的に物事を進めるのが好きなので、まずは内部監査のDXに向けたロードマップを作成しました。
当時は、内部監査業務のうち保証業務をすべて自動化していきたいと考えていました。そして、その実現に向け、どういうステップを踏んでいけばいいのかを考えました。この過程で複数年のロードマップを作りました。
この目標に向かっていく中で、フロンティアの『NAIKAN』やMicrosoftの『PowerBI』、生成AIなど、私たちのロードマップの中に必要な様々なテクノロジーや製品を選定し、組み込みながら進めるつもりです。
―中長期的な戦略を立てながらDXを進めるというのは簡単なようで難しく、他社ではなかなかできないことだと思います。
中島様 当社の内部監査部門は、規模が小さいというのが有利に働いていると思います。ロードマップを作るにしても全員参加の発散型議論からスタートし、徐々に収束させていくということが比較的容易にできます。現段階では、DXに関する議論はまだ発散段階にあるものもあります。今後も様々なデジタルツールを活用し、内部監査のDXを実現していくことが楽しみです。
―最近はどのような分野に取り組んでいますか?
中島様 最近は『NAIKAN』の機能を活用したタスク・スケジュール管理に取り組んでいます。内部監査はプロジェクトマネジメント的な要素が強いので、監査活動そのものに活用するのはもちろん、管理業務にもうまく活用していきたいと考えています。現在、この取り組みは、同席している小菊と勝間田がリードしてくれています。
―『NAIKAN』によるタスク・スケジュール管理の導入は、日々の内部監査業務にどのような変化をもたらしましたか?
小菊様 『NAIKAN』によるタスク・スケジュール管理の導入により、タスクごとに専用スレッドが立ち、やり取りが可視化されるようになりました。また、タスクとサブタスクを分解し構造的に整理することで、スケジュールの可視化やクリティカルパスの明確化が進みました。これにより、今、自分たちがどこにいるのか迷わなくなり、業務のスピードアップ・効率化が図られるようになったと思います。
勝間田様 私も『NAIKAN』によるタスク・スケジュール管理機能を実際に使用してみて、その効果に驚いています。タスク単位でのコメント機能があり、作業単位ベースでコミュニケーションができるので、Microsoft Teamsなどによるコミュニケーションで発生していた情報検索の手間というのが大幅に軽減されました。業務の効率化に直結していると感じています。
進化するステークホルダーとの対話
―ステークホルダーからの高い期待に応えるために、どのような取り組みをしていますか?
中島様 CEOに対しては月に一度、定例報告を行い、その場でフィードバックを受け取っています。また、監査役とは週次で会合を持ち、監査役会でも月次で出席し、報告および意見交換を実施しています。さらに、取締役会に対しては、四半期ごとの報告および意見交換、年次で監査計画等の承認を受けています。この過程で的確��なフィードバックを受けるなど有益なコミュニケーションができていると感じています。
これらに加えて、昨年から、取締役会・監査役会から内部監査に対する正式な評価・フィードバックをいただく仕組みを導入しています。従来から監査計画に対してもっと取締役等の意見を反映したいという希望があったため役立っているものと思います。
インタビュー時期:2024年4月
文中の会社名・役職等は取材当時のものです。
進化するガバナンスと新しいチャレンジ
会社名称 株式会社ラック(東証スタンダード上場)
事業内容 セキュリティ対策のリーディングカンパニー。情報セキュリティサービスとコンサルティングから設計・開発・運用保守まで一貫したソリューションサービスを提供。
https://www.lac.co.jp/corporate/
中島 聡様(写真左)と小菊 裕之様(写真右)
―被監査部門とのコミュニケーションについてはどうでしょうか?
中島様 被監査部門とのコミュニケーションは、監査後のフィードバックだけでなく、様々なコミュニケーションを模索しています。また、部門長レベルでのコミュニケーションの他、マネージャーや担当者層でのコミュニケーションも重視しています。具体的には、例えば、全社でライトニングトークを実施した際に、内部監査部門からも小菊に参加させ、監査をF1のピットに見立てて話してもらったところ、大変好評でした。「監査部門の堅苦しいイメージが和らいだ」「親しみやすくなった」といった声をいただいています。
―今後、上場企業としてのガバナンス強化についてどのようにお考えですか?
中島様 内部監査部門は、昨年、外部評価の結果をベースにして、今後の方向性を設定しました。現状の良い点を維持していくと同時に、改善が必要な部分を特定しました。当然ですが、100点満点の状態にはまだ達していないため、不足している部分を補うことが重要だと考えています。
また、体制の強化という点では、やはり人的リソースの補充は欠かせません。今の私達に必要なスキルを持った人材を採用することが、体制強化の鍵となっています。採用の方針としては、単に内部監査に長い経験があるということよりも、AIやデジタルの活用ができるようなスキルや経験を重視していきたいと考えています。
内部監査部門は、単にIT、オペレーション、コンプライアンスなどの統制やリスクを評価するだけではなく、デジタル技術を活用し、アシュアランスとアドバイザリーの両面から企業価値を高める方向に進んでいると思います。これからはその流れに適応できる人材が必要です。
現在のスタッフも同様です。単にCIAのような資格取得を目指す勉強だけではなく、AIやデジタルの活用について学ぶなど、私たちの目指す方向と目的を深く理解し、それに沿ったスキルを身につけてもらいたいと考えています。
変化する市場や技術に遅れることなく、前進し続けることができるように育成していきたいと思っています。
デモンストレーションを
ご希望の方はこちらから
オンラインまたは弊社オフィスでのデモンストレーションを承ります。
―ご同席をいただいているお二人はいかがでしょうか。
小菊様 ラックの内部監査部門は、経営層から高い期待を受けています。そして私たちはその重要性を十分に理解しています。私たちは、監査権限という強い力を持つことから、被監査部門とのコミュニケーションには十分な注意を払うべきだと考えています。私たちは被監査部門から相談しやすいパートナーになることが大切です。そしてそのためには、日頃から被監査部門との関係構築(土壌づくり)に取り組むことが必要です。組織内から信頼される存在となることで、結果として内部監査部門が組織において高い存在感・価値提供をできるようになるのだと思っています。
勝間田様 私はラックに中途で入社したのですが、被監査部門の協力的な姿勢とオープンなコミュニケーションがとても印象的でした。インタビュー対応や資料提供をお願いした時の反応の速さ、そして監査後アンケートの回答率の高さからも、お互いの信頼関係が醸成されていると感じています。これらは歴代の内部監査部門のメンバーが築いてきた信頼関係の成果であり、今後もこれを維持し、さらに向上させていきたいと思っています。