このレジリエンスを考えた時に、組織単体がいくら頑張っても限界があり、自分が依存してるもの、依存されてるものも含めて、どうやって機能を確保していくかを互いに調整しながら対策していくことが求められる。これが今のネットワーク型社会に求められることだろう。

ただし、複雑化した社会の中では、自分がどこまでのサプライヤーなどのステークホルダーとつながってるのか、何に依存してるかを、すべて把握することは難しく、事前の対策を完璧にするとか、水際で食い止めるということは、もはや限界だ。したがって、レジリエンスの概念にあるように、いざ突破された時の対応能力、レスポンス能力というものを積み上げていくことが求められてくる。

システムに関して言えば、大量・高速処理、24時間365日運用、リアルタイム処理、ネットワーク化、分散処理、マルチプラットフォーム、マルチベンダー、クラウドコンピューティング、ビッグデータ、IoTなどのキーワードが今のシステムには要求されている。

私が20年ほど前に勤めていた銀行では、当時からもちろん大量高速処理をしていたが、今ほどのスピードと量は考えられなかったし、365日24時間リアルタイムでの処理も求められていなかった。

何かシステム障害や事故があれば、人海戦術で何とか処理できたことが多かったが、今ではそれは困難だ。

一方、ここ10年ほどのICT障害事例を見ると、発生分野や、社会・経済活動への影響パターンが多様化していることがわかる。

ネットワークでつながったシステムは、障害が発生した時に、広がる連鎖障害を早く食い止めないと経済的損失がどんどん増加してしまう。ネットワーク経由で他のシステムの不具合が及んでくる可能性もある。

昔は、銀行も行員とベンダーがほぼ一緒にシステムを作り上げていたので、何か不具合が発生しても、どこに脆弱性がありそうだとか、次にダウンするとすればどの辺だというのが、お互いにわかっていたので、電話1本で連携・対応することができたが、今日のようなマルチベンダー体制では、システム障害・事故が発生した際に、どのシステムが悪さをしてるかというのが、なかなか把握しにくい。「なんだか今日はシステムのパフォーマンスが悪い。オペレーションが多いせいなのか」と、単なるシステムの不具合と思わせるようなサイバー攻撃も登場している。ベンダーに問い合わせても、「うちのせいじゃないと思います」とたらいまわしにされ、原因はいつまでも特定できない。逆に言うと、サイバー攻撃はそういうところを突いてくる可能性もある。

セキュリティーに関しては、いろいろなツールやセンサーも開発されているが、後付けでそういったものを入れても限界がある。また、基幹システムが老朽化・複雑化・肥大化し、例えば老朽化されたモジュールの上に、いろんなアプリケーションが上乗せされているようなことも多く複雑怪奇で、それを設計した人達は引退しているという世界になってしまっている。

できれば、後付けにするのではなく、システムの更新の時期を早めてでも、基本設計の段階でサイバー攻撃を意識したシステムの脆弱性をカバーするような仕組みを入れておくことが望ましい。

写真を拡大