セキュリティとレジリエンシーの融合

　インタビュー　

IBM グローバル・テクノロジー・サービスレジリエンシー・サービス　ゼネラル・マネージャー
Laurence Guihard-Joly氏

多様化・複雑化するリスクに対し、組織はどうBCPを見直していけばいいのか。特にサイバー攻撃については、情報システム部門だけでの対応には限界がある。情報セキュリティとレジリエンシーの融合の必要性を説くIBMのLaurence Guihard-Joly氏に聞いた。

　Q1　　自然災害に加え、テロやサイバー攻撃など、リスクが多様化・複雑化しています。BCPの観点からどのような取り組みが求められるでしょうか？

この１年を振り返ってもテロ、自然災害、サイバー攻撃など、多くのリスクが顕在化している。テロは会社だけでなく社会インフラ全体に与えるダメージが大きい。社会基盤の稼働性が大幅に低下するため、会社にとって必要な業務を優先的に続けるBIA（重要業務分析）を踏まえた対策がより重要になる。

一方で、銀行や航空会社、放送局などあらゆる業種の企業がサイバー攻撃のターゲットになっている。また、個人のスマートフォンに入っているIDやプライバシー情報の流出も問題になっている。サイバー攻撃の被害は金額的な被害だけでなく、企業のブランドイメージも著しく低下させる。つまり企業価値全体の低下を招く。企業は、これまで以上にガバナンスを高めていく必要がある。

IoTの発展が順調に進み、これまで研究・実験的な段階であった様々な製品が、いよいよ社会で実際に利用される時期に入ってきた。データ保護などを含めた対策は強化され続けているが、新しい時代に入り、これまでの方法論では手に負えず、即時性の高い対応が求められる。

　Q2　　今、特に見直すべき対策はどのようなものでしょうか？

IBMが提供するレジリエンシー・サービスの７層のフレームワークをもとに考えると、「戦略とビジョン」「組織」「プロセス」「アプリケーション」「データ」「IT基盤」「設備」のうち、「IT基盤」や「設備」の対策は順調に進んでいるが、「プロセス」はまだ改善の余地があるケースが多い。

例えば、テロが起こると現場周辺は封鎖される。だから、ロケーションフリーでどこにいても事業継続を可能にする様々な対策が求められる。

IBMでは、お客様の被災に備えて、オフィス環境を離れた場所に準備するサービスを提供している。ヨーロッパやアメリカではポピュラーな対応だ。それでも、テロが起きたとき、社員がどこにいるのか、その場所は安全か、情報を共有する手段はあるのかなど様々な問題が残っている。この点については、単なる安否確認ではない、条件に基づき関係者へのコミュニケーションを提供するクラウド・サービスを新たに開始した。