Q3  BCPによりサイバー攻撃の被害は軽減できるでしょうか?

サイバー攻撃にもBCMは有用なことは明らかだ。米国の調査会社、ポネモン・インスティテュート社の発表によれば、2015年にはサイバー犯罪によって全世界で1年あたり4550億ドル以上の損失があり、2000万以上の記録が破壊されている。昨年、米国では9200万人もの医療データの流出が起こった。盗んだデータを「人質」に金銭を要求したケースもある。

データ漏洩による被害はBCMによって低減できる。同社の報告によれば、BCMがなければ1データあたりの平均被害額が161ドルだが、BCMを行っていると147ドル、1データあたりの被害を17ドル抑えるとしている。これはおそらく、早期に対策に移れることなどの効果によるものだと考えられる。

とはいえ、IoTによる社会変革で、これまで以上の素早い反応と回復とが求められてきている。IBMではWatsonに代表されるコグニティブ・コンピュータ(認知科学を取り入れた、自ら考え判断するシステム)を使ったサイバー攻撃対策も進めている。実現すれば、不正なプログラムを検知した際、その被害がどこまで広がるかを直ちに計算し、必要な対策を助言するようなことが可能になる。

 Q4  危機管理の担当者は自然災害からサイバー攻撃まで幅広く対応しなくてはなりません。どのような体制を築くべきでしょうか?

危機管理の担当者と情報セキュリティ、レジリエンシー、さらには各事業部門の協力が鍵になる。特に、それぞれの責任者の役割が重要だ。

私たちのアプローチでは、まずBIAによって全体的に業務を見渡し、何を優先して守るかを明らかにする。必要があれば部署や業務内容を飛び越えて、現実に即した対応法を考える。例えば、国や地域の特徴を踏まえた体制などだ。自然災害の多い日本とテロの攻撃対象になったパリではリスクの種類とインパクトは異なる。

危機管理の担当者のうち、高い専門性を備えた人をIBMでは「ディザスター・リカバリーの達人」と呼ぶ。インシデントが起きたときに備え、戦略的に考え、平時からプログラムを繰り返し検証して実効性を高め、セキュリティとレジリエンシーの責任者と共に協力し、新しい効率的なテクノロジーを導入して対応に当たれるのがディザスター・リカバリーの達人の定義である。

とはいえ、常に前進し続けることは簡単ではない。有効とはわかっていても、従来のシステムからの切り替えには誰もが躊躇(ちゅうちょ)する。改めてテストを繰り返す必要性も出てくる。そのため、IBMでは、担当者の実効力を高め、作業負担を軽減できるようクラウドなどのマネージド・サービスでサポートをしている。

 Q5  IBMでは、どのような組織内連携を行っているのでしょうか?

レジリエンシーとセキュリティの2つに大別している。私はIBMの社内レジリエンシーの責任者だが、組織横断的にセキュリティとBCPの観点から社員をチェックする立場でもあるから両方の取り組みを理解している。レジリエンシーでは、四半期に一度、体制を評価しテストも行い、スコアカードで標準化している。世界各国でそれぞれのビジネスユニットなどを調査し、IBMとして事業継続に関して統一的で適切な認識を持っているか確認している。

一方、セキュリティでは、システムのセキュリティ環境を守るだけでなく、全社員の教育として、例えばテストでフィッシングメールを社員に送るようなこともする。開くと警告が出るようなテストだ。結果によっては再トレーニングを求める。

事故や災害、ITトラブルがあっても、レジリエンシーとセキュリティは連携を取り合い対応にあたれるようにしている。