2021/06/10
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線
第10回 「だしぬけ」に備えよ
脅威の数々に対処していくためには
まず、ガバナンスプロセスを整え、事業展開をしている世界各地において、高度な状況認識を可能とする能力をメンテナンスし、セキュリティーの手法全体も再検討した上で、一部の既存手順については変更する必要もあります。さまざまな潜在的脅威に対応するための作戦シナリオを策定すること、これが重要です。サイバーレジリエンス(復元力)の構築と事業継続(BCM)力をメンテナンスしていくのに必要なのは、取締役会レベルでの定期的な議論、包括的な対処計画の立案、そしてサイバーセキュリティー対応演習の頻繁な実施です。
とりわけデジタルトランスフォーメーションの諸施策が進行中の場合には、セキュリティー・バイ・デザイン(設計段階からセキュリティーを組み込む方法)の実現に向けて努力すべきです。新しいプロジェクトについては、全て最初の段階から、セキュリティー対応を打ち合わせの中に入れ込むことです。また、第三者については、自社内で働く方々も、社外でサプライチェーン上の人々も考慮に入れましょう。ビジネスの俊敏性を向上させ、十分な情報を得た上で意思決定できるように、透明性の獲得に向けてまい進しましょう。機密情報が漏えいするリスクに注意を払い、アクセス権設定やセキュリティー機能が効かない可能性も確認し、さらに人事部門とも協力してセキュリティー意識の向上にも努めましょう。
突き詰めていきますと、セキュリティー戦略は、企業のリスク許容度が変わっていく中でも適切なものであり続けなければならず、そして何よりもビジネス目標にしっかりと沿ったものでなければならない、ということになります。
ご一読されていかがでしょうか? 従来から脅威と思われていた「ハッカー集団」だけでなく、新しい技術や地政学的な動きなど、さまざまなものが脅威となって立ち現れてくるという見立てです。そうしてみますと、従来の情報セキュリティーの常識や、守備範囲だけではどうにもならない問題が出現してくることは間違いないようです。ただ、2023年まで待たなくとも、今すでに異次元のことが起き始めているようにも思います。
例えば、最近のサイバーセキュリティー事案で話題となった、DarkSide(ダークサイド)をご存じでしょうか? 米国東海岸のコロニアル・パイプライン社所有の石油パイプラインが、本年5月7日に何の予告もなく停止し、同社だけでなく、さまざまな企業や政府に緊張が走りました。ダークサイドとは、「ランサムウェア」の名前であり、そのサービスを提供するプラットフォームであり、またサイバー犯罪組織の名であるとのことですが、一筋縄ではいかない攻撃だったことは、プラットフォームに仕込まれた四重に設計された脅迫機能の仕組みにもありました(「『ダークサイド』の正体 3つの意味と4重の脅威」日経クロステック誌2021年5月31日参照)。
しかし、各所に大変な緊張感を引き起こした真因は、実は、「だしぬけ」だったことによるのではないでしょうか? 今やサイバー攻撃は、情報セキュリティー責任者にとっても、もっとも「思いもしない」タイミングで行われ、もっとも「嫌な形」で立ち現れる、という認識が必要でしょう。他方、どのくらいの企業でサイバー攻撃がBCPの想定シナリオに入っているかも疑問です。特に、在宅勤務やリモートワークが浸透しつつある「ニューノーマル」の中、リスクの発現する現場も分散しており、中央統制的な体制が多い情報セキュリティーチームだけでは、コミュニケーション一つとってもどうにもならなくなりそうです。いまやビジネスがインターネットを使っている状態ではなく、ビジネスがインターネットの中に住んでいる、という状態とみるべきでしょう。
筆者もかつて、IT-BCPというコンセプトによって、サイバー攻撃に対するITやネットワーク復旧計画を検討した経験があります。オフィスビルに張り巡らされたサーバーやパソコンなどの機器をつなぐ「線」をたどって、物理的な脆弱(ぜいじゃく)性を確認したり、ビル内のサーバー室の温度管理を確認したり、文字通り丹念にたどりました。プランは作りましたが、そこで「3.11」に遭遇しました。その時、プランの紙はメラメラと燃えて灰になりました。コミュニケーション一つままならない中で、誰がどこで何を決定しているのか、何をしたのか、しようとしているのか皆目分からず、まるで砂に頭を突っ込んだダチョウのように不格好でした。本社でもそうでしたが、支社に至っては状況の把握のしようもありませんでした。パソコンやサーバーにピンを打って機器の生き死にが確認できても、人の状況は全く不明でした。機械が生きていてもヒトが使える状態にないと、仕事にならない。情報セキュリティーチームにできることは、とても限られていました。
その後、全社BCP(BCM)訓練にも関わるようになってみて、「想定外」を想定する、ということの重要さを学びました。そうして「想定外を想定する」ことのできる、「想定外の想定外にも対処できる」BCP担当者との連携が必要だと得心しました。企業の経営者は、そういう方々に平時からきちんと報いておくべきでしょう。ある意味では、情報セキュリティーチームは予定調和の思考回路になじんでいます。こうなるハズ、というターゲットのあるシナリオの世界です。他方、BCPチームメンバーは、「だしぬけ」が常態の世界でサバイバルゲームをしている方々です。ですから、両者が連携すれば、とっぴな事態にも備えることができるという道理です。
情報セキュリティーチームが所掌の中でできることを最大限追求するのは、これまで以上に必要であることは間違いありません。Steveの言う通りだと思います。しかしながら、大地震を含めて、想像を絶する事態が起きた時、われわれは、「何をすべきか?」という問いはおろか、「一体全体、何が起きたのか?」と自問するのが精いっぱいでしょう。情報セキュリティーあるいはサイバーセキュリティーという分野で研さんを積んできたわれわれも、BCP担当者の方々と対話を深めてこそ、リジリエンスを現実的に考えられるのかもしれません。
来る7月6日のITリスク勉強会では、そのあたりの話を掘り下げて、関係者の皆さまと議論させていただきたいと思います。
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線の他の記事
おすすめ記事
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/04/01
-
-
-
-
-
全社員が「リスクオーナー」リーダーに実践教育
エイブルホールディングス(東京都港区、平田竜史代表取締役社長)は、組織的なリスクマネジメント文化を育むために、土台となる組織風土の構築を進める。全役職員をリスクオーナーに位置づけてリスクマネジメントの自覚を高め、多彩な研修で役職に合致したレベルアップを目指す。
2025/03/18
-
ソリューションを提示しても経営には響かない
企業を取り巻くデジタルリスクはますます多様化。サイバー攻撃や内部からの情報漏えいのような従来型リスクが進展の様相を見せる一方で、生成 AI のような最新テクノロジーの登場や、国際政治の再編による世界的なパワーバランスの変動への対応が求められている。2025 年のデジタルリスク管理における重要ポイントはどこか。ガートナージャパンでセキュリティーとプライバシー領域の調査、分析を担当する礒田優一氏に聞いた。
2025/03/17
-
-
-
なぜ下請法の勧告が急増しているのか?公取委が注視する金型の無料保管と下請代金の減額
2024年度は下請法の勧告件数が17件と、直近10年で最多を昨年に続き更新している。急増しているのが金型の保管に関する勧告だ。大手ポンプメーカーの荏原製作所、自動車メーカーのトヨタや日産の子会社などへの勧告が相次いだ。また、家電量販店のビックカメラは支払代金の不当な減額で、出版ではKADOKAWAが買いたたきで勧告を受けた。なぜ、下請法による勧告が増えているのか。独占禁止法と下請法に詳しい日比谷総合法律事務所の多田敏明弁護士に聞いた。
2025/03/14
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方