2021/06/10
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線
第10回 「だしぬけ」に備えよ
脅威の数々に対処していくためには
まず、ガバナンスプロセスを整え、事業展開をしている世界各地において、高度な状況認識を可能とする能力をメンテナンスし、セキュリティーの手法全体も再検討した上で、一部の既存手順については変更する必要もあります。さまざまな潜在的脅威に対応するための作戦シナリオを策定すること、これが重要です。サイバーレジリエンス(復元力)の構築と事業継続(BCM)力をメンテナンスしていくのに必要なのは、取締役会レベルでの定期的な議論、包括的な対処計画の立案、そしてサイバーセキュリティー対応演習の頻繁な実施です。
とりわけデジタルトランスフォーメーションの諸施策が進行中の場合には、セキュリティー・バイ・デザイン(設計段階からセキュリティーを組み込む方法)の実現に向けて努力すべきです。新しいプロジェクトについては、全て最初の段階から、セキュリティー対応を打ち合わせの中に入れ込むことです。また、第三者については、自社内で働く方々も、社外でサプライチェーン上の人々も考慮に入れましょう。ビジネスの俊敏性を向上させ、十分な情報を得た上で意思決定できるように、透明性の獲得に向けてまい進しましょう。機密情報が漏えいするリスクに注意を払い、アクセス権設定やセキュリティー機能が効かない可能性も確認し、さらに人事部門とも協力してセキュリティー意識の向上にも努めましょう。
突き詰めていきますと、セキュリティー戦略は、企業のリスク許容度が変わっていく中でも適切なものであり続けなければならず、そして何よりもビジネス目標にしっかりと沿ったものでなければならない、ということになります。
ご一読されていかがでしょうか? 従来から脅威と思われていた「ハッカー集団」だけでなく、新しい技術や地政学的な動きなど、さまざまなものが脅威となって立ち現れてくるという見立てです。そうしてみますと、従来の情報セキュリティーの常識や、守備範囲だけではどうにもならない問題が出現してくることは間違いないようです。ただ、2023年まで待たなくとも、今すでに異次元のことが起き始めているようにも思います。
例えば、最近のサイバーセキュリティー事案で話題となった、DarkSide(ダークサイド)をご存じでしょうか? 米国東海岸のコロニアル・パイプライン社所有の石油パイプラインが、本年5月7日に何の予告もなく停止し、同社だけでなく、さまざまな企業や政府に緊張が走りました。ダークサイドとは、「ランサムウェア」の名前であり、そのサービスを提供するプラットフォームであり、またサイバー犯罪組織の名であるとのことですが、一筋縄ではいかない攻撃だったことは、プラットフォームに仕込まれた四重に設計された脅迫機能の仕組みにもありました(「『ダークサイド』の正体 3つの意味と4重の脅威」日経クロステック誌2021年5月31日参照)。
しかし、各所に大変な緊張感を引き起こした真因は、実は、「だしぬけ」だったことによるのではないでしょうか? 今やサイバー攻撃は、情報セキュリティー責任者にとっても、もっとも「思いもしない」タイミングで行われ、もっとも「嫌な形」で立ち現れる、という認識が必要でしょう。他方、どのくらいの企業でサイバー攻撃がBCPの想定シナリオに入っているかも疑問です。特に、在宅勤務やリモートワークが浸透しつつある「ニューノーマル」の中、リスクの発現する現場も分散しており、中央統制的な体制が多い情報セキュリティーチームだけでは、コミュニケーション一つとってもどうにもならなくなりそうです。いまやビジネスがインターネットを使っている状態ではなく、ビジネスがインターネットの中に住んでいる、という状態とみるべきでしょう。
筆者もかつて、IT-BCPというコンセプトによって、サイバー攻撃に対するITやネットワーク復旧計画を検討した経験があります。オフィスビルに張り巡らされたサーバーやパソコンなどの機器をつなぐ「線」をたどって、物理的な脆弱(ぜいじゃく)性を確認したり、ビル内のサーバー室の温度管理を確認したり、文字通り丹念にたどりました。プランは作りましたが、そこで「3.11」に遭遇しました。その時、プランの紙はメラメラと燃えて灰になりました。コミュニケーション一つままならない中で、誰がどこで何を決定しているのか、何をしたのか、しようとしているのか皆目分からず、まるで砂に頭を突っ込んだダチョウのように不格好でした。本社でもそうでしたが、支社に至っては状況の把握のしようもありませんでした。パソコンやサーバーにピンを打って機器の生き死にが確認できても、人の状況は全く不明でした。機械が生きていてもヒトが使える状態にないと、仕事にならない。情報セキュリティーチームにできることは、とても限られていました。
その後、全社BCP(BCM)訓練にも関わるようになってみて、「想定外」を想定する、ということの重要さを学びました。そうして「想定外を想定する」ことのできる、「想定外の想定外にも対処できる」BCP担当者との連携が必要だと得心しました。企業の経営者は、そういう方々に平時からきちんと報いておくべきでしょう。ある意味では、情報セキュリティーチームは予定調和の思考回路になじんでいます。こうなるハズ、というターゲットのあるシナリオの世界です。他方、BCPチームメンバーは、「だしぬけ」が常態の世界でサバイバルゲームをしている方々です。ですから、両者が連携すれば、とっぴな事態にも備えることができるという道理です。
情報セキュリティーチームが所掌の中でできることを最大限追求するのは、これまで以上に必要であることは間違いありません。Steveの言う通りだと思います。しかしながら、大地震を含めて、想像を絶する事態が起きた時、われわれは、「何をすべきか?」という問いはおろか、「一体全体、何が起きたのか?」と自問するのが精いっぱいでしょう。情報セキュリティーあるいはサイバーセキュリティーという分野で研さんを積んできたわれわれも、BCP担当者の方々と対話を深めてこそ、リジリエンスを現実的に考えられるのかもしれません。
来る7月6日のITリスク勉強会では、そのあたりの話を掘り下げて、関係者の皆さまと議論させていただきたいと思います。
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線の他の記事
おすすめ記事
-
自社の危機管理の進捗管理表を公開
食品スーパーの西友では、危機管理の進捗を独自に制作したテンプレートで管理している。人事総務本部 リスク・コンプライアンス部リスクマネジメントダイレクターの村上邦彦氏らが中心となってつくったもので、現状の危機管理上の課題に対して、いつまでに誰が何をするのか、どこまで進んだのかが一目で確認できる。
2025/04/24
-
-
常識をくつがえす山火事世界各地で増える森林火災
2025年、日本各地で発生した大規模な山火事は、これまでの常識をくつがえした。山火事に詳しい日本大学の串田圭司教授は「かつてないほどの面積が燃え、被害が拡大した」と語る。なぜ、山火事は広がったのだろうか。
2025/04/23
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/04/22
-
帰宅困難者へ寄り添い安心を提供する
BCPを「非常時だけの取り組み」ととらえると、対策もコストも必要最小限になりがち。しかし「企業価値向上の取り組み」ととらえると、可能性は大きく広がります。西武鉄道は2025年度、災害直後に帰宅困難者・滞留者に駅のスペースを開放。立ち寄りサービスや一時待機場所を提供する「駅まちレジリエンス」プロジェクトを本格化します。
2025/04/21
-
-
大阪・関西万博 多難なスタート会場外のリスクにも注視
4月13日、大阪・関西万博が開幕した。約14万1000人が訪れた初日は、通信障害により入場チケットであるQRコード表示に手間取り、入場のために長蛇の列が続いた。インドなど5カ国のパビリオンは工事の遅れで未完成のまま。雨にも見舞われる、多難なスタートとなった。東京オリンピックに続くこの大規模イベントは、開催期間が半年間にもおよぶ。大阪・関西万博のリスクについて、テロ対策や危機管理が専門の板橋功氏に聞いた。
2025/04/15
-
BCMSで社会的供給責任を果たせる体制づくり能登半島地震を機に見直し図り新規訓練を導入
日本精工(東京都品川区、市井明俊代表執行役社長・CEO)は、2024年元日に発生した能登半島地震で、直接的な被害を受けたわけではない。しかし、増加した製品ニーズに応え、社会的供給責任を果たした。また、被害がなくとも明らかになった課題を直視し、対策を進めている。
2025/04/15
-
-
生コン・アスファルト工場の早期再稼働を支援
能登半島地震では、初動や支援における道路の重要性が再認識されました。寸断箇所の啓開にあたる建設業者の尽力はもちろんですが、その後の応急復旧には補修資材が欠かせません。大手プラントメーカーの日工は2025年度、取引先の生コン・アスファルト工場が資材供給を継続するための支援強化に乗り出します。
2025/04/14
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方