前回は、サイバー保険という、ある意味外部の知恵に対して、なけなしの予算を振り向けるべきか、という視点で、サイバーセキュリティ実務の最前線を見てみました。今回は、サイバーリスクに対する脅威シナリオの描き方、さらにはそれを全社リスクモデリングの中に組み込んでいくビビッドな実務の知恵を学びたいと思います。

そこで、いつもとは趣向を変えて、メンバーフォーラムであるISFの会員企業の一社、A.P.モラー・マースク社(デンマークに本拠地のある、世界最大の海運コングロマリット)のリスクモデリング体制の実状を公開ウェビナー『リスクと見返り:脅威の地平線2024を活用する』から聞き取って共有します。こうしたメンバー実務の知恵をギブアンドテイクする伝統は、ISFという高度な自治を誇る団体の真骨頂というわけですが、全て聞いてみたいという方は下記のYouTubeにアクセスいただくとして(30分)、このブログでは、幾つかのエピソードを取り上げて議論したいと思います。

なお、「脅威の地平線」とは、ISFが毎年1月に会員向けに提供している看板レポートの一つで、2022年1月には、”Threat Horizon 2024” として、これから2-3年の間に新たに出現したり強度を増したりする脅威シナリオ9つを、現在既にある脅威の18シナリオと共に検証し、対応策の優先順位の付け方や社内検討の手法と合せて詳述した84ページの手引書です(日本のメンバー企業の方々には、参考訳として日本語版が共有されています)。

(2022年7月14日公開)
聞き手:Mark Ward - Senior Research Analyst of the ISF
            Paul Watts - Distinguished Analyst of the ISF

インタビューでは、同社のリスクモデリングの全体像やサイバーリスクに関する組織的なテーマと、より具体的にサイバーリスクに対するシナリオ・プランニングについての実務上の工夫について質疑応答がなされていますが、ここでは、適宜要約しながらエッセンスを見ていきたいと思います。

インタビューに応じたのは、同社サイバーリスク戦略統括責任者(Head of Strategic Cyber Risk and Foresight)のアマンダ・ハレットさん(Amanda Hallett)と、同僚のサイバーセキュリティ・リスクマネージャーであるカレン・ランダワさん(Karan Randhawa)です。

まず、体制について述べています。

(以下、動画の内容を要約)


「マースクには、現在、いくつかのリスクチームがあり、我々のチームはリスク管理の中でも、戦略的な展望を担当しています。つまり、マースクという企業における技術的なリスクを理解し、評価し、特定する仕事ですが、リスクだけでなくその見返りも含めた将来的な展望に焦点を当てています。」

「さらに、オペレーショナルリスクマネジメントを担当する別のチームがあり、日々のリスクマネジメントとして、オペレーショナルリスクの評価と管理を行っています。ここでは、5×5マトリックスの標準的な方法論によって業務を進めています。」

「また、第三者リスク管理チームもあり、こちらでもオペレーショナルリスク管理チームと同じことを行っていますが、サプライヤーと契約に焦点を当てて、少し違った角度からリスク管理を行っています。」

「いずれのチームも、リスクに対しては同じような方法、すなわち<発生可能性 x 影響度>のマトリックスを用いて仕事をしています。ただ、私たちのチームは、常に変化する脅威の地平線に対応するため、より前広にサイバーセキュリティ能力が発揮できるように、能力形成に重点を置いています。つまり、常に後手に回るのではなく、もう少し積極的な行動が取れるようにしたいのです。」

かなり大掛かりな体制であることがわかります。やはり巨大なコングロマリットとして事業領域にも地域にも広がりがあるからでしょうか。

 

「そうだと思います。しかし、それ以上に、サイバーセキュリティの脅威の地平線が常に進化していることが影響していると考えています。」「“Threat Horizon”は、企業としての備えを強化し、セキュリティ・ギャップや標準化戦略などを特定するのに役立っています。私たちは、脅威が現実のものとなったときにはじめて、それに対して対応するのではなくて、もう少し先を見越して対応できるように、集中的に投資しています。だからこそ、私たちは毎日脅威に向き合わなければならないのです。そのように<今、ここ>に対処する必要がありますが、同時に、将来それがどうなるか、企業に対してもたらされる意味を推察する必要もあります。」

先を見越した対応というのは、言うは易し、行うは難し、なのだろうと推察します。

「そうですね。私どもの事業には極めて多様なリスクがあります。マースクには海運事業だけでなく、さまざまな事業があります。私たちは一気通貫のロジスティクス企業集団ですから、オペレーション技術環境、産業環境、IT、IoTなど、さまざまな業種の企業が、ほぼ一つのブランドの下で個別に事業を展開しているのです。そのため、特定の業界に典型的な脅威だけでなく、さまざまな脅威にさらされており、企業としてそれらを管理する必要があります。現在あるリスクに対しては、今すぐにでも対応を迫られる可能性があるということです。そして、当社のリスク方法論とそれに対する説明責任者の考え方に基づき、脅威への対処方法について決定が下されます。」

「私たちがしようとしているのは、私たちが直面している地政学的な状況や、私たちが活動するさまざまな地域に広がっているさまざまな種類の脅威に基づいて出現しうるシナリオを提示し、会社の意思決定において少しでも準備と予防を怠ることのないよう、その一助となることです。」