GTM-MML4VXJ
Skip to main content

English

Japan

新規事業創造の第一歩―ユーザーが本当に欲しがるものを見つけるために現場で問いかけ解を探る―

デジタル時代のレジリエンス経営

デジタルトランスフォーメーション(DX)によって変化するリスク環境の中で、経営にとって“レジリエンス”というテーマは、ますます重要になってきます。これからの「レジリエンス経営」はどうあるべきかについて考えます。
(ビジネスレジリエンスグループ長 藤本 健)


2019年11月11日

グローバル規模で、経済活動から政府・社会インフラまで広く、クラウドやIoT、AIなどのデジタル技術が浸透していく動きが現在加速しています。いわゆるデジタル革新(デジタルトランスフォーメーション:DX)です。
 DXは、Society5.0(注1)を実現する手段でもあり、サイバー空間とフィジカル空間が融合する社会では、ヒトやモノがすべてつながり、新たな脆弱性となり得ます。つまり、デジタル技術の活用が、企業活動を事業継続リスクやレピュテーションリスクに曝すことにもなるのです。
 このようにDXによって変化するリスク環境の中で、経営にとって“レジリエンス”というテーマは、ますます重要になってきます。本稿では、これからの「レジリエンス経営」はどうあるべきかについて考えます。

1. デジタル化によって変化するリスク環境

最初に、デジタル化によって変化するリスク環境について考えていきます。

DXに伴うリスク環境の一番の変化は、セキュリティにおいて守る対象が“システム”に加えて、“データ”まで広がることです。これまでもプライバシー保護として、個人情報の保護については取り組まれてきましたが、個人情報のデータ化や、IoT・AIの活用拡大により、データが爆発的に増加するだけなく、データの価値が高まるに伴い、それらのデータの機密性や完全性が毀損されることによるビジネスへのインパクトは著しく大きなものとなります。また、AIやIoTにより生成されるデータについては、本当に信用できるのかという信頼性のリスクについても考えていく必要があります。デジタル社会、データ駆動型社会において、データの安全・安心・品質の確保は企業経営にとっても重要なテーマです。

また、デジタル化の流れにおいて、パブリッククラウドの活用は前提と考えるべきでしょう。欧米を中心に政府調達においては、クラウドファーストを掲げ、さらにはクラウドサービスの認証制度を導入するなど、パブリッククラウドの採用は世界的な潮流になりつつあります。日本においても、2018年に「政府情報システムにおけるクラウドサービスの利用に係る基本方針」において、“クラウド・バイ・デフォルト原則”を採用するとともに安全性評価の仕組みの検討に着手しています。

実はこれらのクラウドサービスに係る認証制度や安全性評価の議論は、一方でクラウド活用における潜在的なリスクを示唆しています。実際、SoE (System of Engagement)などは現場部門主導でパブリッククラウドを活用するシーンが増えていますが、IT部門の立場からすると、これらはいわゆるシャドーITの増加であり、統制が難しいシャドーITの増加は潜在的なリスクの高まりとして認識されることも多くなってきています。

もう1つは、“つながるリスク”です。IoTの活用により、現場から収集したデータをサイバー空間で分析したうえで、フィジカル空間の高度化として適用する、サイバーとフィジカルの融合はデジタル社会では当たり前になっていきます。

【図1】フィジカル空間とサイバー空間におけるリスク源と経営資源の関係
【図1】フィジカル空間とサイバー空間におけるリスク源と経営資源の関係

しかし、IoTが導入される工場系や制御系のネットワークは、これまではクローズドなネットワークとして運用されてきたため、オープンな環境に耐えられる構造になっていません。つまりオープンなネットワークとつながることで、それまで露呈していなかった脆弱性が狙われることになるのです。さらには情報システムの停止とは違い、サイバー攻撃により設備の稼働そのものが停止するなど、影響はフィジカル空間にまで及び、ひいては重要産業・重要インフラ企業のオペレーションまでもが停止し、国民生活の安心安全を脅かすことにもなりかねません。

2. デジタルリスクマネジメントに必要な取り組みとは

それでは、デジタル革新に必要なデジタルリスクマネジメントでは、どのような取り組みが必要になるでしょうか?

1つは、「検知」、「対応」、「復旧」の3つのレジリエンスの機能強化です。NIST(National Institute of Standards and Technology:米国国立標準技術研究所)のサイバーセキュリティフレームワーク、通称CSF(Cyber Security Framework)では、サイバーセキュリティの5つの機能、「特定」、「防御」、「検知」、「対応」、「復旧」が定義されています。この中でもCSFの特徴でもある、攻撃者による侵入を前提とした「検知」・「対応」・「復旧」の3機能は、レジリエンスの構成要素であり、近年の組織に求められるサイバーセキュリティの基本能力でもあります。デジタル革新を進めるに際しては、同時にデジタルリスクへの備えは不可欠であり、侵入前提でいかに被害を極小化するか、事業の中断時間をいかに短期化し、早期復旧させるか、などについて経営層が関与して取り組む必要があります。

【図2】デジタルリスクマネジメントにおける取り組み
【図2】デジタルリスクマネジメントにおける取り組み

「検知」では、SIEM(Security Information and Event Management)などを用いた統合監視・分析基盤を全社的に整備するとともに、SOC(Security Operation Center)業務の自動化により、デジタル時代にさらに爆発的に増加すると考えられるセキュリティイベントからサイバー攻撃行動を検知、対処要否判断のさらなる迅速化が必要となってくると考えられます。このようなセキュリティ基盤は今後、より高度化が求められるため、自組織で整備する余力がない場合は、外部からサービスとして調達する選択肢も考慮すべきです。

「対応」では、訓練などを通じたCSIRT(Computer Security Incident Response Team)の実効性の向上に加えて、危機対策本部との連携構築など、経営層が関与する有事のセキュリティガバナンス整備が肝要となります。特に、IoTが増える現場においては、ITの現場と異なり、「対応」のプロセスや体制、いわゆるインシデントレスポンス体制が未整備なケースが多く、サイバー攻撃に対する組織・プロセスの脆弱性から被害拡大を招きかねません。具体的には、工場などにおいてもCSIRTの工場版としてのFSIRT(Factory Security Incident Response Team)の整備がデジタル化と並行して必要になります。

また、デジタル化後は、サイバー攻撃が重要インフラや重要産業のオペレーションを停止させるリスクも一層高まるため、「復旧」の機能として、BIA(Business Impact Analysis:ビジネス影響分析)に基づくデジタル資産(システム・データ)の仕分けと、それらの結果を踏まえたサイバー版BCP(Business Continuity Plan)の整備が必要です。日本では多くの企業がBCP/ICT-BCPを整備しているので、これらのナレッジを活用して、サイバー版BCPに補完的にアップデートすることが可能でしょう。

【図3】大規模地震とサイバー攻撃によるBCP/ICT-BCPの違い
【図3】大規模地震とサイバー攻撃によるBCP/ICT-BCPの違い

加えて、デジタルリスクの認識と評価がさらに重要になります。これまでは、BIAでは自然災害を前提にした重要システムの可用性の観点でのリスク分析でしたが、ここにデジタルリスクとして、データの完全性侵害がシステムの信頼性を脅かし、物理的な事故をも引き起こす脅威を理解・認識し、その重要度を評価する取り組みが必要です。これがNIST CSFでいうところの「特定」の機能となります。

もう1点、今後想定されるのがレギュレーションの強化です。いわゆるコンプライアンスリスクへの対応です。具体的には、防衛産業分野において、米国では国防総省(DoD)が政府調達の条件として、サプライヤーに対してNIST SP800-171(注2)への準拠を義務付けました。NIST SP800-171では、セキュリティの統合監視や環境分離、インシデント確認後72時間以内の報告など、従来よりも一段高いセキュリティレベルが、特にレジリエンス機能の領域で求められています。この流れは、他の重要インフラ産業へも拡がり、日本国内にも波及することが見込まれます。また、NIST SP800-171が求めるセキュリティ強度の議論は、現時点では特定の重要情報を包含するシステムに求められる話ですが、長期的にはグローバルスタンダードになることが予想されますので、DXを推進する企業は、NIST SP800-171レベルへのアップデートを視野に全社的なサイバーセキュリティ戦略の策定と実行にも取り組んでいく必要があると言えるでしょう。

3. レジリエンス経営への昇華

最後にデジタルリスクに対するレジリエンス強化をどのように企業経営への取り組みに組み込んでいくべきかについて触れたいと思います。

まず、重要であるのはデジタルリスクマネジメントのプロセスを組織内に実装する際、各プロセスにおいて経営層の関与の仕方と責任を明確にすることです。【図4】はデジタルリスクマネジメントのプロセスと経営者の関わりを示したものです。例えば、「リスクの可視化」は前述のデジタルリスクの評価を指しますが、経営者はこの評価結果から、自組織はどのようなデジタルリスクに曝されていて、どのような脆弱性があるのかを理解します。そのうえで、「リスクの予防」と「有事の備え(いわゆるレジリエンス強化)」において、デジタルリスクに対する適応力を向上させるために、経営者がリソース(ヒト・カネ)を投入する判断を行い、実行します。また、DXを進める企業において、サイバーセキュリティなどのデジタルリスクマネジメントをコーポレートガバナンスの一環として位置づけ、対外的な説明責任を果たすことも今後は考えていくべきです。そこで、やりっ放しにならないよう、自組織のデジタルリスクと脆弱性をモニタリングのうえ、アップデート(補強)していく、いわゆるPDCAの取り組みも必要となってきます。

【図4】デジタルリスクマネジメントのプロセスと経営者の関与
【図4】デジタルリスクマネジメントのプロセスと経営者の関与

このようなデジタルリスクマネジメントをコーポレートガバナンス・システムとして実装する取り組みをグループ会社やサプライヤーまで適用していくことで、真のレジリエンス経営へ昇華させることが可能となるでしょう。

また、レジリエンス経営へのデジタル技術の適用も今後のテーマとして考えていくべきです。例えば、AIを活用してサイバー攻撃を検知する技術はすでに実用化が進んでいますが、自然災害においても近年常態化している大型台風による災害は、AIを活用した被害予測により事前の備えが可能となり、被害拡大の抑制にもつながります。

デジタル時代のレジリエンス経営のもう1つのテーマとして、デジタル技術を活用したプロアクティブな活動、プレディクティブな活動にも積極的に取り組んでいくべきではないでしょうか。

注釈

  • (注1)
    Society5.0 :日本政府が提唱する科学技術政策の基本指針の1つ。狩猟社会、農耕社会、工業社会、情報社会に続き、新たな社会として提唱されているSociety5.0は、サイバー空間とフィジカル空間を高度に融合させ、経済発展と社会的課題の解決を両立することを目指している。
  • (注2)
    NIST SP800-171 : 米国政府機関が定めたセキュリティ基準を示すガイドライン。政府機関だけでなく、取引企業からの情報漏えいを防ぐため、業務委託先におけるセキュリティ強化を要求する内容で、米国防省と取引している全世界の企業に対してNIST SP800-171への準拠が要求されている。準拠しない企業とその製品やサービスはグローバルサプライチェーンからはじき出される恐れがある。
    PDFNIST SP800-171連邦政府外のシステムと組織における管理された非格付け情報の保護Open a new window
fujimoto

本記事の執筆者

コンサルティング本部 ビジネスレジリエンスグループ
グループ長

藤本 健(ふじもと たける)

 

1996年富士通株式会社入社後、コーポレート部門を経てコンサルティング部門に異動、2007年より株式会社富士通総研。主な専門はリスクマネジメント・危機管理。電力・ガスシステム改革のIT対応にも従事。近年は、事業継続やサイバーセキュリティに関するコンサルティング活動に注力している。

お客様総合窓口

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。