SIerやベンダーへの委託によって重層化するITリスクと対峙するには新たな信頼関係が不可欠(写真:Adobe stock)

外部委託により重層化するITリスク

近年、上場企業が実施する内部統制やリスクマネジメントにおいて、重要視される対象には災害(巨大地震、パンデミック感染症、風水害、富士山噴火による降灰)、サイバー攻撃、IT障害(IT-BCP/DR)、AI・DX 戦略、サステナビリティ対応(人的資本経営、環境対策)などがあります。

こうした経営管理項目への対策は、システマティックな対応、トライ&エラーによる習得、必要な仕組みや体制の整備など多岐にわたります。が、なかでもサイバー攻撃やIT障害は、より専門的なスキルを求められることが多く、 委託に頼るケースが増加。しかし、委託元と委託先の間には、企業内の部門間に存在するリスクと同様、埋めがたいリスクが複数存在します。

ITのアウトソーシングが進み、サイバーBCPへの対応を自社だけで完結することは不可能(写真: Adobe stock)

BCP の分野に限っても、サイバー攻撃への対応は、ユーザー企業が自社内だけで完結することはほぼ不可能です。豊富な経験とスキルを要する司令塔としての判断力、予見能力、問題解決能力などが求められ、IT運用や企画段階での委託を含め、インシデント発生時には「どこから手を付けるべきか」「何をすべきか」「どうしておけばよかったのか」と途方に暮れる状況に陥ります。

ここで、ある想定をします。某大企業が経営課題を解決するため、ソフトウェア開発を含む新システムを構築し、約2年間運用していたとします。社内には事業部(現場)、法務(契約)、情報システム部、経営陣が存在し、社外にはシステム開発を請け負うSIer(もしくは IT コンサル)や下請け・孫請けのソフトウェア会社があります。

SIer内部にも経営者、営業部隊、SE部隊があり、複数の組織が関与しています。もちろん、システムはユーザー企業の情報セキュリティポリシーに基づき開発・運用され、契約書も締結されています。しかし、こうした枠組みの中で突然インシデントが発生した場合、何が問題となるのでしょうか。

サイバーインシデントが発生した場合、どこにどのような原因があり、責任があるのか(写真:Adobe stock)

まず、経営陣は情報システム部門を責め、情報システム部門は委託先を責めます。委託先は「システムの問題ではなく運用の問題」「リスクとして受容する約束だった」と反論します。しかし、それは口約束で契約書には反映されておらず、責任の所在はグレーで、双方の法務も責任を問えないことに気づきます。

その間にも被害は拡大し、経営陣は全システム停止を命じ、企業活動は停止。社会的影響がある場合、社長による記者会見が求められますが、原因や再発防止策が不明な中では会見もできません。CSIRTに委託しても、委託先のペースでしか進まず、経営者はコントロールできないもどかしさを感じます。