(イメージ:写真AC)

日本でも、サイバー起点の事業リスクが大きくなる中、事業経営のレジリエンス能力(ダメージからの回復力)が問われている、と喧伝されています。その割には、BCPを念頭に置いて社内関係者も巻き込んだ本格的なサイバーセキュリティ演習は、それほど一般的にはなって来ていません。何故でしょうか。サイバーセキュリティ演習の「グッドデザイン」について、さらにはその「効用」について、掘り下げた理解が得られていないからではないでしょうか。

地震のリスクを想定したBCP演習については、日本でも長年にわたり実地訓練が行われ、その中で、停電や通信途絶などのデジタルリスクのシナリオも加わることは、通常みられることです。ところが、一般のサイバーセキュリティ演習の場合、PCをカタカタ叩く専門家だけが集まる訓練というイメージが強いですね。本当は、サイバーリスクが起点となって社内が騒然とする事態が起きている中で、地震が起きる、賊が押し入る、大雪で足止めを食う、株価操縦される、というような、弱り目に祟り目ということも有りうるわけです。ただ、そうした観点は、演習シナリオから外されてしまいがちです。演習を企画するサイバーセキュリティ部門としては担当外のリスクですから。

「複合危機(ポリクライシス)」という言葉が、2023年の世界経済フォーラムによるグローバル・リスク・レポートやダボス会議で「目玉の警句のひとつ」(日経新聞コメンテーター・西村氏)として取り上げられました。企業人にとっては、言われるまでもなく当たり前の状態です。サイバーセキュリティのプロにとっても同じこと。デジタルやサイバーのリスクも、独りでやって来きません。「リスク」が寂しがり屋なのは、先刻承知の助なのです。

キツイ言い方をすれば、通例のサイバーセキュリティ演習は、現実の脅威やリスクのシビアさを盛り込めていません。どこか“ヘタウマ”な身内の劇で終わってしまっていて、キレやセンスのあるショーになっていないのです。感動どころか、記憶に残るシロモノではありません。

閑話休題。前置きはこのくらいにして、まずは、サイバーセキュリティ演習の「グッドデザイン」とはどういうものか、いつものようにスティーブ・ダービン氏のエッセイを読んでさっと理解することにします。その後、サイバーセキュリティ演習の「効用」について、新たな考察を加えたいと思います。ポイントは、「危機経営センス」です。

(次ページから引用)