2024/05/29
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線
小原 浩之
日本の大手総合商社に34年間籍を置き、営業を一通り経験した後、経営企画・連結経営リスク・BCP・個人情報保護・情報セキュリティおよびサイバーセキュリティに関する制度の立案・推進を長年リードしてきた経験を持つ。2018年5月から、英国を本拠地とする国際的NPOであるISFの日本および極東担当代表に就き、グローバル水準のコミュニティー形成を図っている。また、デジタルで繋がっていく「接続性」の中で、人の繋がりを重視した社会デザイン形成に貢献したいと願い、デジタルリスクに関する規範研究やコンサルティングをしている。
5月は、茶事では初風炉。茶懐石のほうも山菜はじめ食材がにぎやかになってくるよい季節です。お腹の動きも活発になってずいぶんと食欲がでてきますが、そこは懐石。料理はいっぺんにはでてきません。こちらの様子を窺いながら、向付、汁、煮物、焼物、進肴、小吸物、八寸、湯斗、香物と出て来るわけです。
さて、今回は、セキュリティの測定結果をどのように社内報告すべきか、ということを改めて考えていきます。茶懐石に学ぶものが有る、というのが着想です。主要なセキュリティパフォーマンス指標やリスク指標から、経営陣が有意義で実行可能であると判断できる方法で報告する必要がある、とは、第34回の話でした。測定基準や測定結果を並べ立てれば仕事は終わり、というのではなく、経営指標と連動した数字(KPI)を選んで報告せよ、という知恵でした。また、個々の現場、特に人間を相手にすることから、万国共通の尺度もない、という話もありました。ある意味で、料理の切り盛りを連想させる仕事から、茶懐石のことに思い至りました。
セキュリティの測定結果を料理に例えれば、素材を選び(測定し)、調理を施し(KPIを割り出し)、器に盛り付け(文脈を整理し)、お出しする(報告する)ことになります。とは言っても、お客様(役員や取締役などのステークホルダー)も、心優しい食いしん坊ばかりではありません。気難しいヒトもいれば、食事以外のことに関心が行ってしまっているヒトもいるでしょう。社内の駆け引きもある中、どのように報告していけば、しっかり聞いてもらえる(美味しく食べてもらえる)のでしょうか。まずは、長年セキュリティの研究者として第一線で活躍されているリチャードさんに、実務で苦心している方々の話をまとめてもらって工夫を学ぶことにしましょう。
(以下、引用)
Richard Absalom/Principal Research Analyst, the ISF
Feb, 2023
ISF
セキュリティの測定に関する研究から我々が理解した、押さえるべきツボの一つは、測定結果は、意思決定や行動を促すような、本質を突いたものであるべきというものでした。そこで、意思決定に関与する立場の方々との継続的な対話を通じて何を欲しているかを押さえることで、会社の情報リスクの測定能力やセキュリティのパフォーマンスを持続的に高めることに役立つ、測定サイクルという概念をまとめました(下の図を参照)。それでも、データが何を語っているのかなど、そもそも聞きたくないという意思決定者であった場合にはどうなるのでしょうか。そうなると、セキュリティを実際に測定するというだけでなく、道徳的あるいは倫理的にやっかいな話にも対応しないといけなくなります。
情報リスク管理が常に優先される会社でもない限り、役員会を動かそうと政治的な駆け引きに出ても、セキュリティ責任者は、自身が寄る辺ない状況に置かれていることに気づくのが落ちです。とはいえ、会社のセキュリティ状態がいかに劣悪であるかについて、血相を変えてぶちまけてしまうような真似もできません。難解な表現を使ってぼやかしたり、詳細を一部省略したりするように圧力をかけられる場合さえあるでしょう。しかし、真相をぼやかして説明したとすれば、後にインシデントが起こり、誰がいつ何を知っていたのか、と疑惑を問う声が飛び交うようになると、結局、自分たちに跳ね返ってくる可能性が高いと言わざるを得ません。
役員会を敵に回してしまうと、詳細なセキュリティ状況報告はもう結構と言われたり、セキュリティ担当者が役員会に出席すると決まって素っ気ない態度をされたりするようになり、会社のリスク管理に資するどころか逆効果になります。メッセージが伝わるためには、ぴったりしたソフトスキルを組み合わせることが必要です。上層部に対して真実を告げることと、程よい加減で伝えて理解してもらうことの間には微妙な境界線があるのです。
セキュリティの考え方からは、測定をきっちりやればやるほど、劣悪な状態に見えることはよくあるものです。もちろん、単に認識の仕方が変わるというだけのことです。つまり、リスクの水準は、測定をした前と何ら変わりません。それに、見つかったリスクについては、対処することもできる訳です。ところが、セキュリティのパフォーマンスが低下している(あるいは、これまでも実は低パフォーマンスだった)と報告することは、会社の権力構造に衝撃を与えかねませんから、変化ということを告げることには、困難が伴うのです。
経営幹部に真実を報告しても、いつも上手く受け取ってくれるとはかぎりません。悪いニュースを個人的な侮辱と受け取ったり、リスクが自分の分掌に関わり、また成績に影響するのであれば、全容は知りたくないと考えたりする方もいるでしょう。物事が上手く行かないとなったときに、一見もっともらしい反証を求めて来る方もいるでしょう。また、セキュリティ対策のパフォーマンスが本来あるべきところに達していないことを知ると、記録をごまかして全てが上手く行っているように見せようとする人もいるでしょう。
「報告しているときに幹部から、報告基準を下げて、黄色の海(要注意の評価)を緑(良)に変えたい、と言われたことが何度かあります。」- ISFメンバー
役員会メンバーというのは、自社のビジネスについては何でも知っており、理解もしていると考えがちです。ですから、何か自分によく分からない問題が持ち上がっても、問題に向き合うのを避けようとする人もいますし、頭ごなしに否定しようとする人もいるものです。知識がないと思われるのが嫌なあまり問い返すこともせず、不意打ちも喜びません。こうした思考パターンに陥ると、セキュリティ報告書が問題として取り上げられなかったり、誤解されたりするような弊害をもたらすことにつながりかねません。
このような課題があることから、セキュリティ責任者の中には、取締役会報告なんて失職しないためにしなくてはいけない詰まらない作業に過ぎないという思考の罠に陥る人もでてきます。部屋に足を踏み入れ、肝を冷やすようなパワーポイントで取締役に眩暈(めまい)を覚えさせ、意味を問われないことを願いながら色々な数字を並べた報告をすませ、基本対策は出来てますねと心にも無いことを言って退出していく。。。お決まりのパターンは、半年毎に繰り返される。もちろん、これでは有意義な支援も得られず、変化も起きることありません。
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線の他の記事
おすすめ記事
3線モデルで浸透するリスクマネジメントコンプライアンス・ハンドブックで従業員意識も高まる【徹底解説】パーソルグループのERM
「はたらいて、笑おう。」をグループビジョンとして掲げ、総合人材サービス事業を展開するパーソルグループでは、2020年のグループ経営体制の刷新を契機にリスクマネジメント活動を強化している。ISO31000やCOSO-ERMを参考にしながら、独自にリスクマネジメントの体制を整備。現場の業務執行部門(第1線)、ITや人事など管理部門(第2線)、内部監査部門(第3線)でリスクマネジメントを推進する3線モデルを確立した。実際にリスクマネジメント活動で使っているテンプレートとともに、同社の活動を紹介する。
2024/07/23
インシデントの第一報を迅速共有システム化で迷い払拭
変圧器やリアクタなどの電子部品や電子化学材料を製造・販売するタムラ製作所は、インシデントの報告システム「アラームエスカレーション」を整備し、素早い情報の伝達、収集、共有に努めている。2006年、当時社長だった田村直樹氏がリードして動き出した取り組み。CSRの一環でスタートした。
2024/07/23
「お困りごと」の傾聴からはじまるサプライヤーBCM支援
ブレーキシステムの開発、製造を手掛けるアドヴィックスは、サプライヤーを訪ね、丁寧に話しを聞くことからはじまる「BCM寄り添い活動」を2022年度から展開している。支援するのは小規模で経営体力が限られるサプライヤー。「本当に意味のある取り組みは何か」を考えながら進めている。
2024/07/22
危機管理担当者が知っておくべきハラスメントの動向業務上の指導とパワハラの違いを知る
5月17日に厚生労働省から発表された「職場のハラスメントに関する実態調査報告書」によると、従業員がパワハラやセクハラを受けていると認識した後の勤務先の対応として、パワハラでは約53%、セクハラでは約43%が「特に何もしなかった」と回答。相談された企業の対応に疑問を投げかける結果となった。企業の危機管理担当者も知っておくべきハラスメントのポイントについて、旬報法律事務所の新村響子弁護士に聞いた。
2024/07/18
基本解説 Q&A 線状降水帯とは何か?集中豪雨の3分の2を占める日本特有の現象
6月21日、気象庁が今年初の線状降水帯の発生を発表した。短時間で大量の激しい雨を降らせる線状降水帯は、土砂災害発生を経て、被害を甚大化させる。気象庁では今シーズンから、半日前の発生予測のエリアを細分化し、対応を促す。線状降水帯研究の第一人者である気象庁気象研究所の加藤輝之氏に、研究の最前線を聞いた。
2024/07/17
災害リスクへの対策が後回しになっている円滑なコミュニケーション対策を
目を向けるべきOTリスクは情報セキュリティーのほかにもさまざま。故障や不具合といった往年のリスクへの対策も万全ではない。特に、災害時の素早い復旧に向けた備えなどは後回しになっているという。ガートナージャパン・リサーチ&アドバイザリ部門の山本琢磨氏に、OTの課題を聞いた。
2024/07/16
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方