インタビュー 

IBM グローバル・テクノロジー・サービス レジリエンシー・サービス ゼネラル・マネージャー
Laurence Guihard-Joly氏

 

多様化・複雑化するリスクに対し、組織はどうBCPを見直していけばいいのか。特にサイバー攻撃については、情報システム部門だけでの対応には限界がある。情報セキュリティとレジリエンシーの融合の必要性を説くIBMのLaurence Guihard-Joly氏に聞いた。

 Q1  自然災害に加え、テロやサイバー攻撃など、リスクが多様化・複雑化しています。BCPの観点からどのような取り組みが求められるでしょうか?

この1年を振り返ってもテロ、自然災害、サイバー攻撃など、多くのリスクが顕在化している。テロは会社だけでなく社会インフラ全体に与えるダメージが大きい。社会基盤の稼働性が大幅に低下するため、会社にとって必要な業務を優先的に続けるBIA(重要業務分析)を踏まえた対策がより重要になる。

一方で、銀行や航空会社、放送局などあらゆる業種の企業がサイバー攻撃のターゲットになっている。また、個人のスマートフォンに入っているIDやプライバシー情報の流出も問題になっている。サイバー攻撃の被害は金額的な被害だけでなく、企業のブランドイメージも著しく低下させる。つまり企業価値全体の低下を招く。企業は、これまで以上にガバナンスを高めていく必要がある。

IoTの発展が順調に進み、これまで研究・実験的な段階であった様々な製品が、いよいよ社会で実際に利用される時期に入ってきた。データ保護などを含めた対策は強化され続けているが、新しい時代に入り、これまでの方法論では手に負えず、即時性の高い対応が求められる。

 Q2  今、特に見直すべき対策はどのようなものでしょうか?

IBMが提供するレジリエンシー・サービスの7層のフレームワークをもとに考えると、「戦略とビジョン」「組織」「プロセス」「アプリケーション」「データ」「IT基盤」「設備」のうち、「IT基盤」や「設備」の対策は順調に進んでいるが、「プロセス」はまだ改善の余地があるケースが多い。

例えば、テロが起こると現場周辺は封鎖される。だから、ロケーションフリーでどこにいても事業継続を可能にする様々な対策が求められる。

IBMでは、お客様の被災に備えて、オフィス環境を離れた場所に準備するサービスを提供している。ヨーロッパやアメリカではポピュラーな対応だ。それでも、テロが起きたとき、社員がどこにいるのか、その場所は安全か、情報を共有する手段はあるのかなど様々な問題が残っている。この点については、単なる安否確認ではない、条件に基づき関係者へのコミュニケーションを提供するクラウド・サービスを新たに開始した。

 Q3  BCPによりサイバー攻撃の被害は軽減できるでしょうか?

サイバー攻撃にもBCMは有用なことは明らかだ。米国の調査会社、ポネモン・インスティテュート社の発表によれば、2015年にはサイバー犯罪によって全世界で1年あたり4550億ドル以上の損失があり、2000万以上の記録が破壊されている。昨年、米国では9200万人もの医療データの流出が起こった。盗んだデータを「人質」に金銭を要求したケースもある。

データ漏洩による被害はBCMによって低減できる。同社の報告によれば、BCMがなければ1データあたりの平均被害額が161ドルだが、BCMを行っていると147ドル、1データあたりの被害を17ドル抑えるとしている。これはおそらく、早期に対策に移れることなどの効果によるものだと考えられる。

とはいえ、IoTによる社会変革で、これまで以上の素早い反応と回復とが求められてきている。IBMではWatsonに代表されるコグニティブ・コンピュータ(認知科学を取り入れた、自ら考え判断するシステム)を使ったサイバー攻撃対策も進めている。実現すれば、不正なプログラムを検知した際、その被害がどこまで広がるかを直ちに計算し、必要な対策を助言するようなことが可能になる。

 Q4  危機管理の担当者は自然災害からサイバー攻撃まで幅広く対応しなくてはなりません。どのような体制を築くべきでしょうか?

危機管理の担当者と情報セキュリティ、レジリエンシー、さらには各事業部門の協力が鍵になる。特に、それぞれの責任者の役割が重要だ。

私たちのアプローチでは、まずBIAによって全体的に業務を見渡し、何を優先して守るかを明らかにする。必要があれば部署や業務内容を飛び越えて、現実に即した対応法を考える。例えば、国や地域の特徴を踏まえた体制などだ。自然災害の多い日本とテロの攻撃対象になったパリではリスクの種類とインパクトは異なる。

危機管理の担当者のうち、高い専門性を備えた人をIBMでは「ディザスター・リカバリーの達人」と呼ぶ。インシデントが起きたときに備え、戦略的に考え、平時からプログラムを繰り返し検証して実効性を高め、セキュリティとレジリエンシーの責任者と共に協力し、新しい効率的なテクノロジーを導入して対応に当たれるのがディザスター・リカバリーの達人の定義である。

とはいえ、常に前進し続けることは簡単ではない。有効とはわかっていても、従来のシステムからの切り替えには誰もが躊躇(ちゅうちょ)する。改めてテストを繰り返す必要性も出てくる。そのため、IBMでは、担当者の実効力を高め、作業負担を軽減できるようクラウドなどのマネージド・サービスでサポートをしている。

 Q5  IBMでは、どのような組織内連携を行っているのでしょうか?

レジリエンシーとセキュリティの2つに大別している。私はIBMの社内レジリエンシーの責任者だが、組織横断的にセキュリティとBCPの観点から社員をチェックする立場でもあるから両方の取り組みを理解している。レジリエンシーでは、四半期に一度、体制を評価しテストも行い、スコアカードで標準化している。世界各国でそれぞれのビジネスユニットなどを調査し、IBMとして事業継続に関して統一的で適切な認識を持っているか確認している。

一方、セキュリティでは、システムのセキュリティ環境を守るだけでなく、全社員の教育として、例えばテストでフィッシングメールを社員に送るようなこともする。開くと警告が出るようなテストだ。結果によっては再トレーニングを求める。

事故や災害、ITトラブルがあっても、レジリエンシーとセキュリティは連携を取り合い対応にあたれるようにしている。

 Q6  各企業に任せた危機管理能力の向上には限界があり、国を挙げて協力してレベルアップをはかる必要があると考えています。アドバイスはありますか?

1月にNATOが開いたイベントに参加した。そこで、議論されたのはレジリエンシーの強化だった。テロやサイバー攻撃に対するNATOの抑止力と防御力を支えるレジリエンシーと市民とのパートナーシップについての観点から話し合った。日本でも、ある会社では1日に7万3000件のサイバー攻撃を受けていると聞いた。世界中では毎日何百万件ものサイバー攻撃が起きている。国と個人が協力してレジリエンシーを強化するには、やはり教育が必要で、IBMも毎年5月を事業継続を意識する週間と定義し、お客様を支援している。セミナーやワークショップを世界各国で開催し、Webセミナーでどこにいても集中的に事業継続について学ぶ機会をサポートしている。まずは教育を重ね理解を深めることが1つの方法ではないか。

 Q7  日本IBMでセキュリティを担当する山口さんにお聞きします。リスクの多様化に伴い、BCPの実効性を高めるためにセキュリティ部門は、どのようなことを考えていくべきでしょうか?

事業継続のためには、自然災害だけでなく、テロやサイバー攻撃を含め、様々なインシデントが存在し、さらにセキュリティ対策として情報資産を守ることが求められています。これらを達成させるためにIT-BCPが存在します。例えば、テロの物理的な攻撃からデータセンターをどう守るのか、また、データセンター内のサーバを標的としたサイバー攻撃なら侵入者をどうブロックするか、事業継続のためには実空間と仮想空間ともに守る必要があります。特に、サイバー攻撃は完全に防ぎきることはできません。受容できるリスクを明らかにし、侵入されたときの被害を最小限にするためにデータや情報を分散管理などで対応する必要があります。これまでは情報漏洩をはじめとしたコンプライアンス対策として情報セキュリティを位置づけていましたが、リスクという大きな枠組みの中で考えるようになってきました。ローレンスの言うようにレジリエンシーやBCPチームとの連携は特に重要になっています。

 

 

IBMセキュリティ AP/コンサルティングサービス
アソシエイトパートナー
(Japan Security Strategy Risk & Compliance Competency Leader)

山口毅治氏

 

 

<了>