第17回　レピュテーションリスクに備える「レッドチーム」演習

2024年1月5日、アラスカ航空1282便は高度1万6000フィートを飛行中、ボーイング737 MAX 9の胴体からドアプラグが吹き飛んだ。偶然にも、開口部に隣接する2席は空席だった。この幸運こそが、ボーイングにとって大量死傷事故にならなかった唯一の理由である。ボーイングは、346人の命を奪った2度の墜落事故からまだ立ち直おらずにいた最中だった。

生体認証システムはたやすく破られる!?

スパイ映画の主人公が顔の変装や指紋の偽造によって生体認証システムを破るシーンがありますが、これはけっして絵空事ではありません。生体認証には本質的なリスクがあるうえ、方式ごとの弱点もあります。それらをふまえ、他の認証と組み合わせて運用することが重要でしょう。今回は生体認証のリスクと最強の認証フレームワークを考えます。

第13回：「情報セキュリティ10大脅威2026」発表！！

IPA（独立行政法人情報処理推進機構）の「情報セキュリティ10大脅威2026」は、2025年に発生した情報セキュリティ脅威の事案から、社会的に影響が大きかったと考えられる候補を選出、研究者などで構成する選考会が審議・投票を行い、決定したものです。個人の10大脅威を紹介します。

第16回　米国で「神経データプライバシー立法」相次ぐ

ニューロテクノロジーは急速に進化し、SFの世界から実験室、そして実生活の消費者向けアプリケーションへと拡大している。ウェアラブル消費者向けデバイスや埋め込み型医療機器などの新技術により、企業は近い将来、神経データと呼ばれる新たな種類の非常に機密性の高い情報を収集することで、消費者の心に直接アクセスできるようになるかもしれない。

第61回：サイバーセキュリティ投資で稼ぐ

企業の８割がサイバーセキュリティ投資効果の説明に苦慮しているといいます。かといって、リスク管理部門が過去の投資を思い起こし、これまで十分投資してきたと考えるのは避けるべき。同様に経営陣の理解のなさを嘆くのも意味がありません。今回は攻めの経営に向けてサイバーセキュリティ投資で稼ぐ力に貢献する方法を検討してみます。

第15回　価値の高いBCPを実施するために

模擬演習の実施は、効果的な事業継続管理（BCP）プログラムにおいて最も重要な要素の一つである。しかし、その重要性は依然として過小評価されがちだ。演習を企画する者も参加する者も、監査担当者を満足させるための単なるチェックリストの確認作業のように感じることがある。演習がこのようにしか捉えられていないと、真の価値は失われてしまう。

第12回：ニセ社長詐欺に要注意！！

社長などをかたってインターネット上で公開されている会社のメールアドレスにメールを送りつけ、業務命令を装いLINEグループの作成を要求した上、指定した口座に送金させる詐欺が流行しています。今回は「ニセ社長詐欺」の手口と気をつけたいポイントについて説明します。

従来のIT-BCPはもはや通用しない

一般にIT-BCPは災害時のIT停止を想定し、サーバーシステムの冗長化を目指してきました。が、サイバー攻撃に対しては足りない点が多々あります。一例がバックアップで、従来の格納法ではハッカーに通用しません。かつ、サイバーBCPはサプライチェーン全体が対象です。今回は中堅・中小企業も参考になるIT-BCP構築フレームワークを解説します。

第14回　「AIウォッシング」とは？

テクノロジーに対する楽観的な見方がある一方、理解度は低く、規制当局の監督がイノベーションに追いついていない状況で、企業は「次世代人工知能」が自社のビジネスを変革し、競合他社を凌駕するだろうと、大胆な公言を発している。

セキュリティ対策強化の前に不可欠な点検防御は各ステップで実施を

昨年10月に発生したアスクルでのサイバー攻撃による業務停止のインシデントについて、12月12日に詳細な情報が公開されました。それによれば、最初に業務委託先の端末からセンター側の認証情報が漏えいし、そこを足掛かりに大きな被害に発展した経緯が示されていました。今回はセキュリティ対策の点検で、気をつけたいポイントを解説します。

サイバーインシデントの予兆を可視化する

巨大災害の予知は現時点で難しいですが、サイバーセキュリティに関しては、必要な準備を整えればインシデントの予兆を可視化することが可能です。「リスクの兆候」「危険度の上昇」を示すKRIという指標を用い、サイバーリスクの切迫度を事前に把握しようというもの。今回はその枠組みについて解説します。

組織力の向上を阻む古くて新しいリスク

日々の業務を円滑に進め、組織の力を発揮するには、ていねいなコミュニケーションが必須。しかし、職場での小さな行き違いや誤解が原因でトラブルが発生していることは少なくありません。従業員がちょっとした声掛けや確認をすることで、社内コミュニケーションの水準は向上します。今回は、社内コミュニケーションのトラブル防止を考えます。

第11回：「生成AI」って何？-part２-

「生成AI」は便利な反面、犯罪などに悪用されてしまう場合もあります。今回は「生成AI」が悪用される事例と、気をつけたいポイントについて説明します。

オールハザード型BCPがもたらす組織変革

近い将来予想される連続災害、サイバー攻撃による事業の停滞、国際情勢や社会環境の変化による未知のリスクへの対応を余儀なくされ、企業はオールハザード型BCPの導入へと意識を向けています。が、新しいタイプのBCPも当然、内部監査を実施しなければなりません。従来のBCP監査の考え方や手法が大きく変わろうとしています。

第13回　高まるディープフェイクの脅威への対策

イメージ（Adobe Stock）ディープフェイクによる詐欺ディープフェイク*)は登場以来、目新しいフィルターや拡散するいたずら動画といったものから、深刻なビジネスリスクへと急速に変化してきた。

第12回　企業リスクが大きくなる「米国各州の虚偽請求法」

多くの企業は「金銭や財産と引き換えに行政当局に虚偽の請求を行った」という事案を聞いたことがあるはずだ。例えば、2025年8月、CVSはマサチューセッツ州のメディケイドプログラムに対し、一般市民と比較して過剰請求していたという疑惑を解決するため、1225万ドルを支払うことになった。

第10回：「生成AI」って何？

「生成AI」は、文章作成やアイデアをサポートしながら、日常生活の作業や思考をスムーズにしてくれる、今注目の技術です。例えば、ChatGPTやGeminiなどがあります。今回は、「生成AI」について、どんなことができるのか、そして気をつけたいポイントについて説明します。

ITリスクの重層構造にどう対峙する？

上場企業のリスクマネジメントで重視される対象は災害、サイバー攻撃、IT障害、サステナビリティ対応などさまざまで、対策は多岐にわたります。なかでもサイバー攻撃やIT障害は専門的スキルを求められることが多く、委託に頼るケースが増加。結果、リスク構造は重層化しています。今回は、複雑化するITリスク管理に求められる根本を考えます。

セキュリティの基本を忠実に守る

サイバーリスクについては連載第一回でも取り上げましたが、企業のセキュリティ対策にもかかわらず、サイバー攻撃を受けて機密情報が漏れてしまうなどの事例が続いています。最近でも著名企業がランサムウェアの標的となり、対策の難しさをあらためて認識させられました。今月は再びサイバーリスクについて考えます。

第60回：サイバーの火事場で輝くカワタレ星

サイバー攻撃の火事場に舞い降りる「救急隊」は、町火消しの心意気で、まず人々を安心させねばなりません。求められるのは沈着な「鳶口」の手慣れた振り回し。そう、沈着さが救急隊を輝かせてくれます。が、沈着さはその場で得られるはずもありません。どのような準備が必要か、お馴染みスティーブ・ダービンのインタビューから紐解きます。

第11回　「DEIからの撤退する」とどうなるのか？

現在の政治情勢において、多くの企業が取締役会・クライアント・顧客・スポンサーからの圧力を受け、DEIプログラムを縮小することを選択している。しかし、非営利団体Catalystとニューヨーク大学ロースクールのメルツァーセンターの合同調査によると、これらのプログラムを縮小するという決定は、企業にとってマイナスの影響を与える可能性がある。

第10回　リスク管理における認知バイアスは８つある

リスク管理の専門家は、COSO ERMやISO 31000といったフレームワークに安心感を覚えることが多い。なぜなら、これらのフレームワークは組織とその保証機能に構造・規律、そして秩序感を与えてくれるからだ。しかし、どのようなフレームワークでも、またそれが提供する構造のレベルに関わらず、リスク管理プロセスから排除できない重要な要素が一つある。それは、人間のバイアスである。

第９回：「私はロボットではありません」偽画面に注意！

普段からよく目にする「私はロボットではありません」という確認画面。これは操作しているのが人間か自動プログラム（bot）かを見分けるためのシステムです。しかし、最近このシステムを悪用した悪質な手口が横行しています。今回は、そんな「クリックフィックス」について、その手口と対処法について説明します。

第9回　ビジネスには「4つの未来」が潜在する

地政学的緊張の高まり、テクノロジー導入の加速、そしてマクロ経済状況の変化により、経営幹部にとっては現在のビジネス環境がかつてないほど予測困難になっている

第59回：来たか、デジタル暴風雨

この夏、命の危険に関わる暴風雨という言葉を何度も聞く一方、ビジネス界にも強烈なデジタル暴風雨が襲いかかり、復旧の見通しが立たないという報道が増えています。社内の焦燥感は推察するに余りあり、そういう心理状態では経営層も担当者も委縮してしまうのではと危惧します。そこで、前に進む勇気を与えてくれるアイデアを考えてみました。