第15回　価値の高いBCPを実施するために

模擬演習の実施は、効果的な事業継続管理（BCP）プログラムにおいて最も重要な要素の一つである。しかし、その重要性は依然として過小評価されがちだ。演習を企画する者も参加する者も、監査担当者を満足させるための単なるチェックリストの確認作業のように感じることがある。演習がこのようにしか捉えられていないと、真の価値は失われてしまう。

第12回：ニセ社長詐欺に要注意！！

社長などをかたってインターネット上で公開されている会社のメールアドレスにメールを送りつけ、業務命令を装いLINEグループの作成を要求した上、指定した口座に送金させる詐欺が流行しています。今回は「ニセ社長詐欺」の手口と気をつけたいポイントについて説明します。

従来のIT-BCPはもはや通用しない

一般にIT-BCPは災害時のIT停止を想定し、サーバーシステムの冗長化を目指してきました。が、サイバー攻撃に対しては足りない点が多々あります。一例がバックアップで、従来の格納法ではハッカーに通用しません。かつ、サイバーBCPはサプライチェーン全体が対象です。今回は中堅・中小企業も参考になるIT-BCP構築フレームワークを解説します。

第14回　「AIウォッシング」とは？

テクノロジーに対する楽観的な見方がある一方、理解度は低く、規制当局の監督がイノベーションに追いついていない状況で、企業は「次世代人工知能」が自社のビジネスを変革し、競合他社を凌駕するだろうと、大胆な公言を発している。

セキュリティ対策強化の前に不可欠な点検防御は各ステップで実施を

昨年10月に発生したアスクルでのサイバー攻撃による業務停止のインシデントについて、12月12日に詳細な情報が公開されました。それによれば、最初に業務委託先の端末からセンター側の認証情報が漏えいし、そこを足掛かりに大きな被害に発展した経緯が示されていました。今回はセキュリティ対策の点検で、気をつけたいポイントを解説します。

サイバーインシデントの予兆を可視化する

巨大災害の予知は現時点で難しいですが、サイバーセキュリティに関しては、必要な準備を整えればインシデントの予兆を可視化することが可能です。「リスクの兆候」「危険度の上昇」を示すKRIという指標を用い、サイバーリスクの切迫度を事前に把握しようというもの。今回はその枠組みについて解説します。

組織力の向上を阻む古くて新しいリスク

日々の業務を円滑に進め、組織の力を発揮するには、ていねいなコミュニケーションが必須。しかし、職場での小さな行き違いや誤解が原因でトラブルが発生していることは少なくありません。従業員がちょっとした声掛けや確認をすることで、社内コミュニケーションの水準は向上します。今回は、社内コミュニケーションのトラブル防止を考えます。

第11回：「生成AI」って何？-part２-

「生成AI」は便利な反面、犯罪などに悪用されてしまう場合もあります。今回は「生成AI」が悪用される事例と、気をつけたいポイントについて説明します。

オールハザード型BCPがもたらす組織変革

近い将来予想される連続災害、サイバー攻撃による事業の停滞、国際情勢や社会環境の変化による未知のリスクへの対応を余儀なくされ、企業はオールハザード型BCPの導入へと意識を向けています。が、新しいタイプのBCPも当然、内部監査を実施しなければなりません。従来のBCP監査の考え方や手法が大きく変わろうとしています。

第13回　高まるディープフェイクの脅威への対策

イメージ（Adobe Stock）ディープフェイクによる詐欺ディープフェイク*)は登場以来、目新しいフィルターや拡散するいたずら動画といったものから、深刻なビジネスリスクへと急速に変化してきた。

第12回　企業リスクが大きくなる「米国各州の虚偽請求法」

多くの企業は「金銭や財産と引き換えに行政当局に虚偽の請求を行った」という事案を聞いたことがあるはずだ。例えば、2025年8月、CVSはマサチューセッツ州のメディケイドプログラムに対し、一般市民と比較して過剰請求していたという疑惑を解決するため、1225万ドルを支払うことになった。

第10回：「生成AI」って何？

「生成AI」は、文章作成やアイデアをサポートしながら、日常生活の作業や思考をスムーズにしてくれる、今注目の技術です。例えば、ChatGPTやGeminiなどがあります。今回は、「生成AI」について、どんなことができるのか、そして気をつけたいポイントについて説明します。

ITリスクの重層構造にどう対峙する？

上場企業のリスクマネジメントで重視される対象は災害、サイバー攻撃、IT障害、サステナビリティ対応などさまざまで、対策は多岐にわたります。なかでもサイバー攻撃やIT障害は専門的スキルを求められることが多く、委託に頼るケースが増加。結果、リスク構造は重層化しています。今回は、複雑化するITリスク管理に求められる根本を考えます。

セキュリティの基本を忠実に守る

サイバーリスクについては連載第一回でも取り上げましたが、企業のセキュリティ対策にもかかわらず、サイバー攻撃を受けて機密情報が漏れてしまうなどの事例が続いています。最近でも著名企業がランサムウェアの標的となり、対策の難しさをあらためて認識させられました。今月は再びサイバーリスクについて考えます。

第60回：サイバーの火事場で輝くカワタレ星

サイバー攻撃の火事場に舞い降りる「救急隊」は、町火消しの心意気で、まず人々を安心させねばなりません。求められるのは沈着な「鳶口」の手慣れた振り回し。そう、沈着さが救急隊を輝かせてくれます。が、沈着さはその場で得られるはずもありません。どのような準備が必要か、お馴染みスティーブ・ダービンのインタビューから紐解きます。

第11回　「DEIからの撤退する」とどうなるのか？

現在の政治情勢において、多くの企業が取締役会・クライアント・顧客・スポンサーからの圧力を受け、DEIプログラムを縮小することを選択している。しかし、非営利団体Catalystとニューヨーク大学ロースクールのメルツァーセンターの合同調査によると、これらのプログラムを縮小するという決定は、企業にとってマイナスの影響を与える可能性がある。

第10回　リスク管理における認知バイアスは８つある

リスク管理の専門家は、COSO ERMやISO 31000といったフレームワークに安心感を覚えることが多い。なぜなら、これらのフレームワークは組織とその保証機能に構造・規律、そして秩序感を与えてくれるからだ。しかし、どのようなフレームワークでも、またそれが提供する構造のレベルに関わらず、リスク管理プロセスから排除できない重要な要素が一つある。それは、人間のバイアスである。

第９回：「私はロボットではありません」偽画面に注意！

普段からよく目にする「私はロボットではありません」という確認画面。これは操作しているのが人間か自動プログラム（bot）かを見分けるためのシステムです。しかし、最近このシステムを悪用した悪質な手口が横行しています。今回は、そんな「クリックフィックス」について、その手口と対処法について説明します。

第9回　ビジネスには「4つの未来」が潜在する

地政学的緊張の高まり、テクノロジー導入の加速、そしてマクロ経済状況の変化により、経営幹部にとっては現在のビジネス環境がかつてないほど予測困難になっている

第59回：来たか、デジタル暴風雨

この夏、命の危険に関わる暴風雨という言葉を何度も聞く一方、ビジネス界にも強烈なデジタル暴風雨が襲いかかり、復旧の見通しが立たないという報道が増えています。社内の焦燥感は推察するに余りあり、そういう心理状態では経営層も担当者も委縮してしまうのではと危惧します。そこで、前に進む勇気を与えてくれるアイデアを考えてみました。

事業を止めるサイバー脅威と対峙せよ

サイバー攻撃による大企業の事業停止が頻発。近年はERP（統合業務システム）の導入で、システムの一部に障害が発生すると影響範囲が広範に及びます。SIerなど外部への依存度も高まるため、社内にセキュリティ人材やスキル・哲学、業務フローの理解が欠けているとリスクをスルーしかねません。ERPのリスク、障害対策に向き合うときです。

第8回　ややこしい米国の「従業員のソーシャルメディアでの政治的発言」

多くの人々が政治的に重要な問題について意見を表わす上で、ソーシャルメディアは公共の場となっている。中東紛争、ロシアとウクライナの進行中の戦争、アメリカの政治、政治家の暗殺など、話題が何であれ、従業員はX（旧Twitter）・Facebook・Instagram・TikTokなどのプラットフォームを利用して意見を共有することが増えている。

第３回：フィッシング詐欺

ショッピングや銀行等の手続きもできる便利なインターネット。だけど、ご注意を！ 便利さの裏にはさまざまな危険が潜んでいます。ネット詐欺被害にあわないために、正しい対処法を身につけましょう。第3回は、フィッシング詐欺の主な手口と対処法をわかりやすく説明します。

BCPは時代の要求に追いついているか？

前々回、BCPは「守り」から「攻め」へ転換していると申し上げました。BCPは企業のサスティナビリティ戦略の一環として、価値創造のうえで重要な要素。複合災害を含め予測困難なリスクにも対応できなければなりません。オールハザード型BCPが不可欠ですが、いまだ課題が多いのが実情です。あらためてオールハザード型BCPの課題を整理します。

第7回　企業組織のリスク・レジリエンス構築への道

組織は、かつてないレベルの経済的・技術的・地政学的混乱に直面しており、より積極的なリスク管理戦略が求められている。あらゆる組織にとって、全領域のリスク管理とレジリエンス能力を構築するだけでなく、リスクとレジリエンス計画を実践するための実践的な戦略を策定することが重要である。