{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
各国でレジリエンスの強化に向けた動きが高まっています。英国では7月17日の国王演説において、サイバー攻撃の世界的な増加に対抗し、英国の重要インフラを保護するために、新しい「サイバーセキュリティ及びレジリエンス法案」を導入することが発表*1されました。また米国では、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が7月17日に「インフラのレジリエンス計画に関するプレイブック」を公開*2されました。シンガポールではサイバーセキュリティ庁(CSA)が7月31日に「デジタルレジリエンスの構築」「個人と組織がデータの回復力を確保する方法」という2つの勧告*3,4を発表しました。
日本国内においては、重要インフラの安定的な提供の確保を求める経済安全保障推進法*5が2022年に制定されたほか、金融庁が「オペレーショナル・レジリエンス確保に向けた基本的な考え方」*6を2023年に公開するなど、レジリエンスへの対応を求める動きが活発化しています。
これらの動向を踏まえて、本稿ではデジタルレジリエンスの構築・強化を行っていくうえで参考になる、シンガポールのCSAが7月31日に発表した「デジタルレジリエンスの構築」について解説します。
シンガポールのCSAは「デジタルレジリエンス」について、「デジタル技術を活用して、ビジネスの混乱に迅速に適応する組織の能力、また単にビジネスを復旧させるだけではなく、変化した状況を活用することにも焦点を当てている」と定義*3しており、デジタルレジリエンスを確保することは、ビジネスの継続や早期復旧はもちろん、経済的な優位性にもつながるとしています。
ITが高度に浸透した現代においては、ひとたび障害が起きてしまうと、さまざまなデジタルサービスに問題が生じかねません。シンガポールのCSAが7月31日に発表した「デジタルレジリエンスの構築」の勧告では、企業はデジタルレジリエンスを強化し、市民の混乱を最小限に抑えることが重要であることが述べられています。また、テクノロジーへの依存度が高まっていることに鑑みれば、今後もIT障害に伴うインシデントは起こりうると考えるべきとの見方を示しています。
昨今ではソフトウェアを起因としたIT障害だけでなく、サイバー攻撃によるシステムダウン、冗長化していたハードウェアの同時故障によるサービス停止などの発生も考えられることから、常にさまざまなインシデントが発生することを想定しておくべきと考えます。
シンガポールのCSAによる「デジタルレジリエンスの構築」では、デジタルレジリエンスの構築するためのアプローチとして4つのステップで行っていくことを推奨しています。
サイバーセキュリティインシデントを含むデジタル障害から組織を守るため、下記の基本的な予防策を行うことが推奨されています。ここでの重要な論点としては、「サードパーティを含めたシステムまでスコープに含めて対策を実施しているか」です。現在、ビジネスを支えるシステムとしては、オンプレミスのシステムだけでなく、クラウドや他社のサービスなどが幅広く利用されています。それらは常に相互につながっていることから、混乱が発生した場合は組織に与える影響を増幅させる可能性があるため、サードパーティを含めたシステム全体を考えることが重要と考えます。
また、技術への依存度が高く、サプライチェーンが相互に連携している現代のビジネス環境においては、上記の予防策を講じるだけではデジタルレジリエンスを構築するには不十分であるため、インシデント対応計画を策定し、テストを実施することが推奨されています。
インシデント対応計画の策定を通じて、デジタル障害を引き起こすシナリオ(技術的な不具合、従業員の手順違反、サイバーセキュリティ攻撃など)を事前に特定でき、それらをテストすることでさらなるインシデント対応やBCPの改善に役立つとしています。
リソースと対応に優先順位付けを行うため、リスクベースのアプローチを採用することが推奨されています。リスクベースのアプローチでは、まず発生可能性と影響度に基づいてリスク評価を行い、その上で組織はリスク許容度(Risk Tolerance:リスクトレランス)※1とリスク選好度(Risk Appetite:リスクアペタイト)※2に応じて対応策を検討します。ここでの重要な論点としては、「ビジネス側と現実的なリスクについて議論しながら、許容できるリスク水準を実現するための対策を検討しているか」です。ビジネス側が許容でき、かつ実現可能なリスク水準を達成するための対策を検討・実装していくことが、顧客への影響を最小限にすることへつながると考えます。
※1:リスク許容度(Risk Tolerance:リスクトレランス)は、「さらされているリスクについて、どの程度まで許容できるか」ということを意味します。リスクが発現した状況下においてリスクトレランスがどの程度であるかを見積もり、その範囲内に影響を抑えられるように対応することが求められます。詳細は、「オペレーショナルレジリエンス―自社業務の視点から顧客に提供するサービスの視点へ」をご参照ください。
※2:リスク選好度(Risk Appetite:リスクアペタイト)は、「組織の目的や事業計画を達成するために、進んで受け入れるリスクの種類と量を示したもの」を意味します。リスクに受動的に対応するのではなく、リスクを「進んで受け入れるもの」として組織自らが能動的に定義します。詳細は、「リスクアペタイトおよびリスクガバナンス関連サービス」をご参照ください。
リスクの評価や判断は経営層が行い、BCP(事業継続計画)を整合させる必要があるため、組織のガバナンス構造(例:取締役会や委員会)へ組み込むことが推奨されています。また、インシデント発生時には顧客とコミュニケーションをとる必要があるため、マーケティング部やカスタマーサービスなどの組織の関与も重要です。ここでの重要な論点としては、「関連する規制当局との迅速なコミュニケーションを行うためのプロセスを整備できているか」です。IT障害やサイバーインシデントなどが発生した際は、規制当局などへの報告が必要になるため、事前にそれらに対する会社としてのコミュニケーション計画を立てることが重要と考えます。
デジタルレジリエンスにおけるリーダーシップを獲得するために、次のことを行うことが推奨されています。
ここでの重要な論点としては、「関係者がデジタルレジリエンスの構築の必要性・重要性を理解しているか」です。デジタルレジリエンスの構築および改善には多くの関係者が協力する必要があるため、各担当者が必要性・重要性を理解することが不可欠だと考えます。これを実現するには、経営層が積極的にリードし、関与することが必要であると同時に、下記のような問いを投げかけ続けることも一案と考えます。
シンガポールのCSAが7月31日に発表した「デジタルレジリエンスの構築」では、デジタルレジリエンスを構築するためには、基本的なセキュリティ対策やインシデント対応訓練を行うことはもちろん、リスクベースでのアプローチを取ることで優先度をつけて対応を行い、最終的には顧客やサプライヤーなどとの連携を強化することが推奨されています。
ランサムウェア感染をはじめとしたサイバー被害やIT障害の発生による影響、各国のレジリエンス強化に向けた動きなどから、日本国内においてもレジリエンス強化の重要性はますます高まっていくと考えられます。
レジリエンスの構築、強化を行う際は、リスクベースでのアプローチを取っていくことになりますが、適切なリスクシナリオのほか、リスク許容度(Risk Tolerance:リスクトレランス)とリスク選好度(Risk Appetite:リスクアペタイト)を設定できるかがポイントになります。非現実的なリスク許容度を設定するのではなく、重要なビジネスサービスを中断させる可能性があるような、深刻かつ起こり得るインシデントシナリオを想定し、その影響がリスク許容度に収まるような対策をとり、実行していく必要があります。
また国内企業の中でも、特に重要インフラ事業者においては、サービスを受ける顧客視点(社会視点)はもちろん、投資家視点からも、大規模IT障害やサイバーインシデントなどのさまざまなリスクに対するレジリエンスの確保を継続的に実施、構築しているか否かが、競合他社と比較される際の重要な観点になっていくと想定されます。現時点では規制等による強制力はありませんが、そのような状況下においても経営層が進んで取り組むことに大きな価値があると考えます。
デジタルレジリエンスの構築は一朝一夕では実現できないため、今から重要な経営課題として取り組んでいく必要があると考えます。
PwCでは、PwCの海外メンバーファームはもちろん、「PwC Intelligence」や「サイバーインテリジェンス」とも連携することで、ビジネス、IT、サイバー、サードパーティリスク、リスク管理、グローバルの規制、最新のリスク動向など多岐にわたる知見を活用し、レジリエンスの構築から運用・改善まで一貫してサポートすることが可能です。
クライアントのさまざまなリスクに対するレジリエンス構築をサポートしてきた豊富な経験を活かし、今後も各国のレジリエンスの動向や関係などについて独自の示唆を提供していきます。
参考文献
*1:GOV.UK, 2024, King's Speech 2024: background briefing notes, 2024/8/19閲覧,
https://www.gov.uk/government/publications/kings-speech-2024-background-briefing-notes
*2:Cybersecurity and Infrastructure Security Agency (CISA), 2024, CISA Releases Playbook for Infrastructure Resilience Planning, 2024/8/19閲覧,
https://www.cisa.gov/news-events/news/cisa-releases-playbook-infrastructure-resilience-planning
*3:Cyber Security Agency of Singapore (CSA), 2024, Building Digital Resilience for Organisations, 2024/8/19閲覧,
https://www.csa.gov.sg/alerts-advisories/Advisories/2024/ad-2024-014
*4:Cyber Security Agency of Singapore (CSA), 2024, How Individuals and Organisations Can Ensure Data Resilience, 2024/8/19閲覧,
https://www.csa.gov.sg/alerts-advisories/Advisories/2024/ad-2024-015
*5:内閣府, 2021, 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法), 2024/8/19閲覧,
https://www.csa.gov.sg/alerts-advisories/Advisories/2024/ad-2024-015
*6:金融庁, 2023, オペレーショナル・レジリエンス確保に向けた基本的な考え方, 2024/8/19閲覧,
https://www.fsa.go.jp/news/r4/ginkou/20230427/02.pdf