レジリエンス指数を高めるために‐Digital Trust Insights‐

1.組織のコアプロセス、資産、相互依存関係性を可視化

データ資産やプロセスがコアビジネスサービスとどのようにつながり、相互に関係しているか理解できなければ、障害が発生した場合にどのシステムまたは資産を切り離したらよいか分かりません。高RQグループとそれ以外のグループとの最も顕著な相違点は、高RQ企業の91％が、正確な資産のインベントリ（リスト）を作成・維持しており、必要に応じて更新しているという点です。それ以外のグループでは、同数値は47％にとどまっています。

このような、資産を網羅するインベントリを作成するだけでも重要な知見を得ることができます。例えば、ある企業は、最重要な資産・システム数は50で、一つの領域にまとまっており、サイバーインシデントから十分に保護されていると考えていました。しかし、ソフトウェアを使用してネットワークを徹底調査したところ、システム間で二次的・三次的つながりがあることが判明し、その結果、最重要システム数は想定の9倍、450まで増加しました。これら450のシステムは「隠れた」状態だったために、障害に対する組織の脆弱性をより高める要因となっていました。

こうしたインベントリは、サードパーティーとの関係まで範囲を広げる必要があります。企業にとって慎重を要する接続は、実際には外部で行われるケースもあるためです。最近の主要な顧客データ侵害のケースでは、ハッカーは顧客サービス関連の管理用に複数の小売業者が使用していたチャットサービスベンダーを侵害しました。

大企業の場合、IT資産は数百万規模、接続数は数億規模になります。しかし、現在は最重要の資産とプロセスを詳細にマッピングするテクノロジーが存在します。高RQ組織の50％以上がインベントリおよびマッピングプロセスを自動化していますが、それ以外の組織では、同数値はわずか10％でした。

レジリエンスに向けた、この第1ステップは容易ではありません。5月に実施した『サイバーセキュリティの先進的企業は、新たな枠組みで事業の成長を推進‐Digital Trust Insights‐』でも、IT専門家（あるいはサイバー対策先駆者さえ）、「米国国立標準技術研究所（NIST）サイバーセキュリティ・フレームワーク」指針における「Identify（特定）」機能（保護が必要な資産とプロセスを特定する能力）に関して、自分たちの力は「成熟には程遠い」と考えていることが分かりました。

2.組織がどの程度の障害まで許容できるか見定め、テストする

組織は、どの程度の障害までならクライアントへのサービス提供能力を損なわずにいられるか。

この問いに答えるためには、まず自分たちの会社にとって「最重要ビジネスサービス」は何かを定義する必要があります。これは重要なタスクです。高RQグループの73％が、自社の最重要ビジネスサービスを特定しているのに対して、それ以外のグループでは27％という数字なのも驚くことではありません。

次に組織がすべきことは、有事に対して持ちこたえられる時間と拠出できる費用の上限、すなわち「インパクト許容度」を定めることです。高RQグループの3分の2の企業が、最重要ビジネスサービスに関するインパクト許容度を定めているのに対して、それ以外のグループでこれを定めているのはわずか24％です。

高RQグループでは、インパクト許容度を具体的な指標に表しているケースが多く見られます。例えば、ランサムウェア被害企業は、攻撃を受けた後に貴重な時間を割いて許容度を決めている余裕などありません。事前に定めた、障害の質、深刻度、時間に関する上限設定および身代金支払いの判断に役立つその他のリスク検討事項を用いなければならないのです。

レジリエンスの高い企業は、インパクト許容度内に踏みとどまり続ける力のテストも行っています。このテストは、自ら考案したシナリオやラウンドテーブルディスカッションを通じた「机上」演習から開始します。これによって、チームは障害時の重要なコミュニケーショションの予行演習を行うことができるだけでなく、ガバナンスその他のプロセスの穴を見つけるのに役立ちます。一部の企業は、机上レベルを超えて、シミュレーション環境にシステムをミラーリングし、そこでシステム間の相互依存関係や接続性をテストしています。

そして最後にもうひとつ、高RQグループとそれ以外のグループを分ける要素があります。それは、高RQグループの61％が、最重要サービスだけでなく、ビジネスサービスに対するインパクト許容度のマッピングも行っている、という点です。それ以外のグループでこれを実践しているのは18％のみでした。こうした活動は、障害によってビジネスパートナーに契約上の罰金を支払うことになった場合に特に重要です。

3.計画的なデジタルレジリエンスの構築：次なるフロンティア

レジリエンスに必要な歩みにおける「第3ステップ」は、難易度も最も高くなります。そのため、高RQグループに属していても、完了している企業はほとんど存在しません。組織に対して、全社規模で「計画的なデジタルレジリエンス」を実施しているかどうかを尋ねたところ、「はい」と答えたのは高RQグループのわずか34％でした。それ以外のグループについては、さらに14％まで落ち込みました。

第3ステップは三つの要素からなります。

• コアとなる資産のパフォーマンスとITとの依存関係について、全社規模で常時監視できるしくみを構築します。ビジネスサービスへのデータ資産とプロセスのマッピングという困難な取り組みを成し遂げた後、もう一段階、全てをまとめて常に最新のビューで見られるような形にすることで、今後の更新時に時間を節約できます。つまり、数カ月要する作業を数分で完了できるようになるのです。
  
• 情報の流れを監視し、理解し、協力して対応するチームを構築します。過去に脅威情報に関して協力したことのない、または復旧・回復活動を組織的に行った経験のない社員を招集せざるを得ない場合もあります。現在あなたの企業がさらされている状況は、影響を受ける全ての領域の可視性とコミュニケーションなしに乗り越えることはできません。
  
• プラットフォームを使用し、障害から学び、ビジネスサービスとサポートプロセスを継続的に再設計します。そうすると、これまで見えていなかったものや、解読しづらかったことが浮き彫りになります。例えば、ある資産を保持することで危機にさらされる機会は増えるがビジネスに付加価値をもたらすことはないと分かった場合、そうした資産に固執する必要は本当にあるでしょうか。システムを回復できない場合、サービスを復旧するための、他の回復方法はあるでしょうか（例えば、停電が起きた際、銀行は別の決済処理システムに決済情報を送信することで、顧客の便益を守れる）。または、あなたの会社が別の企業と合併を進めており、ベンダーネットワークやリスク、プロセスが拡大・複雑化する場合、セキュリティにどのような変更が必要になるでしょうか。計画的なレジリエンスとはすなわち、事業環境とともに進化することなのです。
  

PwCは、最重要ビジネスサービスおよび関連するIT資産とプロセスの現況を常に得るための自動化やアナリティクスおよび可視化がもたらす進化と恩恵を見てきました。これらのテクノロジーを採用することで、組織のレジリエンス機能が継続的に向上します。