パンデミック後世界のリスクを再考する

ジョディ・R・ウェストビー　　レスリー・ラム[*]

COVID-19のパンデミックは、組織に大規模な運用上の変化をもたらし、回復力に影響を与え、新たなサイバーリスクを生み出し、ビジネスモデルを根底から覆した。組織は現在、リスク管理の抜本的な転換に直面しており、多くの組織が目の前の新たな未知のリスクの理解に取り組んでいる。

企業が迅速な適応に苦慮する中、パンデミックは、1)ガバナンスとリスク監視、2)事業回復力（レジリエンス）、3)サイバーリスク管理の3つの共通の弱点を明らかにした。正式なリスクガバナンス構造を持たない組織では、ある事業部門の変化が他の事業部門に不測のリスクをもたらす可能性があることを完全に理解することが困難であることがわかった。公式な回復力計画がない企業は、「暗闇の中で」意思決定を行い、中央集権的な戦略がないために、最も必要とされるときに俊敏性を阻害していた。

企業はより良い道を見つける必要があり、無駄にする時間はない。取引信用・保証保険会社アトラディアスの報告によると、2020年末までに世界企業の26％が債務超過に陥るとしている。

2021年以降に備えておきたい企業は、リスク管理戦略を見直し、業務の転換を予測し、回復力を維持する方法を計画し、関連するサイバーセキュリティリスクを評価し、組織がどのような閉鎖や大規模な攻撃にも耐えられるようにする必要がある。より企業全体を対象としたアプローチを採用することで、リスク管理者は、事業単位をまとめ、リスクを評価し、必要とされる回復力のある計画を議論して策定するなど、組織内で触媒としての役割を果たすことになる。

ガバナンス、事業回復力、サイバーリスク管理は、スツールの3本足のようなものであり、1本がなければ、業務はおろか企業全体が倒れる可能性がある。各分野でのコンピテンシー開発は、企業が新年に向けて前進しようとする際の競争優位の源泉となる。

ガバナンスとリスク管理者の役割

COVID環境が長引く中、組織が2020年の教訓を迅速に評価し、最も影響力のあるリスクを特定し、新たな未知のリスクに備えた計画を立てることが不可欠である。そのためには、組織はリスク管理者の役割を高め、取締役会と上級管理職チームのリスクガバナンスに一層の注意を払う必要がある。

リスクガバナンスには、取締役会だけでなく経営陣も関与する必要があり、このチームが監視すべき主要なリスクを特定するガバナンスの枠組みが必要となる。企業の財務健全性、従業員の安全性、機敏で重要な業務を維持する能力のすべては、優れたリスク管理戦略と回復力計画に依存する。

理想的には、組織は、リスク管理のために取締役会レベルまたはその他の最高経営責任者の役割を確立することを検討すべきである。これにより、リスク管理責任者は役員および取締役会レ

ベルでの議論に、より十分に関与することができ、業務と関連リスクを十分に理解し、事業単位のリーダーと対等に交流して組織全体のリスクを管理し、取締役会レベルのレビューのために、より成熟したリスク戦略を策定することを確実にすることができる。

リスク専門家は、より可視性を高めるために、多様な事業単位にわたって業務を展開する努力をすることによって、このような作業を自ら行うことができる。しかし、リスク管理者をより高い位置に置くことによって、組織は、会社のリスクについて必要となる全社的な視点をより簡単に獲得できる。これにより、リスク管理者は、自らの業務または事業に重大な影響を及ぼす可能性のある重要なリスクをより明確に特定し、リスクの優先順位付けと定量化を行い、企業のリスク許容度を決定し、事業部門および経営幹部と協力してリスクの軽減に努め、適切なテストを確実に実施し、リスク移転計画を策定し、適切なレベルでリスク報告を提供することができる。

より回復力のあるビジネスの創造

ビジネスの回復力には、危機管理、事業継続計画、データのバックアップと復旧を含む災害復旧などの幅広い範囲が含まれる。事業回復力計画は、経営陣や業務担当者が、緊急事態や急激な業務変更を必要とするリスクが生じる出来事が発生した際に、必要に応じて業務運営や戦略を適切に調整するのに役立つ。

世界的なパンデミックが発生する可能性があることは何年も前から警告されていたにもかかわらず、ウイルスに備えた回復力計画を策定した企業はほとんどなかった。多くの企業は、重要な意思決定や業務上の変更について、社内外で統一した方法でコミュニケーションをとっていなかった。企業の意思決定は遅れ、少なくともパンデミックの初期段階では、大きな業務の混乱を引き起こした。サイバーセキュリティのリスク管理は後回しにされていた。多くの企業は、リモートワークや新しい業務方法の管理に苦慮した。2021年以降の教訓として、企業はもはや回復力に向けたリスク管理を先送りできないということである。

コロナウイルスは、非対称的な脅威や不幸な状況と見ることができるが、「一度きり」の出来事と見なすべきではない。組織は、業務や収益に悪影響を及ぼす可能性がある場合に備えて計画を立てることが重要である。企業全体の事業回復力強化計画を策定している企業は、市場での競争力を高め、ビジネスを継続する可能性を高めることができる。

事業回復力計画は、事業継続計画やコミュニケーション戦略を含む事業単位間の依存関係を特定し、（第三者、パートナー、顧客からの影響を含む）重要な業務への潜在的な影響を特定し、サイバーセキュリティ要件を組み込むべきである。回復力計画の検証はすべてにわたって行われるべきであり、報告書は事業責任者、上級管理職、取締役会に提供されるべきである。

事業回復力計画が重要なのは、危機の時に企業が迅速に方向転換し、機敏に行動し、競争力を維持できるようにするためである。何が起ころうとも貴社が立ち上がり、操業していることを、顧客が期待していることを覚えておくことが重要である。もちろん、職場の業務はポストCOVIDでは同じではなく、企業がリモートで(社内および派遣社員の両方の)従業員をどのように管理するかは、迅速な立ち上げと操業のために重要なことである。

組織のテクノロジーへの依存度を考えると、ITインフラには、これらの計画の中で特に注意を払う必要がある。技術的混乱は破壊的な影響を与え、ブランドを破壊し、規制上の罰金や訴訟をもたらし、市場シェアに大きな影響を与える可能性があるため、技術を回復力計画に織り込むことは、組織の運命を左右する差別化要因となり得る。

サイバーリスク管理を改善する

ほとんどの業務上の変更には、サイバーリスクが伴う。パンデミックによって、データセンターやセキュリティオペレーションセンターの無人化、（多くの場合、安全ではない方法で）リモートで作業する従業員、企業データのオンラインストレージへの転送、そしてますます脆弱性を増す労働力を発見したサイバー犯罪者にとっての好機となった。都市封鎖からわずか1カ月で、FBIはCOVID以前と比べてサイバー攻撃が400%増加し、国家によるサイバースパイ活動が増加したと報告している。IT担当者やサイバーセキュリティ担当者が物理的に現場におらず、自宅からパソコンで操作している場合、企業のサイバー関連の危機対応能力に影響を与える。

サイバーリスク管理には、ベストプラクティスや標準に基づいた企業のセキュリティ・プログラムを維持し、運用上の変更や現在の脅威環境に対応していくことが含まれる。サイバーセキュリティ・プログラムには、継続的に実施しなければならない多くの活動が含まれており、進化する脅威状況に遅れをとることがないようにするため定期的に見直しを行う必要がある。

大企業は毎年、中小企業は少なくとも2～3年に1回はサイバーリスク評価を実施すべきである。危機が発生した場合、ITおよびサイバーセキュリティ・チームは、必要とされる運用上の変更を計画する際に参加すべきである。モデリングは、提案された変更を「リハーサル」し、サイバー関連リスクを含む意図しない結果を検出するために使用することができる。新たな環境に基づく評価と、インシデント対応・バックアップ・復旧計画の検証は、潜在的なサイバーリスクの特定と、重要なリスク統制を維持し、システム復旧を確実にするために変更しなければならないサイバーセキュリティ・プログラムの領域を発見するのに役立つ。

とは言え、情報セキュリティ担当取締役や情報担当取締役は、業務変更に関する意思決定に含まれないことが多い。実効性を確保するためには、企業のセキュリティ・プログラムを業務上の変化に対応させる、サイバーセキュリティ・チームをリスク管理と密接に連携させる、そしてバックアップ・回復計画を新たな脅威環境に適合させるようにすることが必要である。

注意事項：本翻訳は“Rethinking Risk in a Post-Pandemic World”, Risk Management,December, 2020, pp.8-9 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。

 ジョディ R. ウェストビーはワシントン D.C.を拠点とするサイバー相談サービス会社グローバル・サイバー・リスクの代表取締役社長。レスリー・ラムは同社リスク・レジリエンシー担当業務執行副社長