Edit

Payment Support

吾輩は猫である。名前はまだない。どこで生れたか頓と見当がつかぬ。何でも薄暗いじめじめした所でニャーニャー泣いていた事だけは記憶している。

『Risk Management』21年 5月号
2021-05-01

Risk Management

5月号

INDEX

公開テキスト。

自然災害対策のためのリモートワーカーへの配慮

ヒラリー・タットル

COVID-19のパンデミックから1年が経過し、多くの企業がリモートワークのような代替手段を導入している。多くの企業は、物理的なオフィスの重要性が低下したことに注目しているが、リモートオペレーションへの移行が自然災害のリスクを低下させると同時に、増加させていることを見落としているかもしれない。2021年のハリケーンや自然災害のシーズンに向けて、企業は、業務と従業員の両方の安全を確保するために、リモートまたはハイブリッド労働者に関するリスクプロフィールを再評価しなければならない。 リモートワークは、事業継続に関して、リスク担当者に安心感を与えている。例えば、ハリケーンなどの自然災害によって一時的に現場での作業が危険になった場合、リモートワークに移行することは、業務を継続するための有力な選択肢となっている。BDOの危機管理・事業継続の実務担当取締役ジム・マクドネルは以下のように述べている。「COVID-19によって、多くの企業がリモートワークへの移行を余儀なくされたが、事務処理のためのインターネットの帯域幅については常に懸念があった。これらの懸念が解消されたことから、COVID-19によって、自然災害が発生してリモートワークに移行する必要がある場合でも、全体的な準備態勢を向上できたと感じている。」 修正された足跡を測定する 現在、多くの労働者がリモートワークを行っているため、自然災害がもたらすリスクは幾分軽減されている。これは、企業が保護しなければならない物理的な拠点や、従業員が行き来しなければならない場所への依存度が低くなっているためである。そのため、リスク担当者や組織のマネジメントチームの中には、今年のハリケーンや山火事などの自然災害のリスクは、かなり低いと考えている人がいるかもしれない。 しかし、リスク遭遇可能性は必ずしも減少したわけではない。むしろ、リスク担当者は、従業員が場所を変えることで組織のリスクプロフィールが変化したことを認識し、物理的なリスクが本当に存在する場所を再評価する必要がある。今年、企業の拠点は大きく変化しており、分散した従業員によって、リスク担当者が監視・管理すべき脅威の対象が拡大している。 アリアンツ・グローバル・コーポレート&スペシャリティの北米地域マネージャー、トーマス・バーニーは「リモートワーカーは、従業員の集中度が低いため、組織の混乱を抑えることができるが、自然災害に対する地理的な影響を拡大した」と述べた。「現在、多くの従業員がリモートワークに従事していることから、自然災害の影響は場所によって異なる可能性があり、多様な種類の自然災害が発生した場合には、継続的なコミュニケーションの必要性が重要になる。これは、これまで本質的に局所的なものでしかなかった出来事を、雇用者がより広い範囲で従業員の足跡を理解しなければならないことを意味する。」 社員がどこで仕事をしているかを把握し、この新しい足跡に基づいて事業継続計画を見直すことが重要であると、バーニーは述べている。企業は、これまで業務上の脅威と考えていたものに加えて、気象リスクを考慮する必要があるかもしれない。また、自然災害を監視する場所を拡大する必要があるかもしれない。ハリケーンシーズンに向けて、リスク管理担当者は、リモートワークするすべての従業員の物理的な場所を詳細かつ完全に更新しておく必要がある。組織の規模によっては、これらの場所を追跡し、拡大した脅威をリアルタイムで監視する新しい方法を検討する必要があるかもしれない。 また、これらの地域に分散している従業員を考慮して、さまざまなリスクシナリオにより混乱リスクを評価し、そうした混乱を軽減するために取りうる方法を評価する必要がある。例えば、ハリケーンのリスクが高い沿岸部の都市に従業員が集中しているかどうか、ハリケーンのリスクがある地域から山火事のリスクがある地域に移動した従業員がいるかどうか、あるいは、かなりの割合の従業員が異なる地域に分散しているかどうかを知ることが不可欠である。 適切な評価と緩和策を講じることで、企業は分散した労働力に対する戦略的リスク管理が実行できる機会を見出すことができる。このアプローチにより、多くの企業は、業務を行う物理的な場所を多様化することで、潜在的な事業継続の脅威に耐えうる強固な基盤を構築することができるかもしれない。 「リモートワーカーを配置すれば、自然災害に備え、それに対応する企業の能力を実際に向上させることができる」とバーニーは述べた。「自然災害は、ほとんどの場合、地域的なイベントで、大規模なハリケーンのように、限られた地域に影響を与える地域的なイベントである。リモートワーカーによって、影響を受ける従業員の数を制限できる一方で、他の従業員は通常のように働き続けることができる。」 先進的な計画を立てることにより、企業はこの地理的な分散を利用して、潜在的な混乱に対する防衛を強化し、事業継続性を確保することができる。「自然災害に備えて、リモートワーカーを抱える企業は、重要な活動を被災した従業員からまだ働ける従業員に移す方法を理解しておく必要がある」と、バーニーは助言した。「また、事前に手順書を作成し、効率的な通信手段を設定しておくことも非常に重要である。」 効果的な緊急対応に必要な、積極的かつ開かれたコミュニケーションを確保することは、常に最優先であるべきである。今年は、同僚に会ったことのない新入社員に対して、より一層の配慮と注意を払う必要があるかもしれない。「パンデミックが続く中、企業は同僚と対面で一度も会ったことのない社員を数多く採用してきた」と、マクドネルは説明した。「危機的状況下では、緊密な人間関係が成否を左右する影響力を持っている。来るべきハリケーンシーズンに備えるためには、ストレスの多い重大なインシデントで、対応チームが互いに協力し合うことを快適に感じることが必須条件である。」 企業の災害対策は個人的なものになる リモートワークでは、従業員に会社の業務を自宅に持ち込むことを求めてきたが、自然災害対策や準備態勢を整えて業務を保護することは、仕事場がどこであろうと企業の責任である。今こそ、企業は自宅での安全性と機能性を確保するために、継続計画をどのように拡大するかを評価しなければならない。 企業によっては、今年のハリケーンシーズンのリスクが少し減るかもしれない。オフィスはかつてのように業務拠点ではないからである。したがって、特定の施設が閉鎖されたり、停電しても、同じような脅威にはなりえない。しかし、そうした中心となる拠点は、従業員の自宅よりも脅威から守られている可能性が高く、企業にとっては、個人の住宅よりもそうした施設のほうが、安全性と接続性を統制できるであろう。 「完全なリモートワークやハイブリッドワークを継続している企業の多くは、従業員が自宅のインターネットや電気などのユーティリティーに大きく依存していることに懸念を抱いている」と、BDOの犯罪保険・復元業務担当パートナーのドリュー・オルソンは述べた。「オフィスにはバックアップ発電機や余裕のあるインターネットサービスプロバイダーを抱えているかもしれないが、ほとんどの従業員は自然災害時に自宅で仕事を続けるための設備は整っていない。」 オルソンによると、昨年のさまざまな自然災害に対応した組織では、これが大きな問題となったという。「今年の危機で見られたように、自然災害や人為的なイベントによる地域的な影響は、従業員のリモートワーク能力に大きな影響を与える。例えば、最近テキサス州で発生した寒波の影響で、インターネット停止や停電が広範囲にわたって発生して、従業員が自宅で仕事をすることが制限された」と、述べた。 労働者がCOVID-19のパンデミックに耐え続け、この長引く災害に加えて自然災害という新たな危機に直面する中、多くの企業は従業員を個人レベルで保護する必要性が高まっていることに注目している。一部の企業では対策を強化しており、従業員が家庭で準備できるように緩和策に投資し、個人的なストレスや損失、仕事上の混乱を軽減させている。 「ハリケーンシーズンが近づくにつれて、ハイブリッドまたはリモートワーカーを抱える企業は、個人や家族の備えを強化すべきである」と、マクドネルは助言した。マクドネルとオルセンの報告によると、多くの企業が既成概念にとらわれず、オフィスの外にも目を向け、災害時に従業員を支援するための新たな対策を導入している。その内容は、携帯を活用したスポーツ券の発行から、個人や家族向け準備教室の提供まで、多岐にわたる。 「COVID-19被災中の創造性には、限界はない」と、マクドネルは述べた。「最も効果的な対応をした企業は、従業員と顧客を大切にするための確実な投資を行ったことになる。」
注意事項:翻訳は“Remote Workforce Considerations for Natural Disaster Preparation”, Risk Management, May, 2021,pp26-27. をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。 ヒラリー・タットルは本誌上級編集者。  

サードパーティーリスク管理プログラムを改善する3つの方法

ケリー・ホワイト

企業のリーダーやセキュリティ専門家がサイバーセキュリティ障害のもたらすリスクとコンプライアンスへの影響をますます認識するようになるにつれて、サードパーティーリスク管理(TPRM)を実行している組織は増加し続けている。今日、ほとんどの大規模組織では正式なプログラムが実施されており、TPRMに専念するスタッフも数名いる。また、ベンダーはセキュリティアンケートやその他の評価方法を通じて、セキュリティ管理の精査に少なくともある程度は慣れてきている。

セキュリティ業界はサードパーティーリスク対応に向けた意識構築といった段階の次に進んでいるが、今後も前進を続けていくことが重要である。このため、リスクレコン社とサイエンティア・インスティチュートはサードパーティーリスク管理専門家に積極的に携わっている154人を対象に調査を実施して、サードパーティーリスク管理プログラムと実務の現状を詳細に調査した。

サードパーティーリスク管理報告書によると、63%がサードパーティーリスクを管理することが組織の中で優先順位を高めていると回答している。組織の79%がTPRMプログラムを実施していることは良いニュースであるが、これらのプログラムは成熟化していない可能性がある。ほとんどの場合、TPRMプログラムは5~6年間しか運用されていないからである。新しい方法が普及し始めているにもかかわらず、84%がベンダーのセキュリティリスクを評価するためにアンケートを使用していると報告している。

セキュリティアンケートはTPRMプログラムの重要な出発点であるが、TPRM専門家はサードパーティーリスクを適切に理解し、行動するのに十分な情報を提供するという信頼性がますます低下していることを明らかにしている。報告書によると、少なくとも75%のベンダーが例外なくアンケートに基づく評価に合格したと回答した企業は81%であったが、平均して、ベンダーが本当にセキュリティ要件を満たしていると確信していると回答した企業はわずかに約14%に過ぎなかった。

ベンダーが自社のサイバー・リスクを完全に統制しているという保証がないことは、大きな問題となる可能性がある。ほとんどの企業はこれらのサードパーティーに大きく依存しており、彼らの機密性の高いデータや業務機能を信頼しているため、このことは特に問題となる。回答者の平均では、ベンダーが違反したときには31%が組織に重大な影響を与える可能性があると回答し、25%はネットワーク全体の半分が深刻な影響を引き起こす可能性があると回答した。

リスク低減と効率性の両面でTPRMの実践を次のレベルに引き上げたいと望むセキュリティリーダーとビジネスリーダーは、プログラムの資金調達と運営方法に意味ある変更を導入しなければならない。報告書はTPRMの成熟度曲線に沿ってプログラムの進展を加速させるために、リーダーが焦点を当てることができる3つの主要領域を示している。

常勤担当者に対する影響力の大きさに応じて人員を配置する: 通常、常勤担当者1人当たり50社のベンダーを管理しているため、回答者の半数以上(57%)が、TPRMプログラムでの人員配置レベルはサードパーティー・ポートフォリオ全体でのリスク管理能力の日常的な制約になっていると回答した。さらにTPRMプログラムでは3つのうち1つの割合で、年間100社以上のベンダーを管理している。また深刻な人員不足が原因となって、25%がTPRMプログラムの重要な作業をほとんど完了できない、または完了できないと回答している。

人員配置の妥当性に対するベンダー/常勤担当者(FTE)比率の認識を調べると、(違反により会社に重大な損害を与える可能性がある)重要なベンダーの管理を任されたもののFTEの比率が大きな影響を与えるという相関関係があった。FTEで平均5~6社の重要なリスク・ベンダーを管理しているチームの回答者は、常に十分なスタッフが配置されていると感じているが、30社以上を抱えているチームの回答者はそうは感じていない。

データからは、組織は管理下にあるすべてのベンダーについてFTE平均ベンダー数にそれほど焦点を当てず、影響力の大きいベンダーのFTE比率に注目し始めていることが推察される。

より継続的な評価を実施する: 大多数の組織はサードパーティーのセキュリティ態勢を判断するために、限定的な評価方法に大きく依存している。約84%の組織がセキュリティアンケートを利用しており、69%が文書レビューを利用している。これらの方法は行動に結びつく洞察を掘り起こすことと一貫性がないだけでなく、質問票がセキュリティ改善に結びつくことはめったにないと81%の組織が答えている。しかも、それらは特定の一時点のみでしか実施されていない。

TPRMプログラムの成熟度を向上させたい組織はサードパーティー・ポートフォリオに潜む潜在的なリスクについて、継続的かつ自動的にデータを収集する方法を探すべきである。今日では、約半数の組織がリモートで評価やサイバーセキュリティ格付けを行っている。

良好なパフォーマンスに基づいて範囲を調整する: 報告書で一般的に取り上げられているテーマの1つは、一般的に信頼性があり実行可能な評価を実施できるTPRMプログラムの規模に苦慮しているということである。限られた資源をリスクの高いベンダーに向ける方法として、セキュリティパフォーマンスの変化に応じてベンダーの監視範囲を調整する方法がますます一般的になってきている。現在、パフォーマンスに基づいて監視範囲を縮小している組織はわずか38%しかない。

例えば、長い間良好なパフォーマンスを示すベンダーに対しては、セキュリティアンケートを通して自己評価させ、サイバーセキュリティ格付けを通して継続的に評価することで補強することを要求すればいいかもしれない。格付け結果が一定の警告閾値を超えたときには、より頻繁な質問票、現場での評価、遠隔評価および他の方法を含む、より詳細な検討を実施するようにすればいいのである。

結局、上記の3つの手法を用いてデータに基づくプログラムを構築し、関連データを迅速に収集・分析することでベンダーの意思決定を迅速化し、リスク管理に投資できる資源をパフォーマンスの悪いと分かっているベンダーに賢く配分し、パフォーマンスの良いベンダーには配分しないようにすることで、TPRMは進歩し続けることができるであろう。



注意事項:本翻訳は“Three Ways TPRM Programs Can Improve”, Risk Management, June, 2021,
RIMS Risk Management Site(https://www.rmmagazine.com/articles/article/2021/05/18/-Three-Ways-TPRM-Programs-Can-Improve-). をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。

ケリー・ホワイトはリスクレコン社CEO兼共同創業者。

 

記事の詳細を読む

会員の方

非会員の方

SHARE

RIMS日本支部

アプリケーションパスワードを使用すると、実際のパスワードを入力しなくても XML-RPC や REST API などの非対話型システムを介した認証が可能になります。アプリケーションパスワードは簡単に取り消すことができます。サイトへの従来のログインには使用できません。