Edit

Payment Support

吾輩は猫である。名前はまだない。どこで生れたか頓と見当がつかぬ。何でも薄暗いじめじめした所でニャーニャー泣いていた事だけは記憶している。

【Web特別版】『Risk Management』23年 1月号
2023-03-02

Risk Management

【Web特別版】

1月号

Web特別版1月号表紙
INDEX

【Web特別版】危機における回復力を改善する

スペンサー・マクドナルド[*]


 

COVID-19のパンデミックの最中に経験した無数の混乱の後、ほとんどの業務は、新しいプロセスに適応したか、過去の平常時の感覚に戻ったかのいずれかであった。組織は、この機会に、パンデミックの間、それぞれの課題にどのように対処したかを振り返り、それらの洞察力を活用して、将来の災害に対する回復力を強化すべきである。

FTIコンサルティングの2022年レジリエンス・バロメーターによると、世界のビジネスリーダーの75%が、パンデミック時に風評リスクを伴う意思決定をしなければならなかったと回答している。また、3分の2以上がパンデミックが始まって以来、会社では危機的シナリオがもたらすリスクの定量化に苦労しており、72%が増え続ける危機的シナリオに対する適切なプランニングを立てるのに苦労していると回答している。こうした懸念にもかかわらず、事業継続計画の更新、予期せぬ危機に対処するためのリーダーシップの準備、および/また、危機対応の評価などの措置をとっているのは半数以下となっている。

そこで、方針とプロセスの見直しを行うことは、特にリモートワークを促進するための新技術の導入に関連して、パンデミックによる混乱時に生じたギャップや残存するギャップを再評価する上で大きな価値をもたらすことができる。このような見直しは、事業の長期的な健全性と将来の危機的事象へのより良い耐性の双方のために、業務、方針、ガバナンスの機能を再構築し強化するのに役立つ。

組織はリモートワークへの急速な移行や、世界的な健康上の緊急事態における労働力の管理の結果、さまざまな混乱や予期せぬリスクを経験してきた。いくつかのシナリオでは、組織には、迅速に対応し、多数の地域の保健当局から急速に変化し、多様化するガイドラインに精通した危機管理チームが設置されていなかった。また、多くの企業は従業員とのコミュニケーションを効果的に管理することに苦心し、不確実性の増大と業務の中断を招いた。その他の共通の課題は、テレビ会議やその他のリモートワーク技術をサポートするためのITインフラの限界、および混乱の最中にあったサードパーティプロバイダの効果的な管理にも及んだ。

このような見直しによって得られた洞察と教訓を基に、組織は危機対応とパンデミック計画を改善するために多くの措置を講じる必要があろう。これらには、以下が含まれる。

  • 柔軟なパンデミックマネジメントの枠組みを採用する。この枠組みでは、専任の危機対応チームからの迅速な対応と意思決定のためのメカニズムを確立すべきであり、そうすることで、組織は、事件や災害が最初に報告された時点で速やかに行動する用意が整うのである。また、状況の変化に応じてチームが適応できるよう、柔軟性を持たせるべきである。
  • 方針での例外プロセスを確立する。従業員の安全や業務の継続が、社内方針の不遵守によるリスクを上回る場合、方針を緩和したり、回避したりする必要が生じることがある。これには、重要なサービスプロバイダーのための安全装置やデータ処理要件を迅速に入手するために調達方針を緩和することで、プロバイダーが事業を継続的に支援できるようにすることも含まれる。災害時にあらかじめ緩和または回避できる方針を定義しておくことで、より迅速な対応と復旧につながる可能性がある。
  • 各適用管轄区域における政府ガイドラインを監視し、対応するための合理的なプロセスを確立する。これらの要件を追跡するために割り当てられた専用のリソースが、よりスムーズな対応を可能にする。
  • 定期的に設備、備品、システムを監視し、見直す手順を実施する。リモートワークに移行できない工場などの施設を有する組織では、安全設備や個人用保護具、その他必要な供給品をストックし、維持しなければならない。
  • 復旧機能を継続的にテストする。リモートワークの能力とネットワークは、リモートワークに夜間シフトする必要がある場合に、すべての従業員が同時にサポートできるように、定期的にストレス・テストを行う必要がある。
  • サードパーティが利用できなくなった場合や、組織の方針に沿った緊急時ガイドラインに従っていない場合には、サプライヤーの緊急時対応策を確立する。供給業者やパートナーが同様のプロトコルを遵守していない場合、災害時やその直後に彼らと仕事を続けることは、新たなリスクの領域を広げる可能性がある。
  • 従業員向けコミュニケーション・ライブラリーを作成し、今後のイベントに活用し、対応できるようにする。

ビジネスリーダーにとって、起こりうるすべての危機的シナリオに備えることは不可能である。しかし、組織にとっては、新たな災害や困難なイベントが近い将来起こりうること、また別のパンデミックが現実的な可能性をもつといったことに現実的であることが重要である。これは、悲観的な見通しのように見えるかもしれないが、基本的な備えをすることで、その影響を最小限に抑えるのに大きな役割を果たすことができる。さらに、多くの組織は、この種のイベントへの対応とかじ取り方法について、ある程度のマッスルメモリーを構築している。今、この機会をとらえて、学んだ教訓を評価し、それに傾注することによって、組織は行く手に控えている課題が何かに関わらず、リスクを最小限に抑え、新たな、あるいは未知のリスク遭遇可能性に対処し、将来に向けた回復力を構築することができるのである。

 

トピックス
事業中断、COVID-19、危機管理、防災、新興リスク、パンデミック、リスクマネジメント


注意事項:本翻訳は“Improving Resilience in the Wake of a Crisis”, Risk Management Site (https://www.rmmagazine.com/articles/article/2023/01/05/improving-resilience-in-the-wake-of-a-crisis ) January 2023,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
スペンサー・マクドナルドは、FTIテクノロジー社情報ガバナンス、プライバシー、セキュリティ実務担当取締役。プライバシー、情報セキュリティ、事業継続、サードパーティ・リスクマネジメント、規制やコンプライアンスなど、広い問題について顧客にアドバイスしている。

【Web特別版】ツイッターにおけるブランドリスクの高まり

ジョシュ・ショール[*]


 

昨年10月28日にイーロン・マスクがツイッター社を買収して以来、同社は混乱状態に陥っている。新CEOは突然の方針変更に加え、数千人の従業員を解雇したが、その多くはプラットフォーム上での不正使用や誤報と戦う責任を負う投稿監視チームに所属していた。その結果、多くの企業がツイッター社におけるブランドの安全性と評判の将来について疑問を抱いている。

ソーシャルメディア・プラットフォームは、その善意にもかかわらず、自社のブランドや顧客について企業自らが気にかけているほど関心が高くないことを、企業が認識することが不可欠である。メタは最近、ブランドのなりすましを報告しやすくする方法を明らかにしたが、それは、あなたが望むのと同じ程度に彼らが偽装を探していることを意味するものではない。要するに、企業はオンラインでブランドを保護するために、メタやツイッターまたは、他のソーシャルメディア・プラットフォームに頼ることはできないのである。

ブランドの安全性リスク

ブランドの安全性とブランドのなりすましは、企業がソーシャルメディアとその評判に関連する、企業にとってより差し迫った懸念事項の2つである。ブランドの安全性とは結局のところ、ブランドが不快な環境や、不適切なコンテンツや論争の的になるコンテンツの近くに現れたりするのを防ぐことに集約される。

マスクがツイッター社を買収すると、大手広告代理店アイピージー・メディアブランズは顧客に対して、プラットフォームが信頼と安全計画を明確にし、それをどのように実行するかを明確にするまで広告を停止するよう指示した。ブランドの安全性に関して言えば、広告が不適切なコンテンツに近い状態で表示されないようにすることは比較的簡単である。11月にツイッターの上位広告主の半数が行ったように、プラットフォーム上での広告の掲載を停止するだけである。

しかし、ソーシャルメディア上での自社ブランドのなりすましに関しては、見て見ぬふりをするわけにはいかない。なぜなら、たとえあなたが何も悪いことをしていなくても、63%の人がばかげた行為に対して組織の責任を問うからである。ソーシャルメディア・プラットフォームが、あなたと同じ厳しさを適用することを信用するといった危険を冒すことはできないので、あなたのブランドが悪用されていないかプラットフォームを継続的に監視する必要がある。

ツイッターでのブランド検証

長年にわたり、ツイッターの青いチェックマークは、それを使用するアカウントは追加の検証を受けているため、信頼を伝えてきた。残念ながら、8ドルのツイッターブルーの購読料改定後は、誰でも自分のアカウントにその一時的な信頼マークを付けることができるようになった。その結果、世界有数のブランドとそのフォロワーが、なりすましの被害に遭った。

例えば、イーライ・リリーの偽アカウントが、製薬会社がインスリンの代金を今後請求しないと発表した。翌日、この製薬会社の株価は下落し、数十億ドルにおよぶ株式の時価総額が消えた。また別のケースでは、あるユーザーがツイッター社になりすまし(ブルーチェックと全て)、すぐに暗号通貨ウォレットの認証情報を盗むことを目的とした詐欺を始めたケースもあった。

その後、ツイッター社はツイッターブルーとツイッターブルー・フォー・ビジネスに関する検証方針の一部を明確にした。12月11日時点で、ツイッター社はなりすましを防止するための審査ステップを追加して、ツイッターブルーを再開した。この見直しは、青いチェックマークをアカウントに付与する前に電話番号の認証を要求している。さらに、90日以上経過したツイッターアカウントのみがブルーチェックマークの対象となり、プロフィール画像、表示名、Twitter @ハンドルネームを変更すると、ツイッター社がアカウントを再認証するまでブルーチェックマークが削除される。

電話番号要件は、正しい方向への第一歩に見えるかもしれない。しかし、「バイパス・ツイッター電話検証2022」を検索すると、グーグルは何百万件もの検索結果を表示する。これらの方針が、実際に決められたなりすましを阻止できるかどうかは、まだわからない。

また、ツイッター社は現在、ツイッターブルー・フォー・ビジネスのテストを行っており、企業や潜在的にはその従業員をゴールドチェックマークの対象にしようとしている。この運用は、以前からツイッター社と関係のあった企業から始まった。現在、多くの大企業のアカウントにゴールドチェックマーク(例:アマゾン、マイクロソフト、ソニーなど)が付けられていているが、他の会社のゴールドチェックマーク認証要件はまだ明らかにはされていない。

自社のブランドを保護する

ツイッターは成功の見込みのないことを試みているわけではないかもしれないが、いくつかの報告では、プラットフォーム上で人種差別、同性愛嫌悪、反ユダヤ主義のヘイトスピーチが増加していることが報告されている。貴社の広告表示が不適切なコンテンツに近づくのを防ぐため、しばらくの間、ツイッター広告を一時停止させるのが賢明かもしれない。

また、貴社あるいは貴社のマーケティング部門が、マストドン、ポストニュース、ハイブや、いずれツイッターの代替となりうる他の新しいソーシャルメディア・プラットフォームの調査を始めることも意味がある。少なくともそこに、貴社のブランドネームアカウントを請求すべきである。

さらに、企業は自社ブランドのなりすましを発見し、それを削除することで自らを保護する必要もある。詐欺師はユーザーアカウントの認証情報を盗んだり、銀行口座の情報を収集したり、決して届くことのない商品の代金を受け取ったり、ユーザーを騙して暗号通貨詐欺を行ったりしようとするかもしれない。攻撃者は貴社ブランドがツイッターで活動しているかどうかにかかわらず、一般ユーザーとの間に築いた信頼関係を悪用する機会を狙っている。貴社ブランドが悪用されないよう、ツイッターを継続的に監視する必要がある。

詐欺やなりすましのためにソーシャルメディアを手動で監視することは、困難な作業となりうる。ツイッターで機能しているプロファイルは4億5000万存在し、毎日投稿されるツイートは5億件にのぼると推定されている。ブランド保護やデジタルリスク保護のサービスプロバイダと共働している企業がある。これらの企業は、インターネット、ソーシャルメディア・プラットフォーム、モバイルアプリ市場を介して、ブランドの不正使用がないかどうかを調べるという地道な作業を自動化することができる。

結局のところ、企業はツイッター、メタ、その他のソーシャルメディア・プラットフォームがこの問題を解決するのをただ待っているわけにはいかない。リスクに対処するために積極的な措置を講ずることで、貴社ブランドが保護され、評判が確実に保たれるのである。

トピックス
サイバー、新興リスク、法的リスク、名声リスク、セキュリティ、技術


注意事項:本翻訳は“ The Rise of Brand Risk on Twitter”, Risk Management Site (https://www.rmmagazine.com/articles/article/2023/01/30/the-rise-of-brand-risk-on-twitter ) January 2023,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジョシュ・ショールはアルーアセキュリティ社CEO、Practical Oracle Securityの著者。

記事の詳細を読む

会員の方

非会員の方

SHARE

RIMS日本支部

アプリケーションパスワードを使用すると、実際のパスワードを入力しなくても XML-RPC や REST API などの非対話型システムを介した認証が可能になります。アプリケーションパスワードは簡単に取り消すことができます。サイトへの従来のログインには使用できません。