Edit

Payment Support

吾輩は猫である。名前はまだない。どこで生れたか頓と見当がつかぬ。何でも薄暗いじめじめした所でニャーニャー泣いていた事だけは記憶している。

『Risk Management』23年2月号
2023-03-02

Risk Management

2月号

2023年2月号表紙
INDEX

ビジネスメールでの新たな情報漏洩に対して準備する

クリス・ピアソン博士[*]


 

「CEO詐欺」としても知られるビジネスメールの情報漏洩(BEC)は、最も高額になるサイバー攻撃の1つであるが、企業は、損益計算書で処理できる、顕著な活発的脅威として、見過ごしている。

伝統的には、BECとは犯罪者が上級管理職の電子メールアカウントを奪取し、それを使って他の従業員に対してソーシャルエンジニアリング攻撃を行う高度な形態のフィッシング詐欺だとして知られている。その究極的目的は、不正な電信送金によって、金銭を盗むことである。

ランサムウェアが注目を集めているが、BEC関連の窃盗もランサムウェアと同じくらい高額になる可能性がある。IBMの情報漏洩費用レポート2022によると、「BECとフィッシング攻撃は1件あたり約490万ドルで、平均漏洩費用が最も高額であった」。FBIは2016年以降、世界中で、企業はBEC詐欺に対して430億ドル以上のコストをかけており、サイバー犯罪者が利用する最も高額になる攻撃形態の1つとなっていると報告した。

近年、BEC型攻撃が増加しているのはSMS、メッセージングアプリ、ソーシャルメディア、スラックなどのコラボレーション・プラットフォームなど、Eメール以外の通信プラットフォームに移行しているからである。一部のハッカーは、ビデオ会議プラットフォーム上でBEC戦術とディープフェイクとを組み合わせている。

今後1年間で、リスクマネージャーは新たな「ハイブリッドなBEC」攻撃が急増することを予想しなければならならず、自社のサイバーセキュリティー・プロセスをテストすることになろう。リスクマネージャーが認識すべき重要なポイントを、以下に示す。

1. これらの攻撃には、たくさんのバリエーションがある。アカウントの奪取と役員へのなりすましは、これまでBEC攻撃と定義されてきたが、これらの攻撃が標準的な定義からしばしば逸脱するほどに、リスクは複雑になっている。そのため、リスクマネージャーにとってはBECが特定の行為ではなく、概念であることを理解し、現実世界での攻撃に幅広いバリエーションがあることを予測することが重要である。

例えば、多くのBEC攻撃では、実際のアカウントのハッキングではなく、なりすましを用いている。また、幹部を完全にスキップして、下位の従業員、IT担当者、サードパーティの請負業者、ベンダー、さらには顧客のアカウントを利用することもある。仕事用のアカウントではなく、個人アカウントをターゲットにするかもしれない。加えて、金銭を盗むためには、電信送金以外の手段を用いることも多い。例えば、今日、多くのサイバー犯罪者はギフトカードの支払いを好む。なぜなら、それらは取り消しができず、追跡が困難であるからである。場合によっては、BECハッカーは金銭を求めないかもしれない。顧客情報、知的所有権、従業員の個人所得申告書などの情報を盗むために、これらと同じ戦術を用いるかもしれない。

2. BECは単なる電子メール上の脅威ではなく、通信攻撃である。BEC攻撃は電子メールだけでなく、信頼性のある通信の悪用である。これは、従業員が仕事や個人の生活で使用するコミュニケーション・チャネルが標的となることを意味している。

企業の電子メールはBECやその他タイプのフィッシング詐欺の中心的存在であったが、電子メールセキュリティの改善によって、これらの攻撃がサイバー犯罪者にとって困難になっている。ハッカーはしばしば抵抗の最も少ない通り道を探しているので、現在、多くの人の個人の電子メールアカウントや他の通信プラットフォームに対する詐欺の可能性が拡大している。SMS、メッセージングアプリ、ソーシャルメディア、テレビ会議、スラックなどのコラボレーション・プラットフォームなど、プラットフォームには、マルウェアや悪意のあるメッセージをスキャンする機能がほとんど組み込まれておらず、しばしば乗っ取られたアカウントを見抜くことができない。また、多くの企業は潜在的な攻撃に対して、プラットフォームを十分に監視しておらず、それらが盲点を作り出している。

3. モバイルメッセージ攻撃が増加している。BECの最も重要な新しい形態の1つは、大小を問わず組織を標的とした攻撃であり、2022年に蔓延したモバイルメッセージ攻撃である。モバイルBEC攻撃を利用する最も有名なサイバー犯罪グループの一つは「オクトパス」として知られている。このグループは、トゥイリオ、ドアダッシュ、メールチンプなどの有名ブランドを使って、130社以上の企業をターゲットに、これらの戦術の利用に成功してきた。

モバイルBEC攻撃では、ハッカーはワッツアップのようなSMSメッセージやメッセージング・アプリケーションを使用して、従業員に対するソーシャルエンジニアリング攻撃を実行する。最も一般的なタイプのモバイルBEC詐欺の一つは、偽のIT通知である。その場合、ハッカーがIT部門の誰かになりすまして、オフィス 365、ID管理プラットフォームやVPN、リモートアクセスなど、重要なITサービスの1つを更新あるいは認証する必要があることを従業員に通知する。ハッカーは偽のログイン・リンクを送信し、最終的には従業員のパスワードと2ファクター認証コードを盗む。こうして、サイバー犯罪者はアカウントと会社のネットワークの裏口に完全にアクセスする。

これらの攻撃は、特にSMSを使用する場合、電子メール同様、テキストメッセージが認証されていないため、検出が困難である。携帯電話会社は、VoIPや偽の電話番号などすべての電話番号が、検証なしに個人の電話にテキストメッセージを送信することを可能にしている。

4. リンクトインのフィッシング詐欺は、ますます一般的になっている。現在、BEC詐欺の別の形態では、ハッカーがソーシャルメディアを頻繁に使用して、盗まれた信任状やマルウェアによるデータ漏洩につながる可能性のある役員や主要な従業員を標的としたスピアー・フィッシング攻撃を実行している。

これは、BEC攻撃に理想的なプラットフォームを提供するリンクトインでは特によくみられる。なぜなら、ハッカーにとって、優良企業リストの保護やスパムフィルターを心配することなく、役員、人事管理者、セールス・チームに直接アプローチする簡単な方法だからである。これらの攻撃はかなり高度になり、多くのハッカーは人工知能ツールを使って「合成」顔写真を作成している。これが新しいイメージを作り出すので、オンラインでの逆画像検索では偽物として識別することはできない。ただし、それは依然として試みる価値のある安全対策である。

組織化された犯罪者は、本物のようなリンクトインのプロファイルを作成するのに時間をとり、ビジネス紹介、提案依頼書、求人、履歴の提出などの説得力のある口実を使って大規模なビジネス・コネクション・ネットワークを構築しターゲットにアプローチする。しばしば、彼らは他の経営幹部やヘッドハンター、ベンダーになりすます。

これらの攻撃のほとんどはリンクトインのダイレクト・メッセージを介して行われるが、サイバー犯罪者はワッツアップのような別のプラットフォームで被害者に会話を継続させる。リンクトインでは、メールポータルを介して送信された添付ファイルのウイルスをスキャンするが、高度なハッカーがセキュリティチェックに勝ってしまう可能性がある。

5. バーチャルななりすまし詐欺に注意する。ディープフェイク・ツール、その他の機械学習やAI技術は、BEC攻撃に新たな可能性を与えているが、まだ初期段階である。2022年、FBIはズームのようなテレビ会議プラットフォームで発生するBEC型詐欺の増加について様々な警告を発した。ディープフェイクのツールを使うことで、ハッカーは偽の会議でCEOや他の経営幹部になりすまして、会社の従業員に対するライブの「バーチャル・フィッシング」攻撃に関与することができる。また、ハッカーは、重要な企業システムや情報へのアクセスを得るために、IT担当の候補者やその他の重要な役割になりすまして、遠隔インタビュープロセスを不当に利用している。

さらに企業はオーディオ・ディープフェイクを使って役員の声を装う、BECの「ビッシング」攻撃の可能性を認識すべきである。この戦術は、サイバー犯罪者が企業から金銭や情報を盗むためにすでに利用している。例えば、2021年に判明した事例では、偽造された電子メールメッセージと偽造音声を使って、アラブ首長国連邦のある会社の従業員に会社買収の一環として金銭を要求することを信じさせて、詐欺師は3,500万ドルを盗むことができた。また、一部のサイバー犯罪者は、AIツールを使って主要な経営幹部を標的とした攻撃を開始している。例えば、2019年の事例では、攻撃者はCEOの声を正確に模倣し、子会社の最高経営責任者に電話をかけ、他の企業に資金を配信するよう説得することができた。

会社のリスクを最小化する方法

ハイブリッドBEC攻撃は従業員を操るために、信頼された取引関係と通信経路を利用するので、完全に防止することは困難である。また、デジタル通信やデジタル機器に関する仕事と私生活の境界線がますます不鮮明になってきていることで生み出される、企業のセキュリティプログラムの高まる弱性を悪用している。しかしながら、企業は重構造的防衛アプローチを実施することによって、リスクを大幅に低減することができる。それは部分的な予防策と同じものであり、侵入後の危機管理計画である。

最初の一歩としては、企業がコミュニケーションの中の盲点に対処することである。メッセージングアプリ、テキスト作成、ソーシャルメディア、ビデオ会議、コラボレーション・プラットフォームなど、電子メール以外のプラットフォームを、従業員がどのように利用するかについて厳格な方針を整備すべきである。これらのルールには、これらのプラットフォーム上で何ができて、何ができないか、(もしあれば)どのような情報を共有できるか、そして誰と通信できるかを明確に記載すべきである。決済権限、IT更新、パスワードリセット要求、文書要求などの重要なタスクには、従わなければならない所定のプロセスがあり、二重認証が義務付けられることが特に重要である。

アカウント奪取はBECハッカーにとって共通の道であるので、すべての役員と従業員は、自分の個人の電子メールアカウントのための強力でユニークなパスワードを作成する方法と、多元的な認証保護を可能にする方法について教育を受けるべきである。また、ハッカーがこれらのパスワードを盗むさまざまな方法、つまり、偽のログインページで偽装したり、ダーク・ウェブ上で古いパスワードを購入したり、ブラウザベースのアプリケーション用にセッションCookieを盗むことを理解する必要がある。

これらの予防措置に加えて、企業はBEC攻撃が成功する可能性にも備える必要がある。これは、任意のデジタルプラットフォーム上で共有される文書の暗号化を要求するなど、多くのダメージ制御手段を実装することを意味する。そうすれば、従業員のアカウントがハッキングされても、サイバー犯罪者はこれらのファイルにアクセスできなくなる。

企業がBECからの全体的なリスクを減らすために取るべき追加的な方法は、従業員のアクセス管理、請負業者/ベンダーのセキュリティ管理、旧/期限切れのユーザーアカウントの厳格なキャンセル、ネットワークのセグメンテーション、バックアップと暗号化によるデータ保護などである。

 

トピックス
サイバー、犯罪、新興リスク、セキュリティ、技術


注意事項:本翻訳は“ Preparing for New Business Email Compromise Attacks”, Risk Management, , January-February,2023, pp.4-7 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
クリス・ピアソン博士はブラックコーク社CEO兼創立者で、ペネモン研究所の名誉フェロー。10年以上にわたり、米国国土安全保障省プライバシー委員会およびサイバーセキュリティ小委員会に貢献した。

ESG関連法案はリスクプログラムにどのように影響するか

ディーン・アルムズ[*]


 

倫理的消費は持続可能性や倫理的実践を支援する企業から購入するという消費者ベースの活動の一種で、それは明らかに増加傾向にある。フォレスター社の2022年のデータによると、米国で調査対象となった成人の37%は、気候変動への懸念が購買の意思決定に影響すると回答している。また、投資家、規制当局、従業員は企業が環境保護者として行動し、従業員の安全、製品およびプロセスでコンプライアンスを優先し、優れたコーポレートガバナンスを発揮することをますます求めるようになっている。

持続可能な活動の重要性は今に始まったことではなく、1970年代に普及し始めて以来、社会的責任(CSR)プログラムをほとんどの組織が導入している。CSRプログラムでは、責任は通常、社内や地域社会の中に焦点が当てられ、これらのプログラムは人事部やマーケティング部によって管理されていた。

しかし、企業や規制当局がより広範な倫理へのアプローチにますます焦点を当てるようになるにつれて、環境、社会、ガバナンス(ESG)プログラムへの移行が進んでいる。これらのプログラムは一般的にリスクおよびコンプライアンス部門によって管理され、リスクに対する組織の責任が内部要因を超えて拡大していることが認識されている。ESGプログラムではサプライチェーンや、企業が取引するサードパーティ、代理店、その他の団体による行動に、より多くの注意が払われている。

既存のESG規制は現在、世界中で施行されている。例えば、カリフォルニア州サプライチェーン透明性法は、大規模小売業者や製造業者がサプライチェーンから奴隷や人身売買を排除するための取り組みについて、消費者に情報を開示することを義務付けている。また、国連の「ビジネスと人権に関する指導原則」は、人権を尊重し保護する国家の義務を認め、企業に適用法の遵守と人権保護を義務付けている。

また、企業が現在準備を進めているESG指令の中のリストも増えている。これには、最近可決されたウイグル強制労働防止法が含まれる。同法は、中国の新疆ウイグル自治区から原材料や製品を輸入する企業に対して、その製品が強制労働によって生産されていないことを保証するために十分なデューデリジェンスを実施することを義務付けている。

ドイツでは、「サプライチェーン・デューデリジェンス法」により、企業はサプライチェーン上のすべてのパートナーの行動に対して責任を持つことが義務付けられた。1月1日に施行されたこの法律は、奴隷労働の問題だけでなく、より多くのESG領域をカバーしている。ビジネス慣行での法律上の強制的な変更、情報開示、報告手段など、多くのコンプライアンス要件が存在する。コンプライアンスに違反した場合、40万ユーロから80万ユーロ、または企業の年間売上高の最大2%の罰金が科される可能性がある。同法は企業に対して、以下のような多くの重要な義務を果たすことを課している。

  • 人権リスク、環境リスク、直接的な取引先のリスクを分析するリスクマネジメントシステムの構築。
  • サプライチェーンにおけるリスクマネジメントを監視する社内人権担当者の選任。
  • 年1回以上の定期的なリスク分析、および必要に応じて行う臨時のリスク分析。
  • 法案要件を満たす方法、人権・環境リスクに対する優先事項、従業員やサプライヤーへの期待などをまとめた人権方針の採用。
  • 調達・購買活動の実施、研修の実施、コンプライアンス状況を検証するための管理手段の確立による、組織および直接のサプライヤーに対する予防措置の確立。
  • 保護された法的地位が侵害された場合の是正措置の強化。
  • 自社および直接の取引先の人権侵害を通報できるようにするための、人権侵害を通報するための苦情処理窓口の設置。
  • 不祥事が発生した場合の、間接的なサプライヤーリスクに対するデューデリジェンス措置 。
  • デューデリジェンス義務について、毎年公開する文書作成と報告の手順。

このようなガバナンスへの注目の高まりは他の国々でも採用されており、グローバルなバリューチェーンを通じて人権や環境への配慮に関して責任ある企業行動を促進することを目的とした、最近の欧州委員会の提案による「企業の持続可能性デューデリジェンスに関する指令」の一部にもなっている。しかし、ドイツのデューデリジェンス法の詳細に見られるように、多くの新しい規制は単なる報告義務を求めるものではない。むしろ、デューデリジェンスに対して適切なリスクベースのアプローチを実施して問題に対処するのか、それとも罰則を受けるかを組織に迫ることになる。

組織は、他の考慮事項についても検討する必要がある。これらの新しいESG法令・指針の多くは、その地域に本社を置く企業だけでなく、そこで事業を営む企業やサードパーティとしての企業にも影響を及ぼしていて、グローバルな含意を持っている。

これらの規制には効力がある。例えば、EUの新しいESG規制は、人権侵害の被害者に対してEU企業を裁判にかける権利を与え、企業による改善提案は、利害関係者が裁判所に民事訴訟を起こすことを妨げることができないと定めている。

さらに、広範なデューデリジェンスと、すべての活動の初期からのそして継続的なモニタリングは、すでに現れつつある多くの新しいESG関連規制の重要な要素となっている。効果的なサードパーティ・リスクマネジメント(TPRM)プログラムを持つことは、直接的なサードパーティやサプライチェーン上での他の事業体のESGリスクを評価、監視、軽減するために必要不可欠となる。企業は、これらの複雑な要因を効率的な記録計画に落とし込み、ESGプログラムに対する組織の準備態勢を評価するための戦略的な整合的フレームワークを開発しなければならない。このフレームワークには、以下が含まれる。

  • ESG憲章を制定する:各企業のリスク優先順位とニーズは異なるが、製造、流通、サプライチェーンに関して特別な検討項目を用意している業種もある。貴社のESGプログラムでは、現在のリスクプロファイルに関して目的、事業目標、範囲、サードパーティを設定し、サードパーティをどのように活用し、管理するのか、そしてどのESG規制を順守しなければならないかを明確に定めた憲章を制定することから始めるべきである。
  • ESGロードマップを作成する:貴社のESGプログラムマップは、明確な出発点を提供し、継続的なチェックポイントを伴うリスク優先事項に対する実施段階を概説するものである。この計画により、企業はESGプログラム全体の進捗状況をよりよく可視化し、追跡することができるようになる。
  • 組織的な整合性を確保する:成功するESG プログラムは部署単位別で作成され、実施されるものではない。有意義で効果的なプログラムには、ガバナンスとコンプライアンス要件を確実に満たすために、社内での部門横断的な連携とサードパーティとの強力な関係が必要となる。プログラムを遂行するために、調達、IT、コンプライアンス、法務、人事の各部署を横断して必要とされる役割と責任を明確にすることは、企業のコミットメントを確実にするESG文化の構築にとっては不可欠である。その真摯な姿勢は、将来、実を結ぶことになる。
  • ソリューションのための設計図を作成する:特定化されたリスク領域のコンプライアンス要件を導入し、それを充足することの一環として、検討すべき要因は多くある。特定リスク領域に関する利害関係者(社内外)、機能遂行、技術、統合をマッピングすることは、それを実現するために必要となるビジネスプロセスに対して情報を与え、定義を与えることになる。

トピックス
コンプライアンス、新興リスク、国際、規制、リスク評価、リスクマネジメント、サプライチェーン


注意事項:本翻訳は“How ESG Legislation Will Shape Risk Programs ”, Risk Management, , January-February 2023, pp.8-9 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ディーン・アルムズはアラヴォ社製品物責任担当取締役。

ESGと気候リスクの現状を舵取りする

ピーター・プロチャン[*]


近年、世界中の金融機関は、政府や規制当局、さらには顧客から環境・社会・ガバナンス(ESG)および持続可能性活動の強化に向けた圧力に直面している。規制の世界では、気候リスクが中心的なテーマとなっており、銀行や保険会社はかつてないほど気候関連の財務リスクを精査し、計画することを余儀なくされている。

ESGの「E」は、物理的および推移する気候変動リスクに焦点を当てた環境であり、金融機関の経営陣にとって最も大きな頭痛の種となっている。銀行家や投資家がESGや気候リスクのプロセスを正式に決定すると、これらの要件や期待は彼らの顧客にまで降りていく。

このような背景から、政府や規制当局が、非金融企業が気候リスクにどのように対処しているかについて同様の視点を持ち始めていることは、なんら驚くことではない。実際、世界中の政策立案者が、様々な業種の企業に対して、様々な報告制度を導入している。例えば、昨年、米国証券取引委員会(SEC)は、以前から予想されていた気候関連リスク開示規則を発表した。この提案は、上場企業に対し、SECへの提出書類において気候関連情報を幅広く開示するよう義務付けるものである。

世界の他の地域では、欧州連合の企業持続可能性報告指令(CSRD)が2024年から5万社を超える企業に影響を与えることになる。英国は、より広範な持続可能性開示要求の枠組みの一部として、大企業1,300社以上に対して気候関連財務情報開示の義務付けを導入している。その他の例としては、シンガポール証券取引所(SGX)持続可能性報告ガイドやIFRS財団の持続可能性開示基準がある。

このような新しいガイドラインや義務に直面して、あらゆる分野の企業は、より標準化され監査可能な方法で、より多くの持続可能性とESGデータを収集、分析、処理、開示する必要がある。重要な検討すべき事柄には、以下が含まれる。

  • 排出量。炭素と温室効果ガス(GHG)排出量の報告は、もはや任意ではない。企業は、上流(例:製品の販売、使用、廃棄)と下流(例:サプライチェーン)の両方の価値連鎖全体をカバーする直接および間接排出量を算定する必要がある。企業は、世界資源研究所と持続可能な開発のための世界経済人会議によって開発された温室効果ガスプロトコルのような、確立された炭素とGHGの算定枠組みに従って、新しい情報を収集し、新しいプロセスを確立し、新しい計算を実行しなければならない。
  • 二重のマテリアリティ。従来の企業の社会的責任(CSR)アプローチは、企業が環境に与える影響だけでなく、環境が企業に与える影響もカバーするダブルマテリアリティ評価を含むように、大幅に拡大される必要がある。つまり、企業は自社の事業や活動に影響を与えるESGや気候変動リスクを報告しなければならない。
  • 将来を見据えた視点と戦略。新しい報告分野には、将来を見据えた要素が含まれている。企業の将来の排出量はどのように変化しそうか。気候の悪化は企業にどのような影響を与えるか。その影響を軽減するために、企業はどのような戦略をとるのか。
  • 正味ゼロとパリ協定との整合性。一部の枠組みでは、将来を見据えた要件をさらに押し進め、企業活動の脱炭素化に関する戦略や、2050年までに二酸化炭素排出量を正味ゼロにするための計画を開示するよう求めている。スタンダードチャータード銀行によると、トップ企業の52%が正味ゼロへの移行はこれまでで最も費用のかかるプロジェクトであり、機関投資家の61%がパリ協定に沿った移行戦略が明確でない企業には投資しないとしている。
  • 標準化。企業の持続可能性とESGリスク遭遇可能性とを比較し、持続可能性とESGの投資基準、リスク取得意欲、戦略においてどの企業が最も適しているかを決定することが、投資家にとってますます必要となっている。これらの報告書の比較可能性と透明性を向上させるためには、新しい報告構造と様式が必要となる。
  • 監査可能性。新しい報告の枠組みの多くは、このような新しい情報のすべてを、取締役会と外部監査人の承認を得て、年次経営報告書に含めることを要求している。企業は、この分野における活動の監査可能性を向上させるとともに、基礎となる手法が適切に管理され、それを支えるインフラが健全で、透明性と信頼性があることを保証しなければならない。
新たなフレームワークとガイダンス

すでにいくつかの業界のベストプラクティスがあり、これらの新たなフレームワークの下で何が期待されるのについてのアイデアを理解することができる。その一例が、”気候関連財務情報開示に関するタスクフォース(TCFD)”の枠組みである。

TCFDは当初、自主的な気候報告のフレームワークであった。企業は、気候報告書作成のためにこれを採用することが多くなり、政策立案者は、持続可能性、ESG、気候報告のフレームワークを設計するためにこれを利用してきた。その結果、気候報告の事実上の業界標準となりつつあり、すでに一部の国では義務化されている。

特に、TCFDフレームワークの気候関連財務情報開示の中核となる要素は、気候リスクの管理と測定に重点をおいている。既存の報告フレームワークの変更は、これらの重要な分野に影響を与えることになる。

気候(ESG)リスクマネジメント。悪天候などの物理的リスクや、ガソリン車の新車販売中止の影響などの移行リスクに対するリスク遭遇可能性を適切に特定・評価するために、非金融企業は既存の企業・業務リスクマネジメントプロセスを強化しなければならない。

この未知の領域をマッピングするには新しいデータ、新しい技能、新しい能力が必要となる。また、現在および将来のリスクに対する企業のビジネスモデルの感応度を適切に理解するためには、リスク、ビジネス、戦略チーム間の緊密な協力が必要である。

TCFDの「指標、目標、移行計画に関するガイダンス」は、使用する指標とその計算方法、報告方法について広範な詳細を提供している。企業は、対応するリスクに対処するための移行計画や適応計画を作成するために、この分析を用いるべきである。

シナリオ分析および正味ゼロ計画。TCFDは、企業の将来のパフォーマンスについて、代替シナリオや戦略リスクの影響を評価するために、将来を見据えた指標や計算に対して特別な注意を払っている。これは、非金融企業にとって頭痛の種となるであろう。なぜなら、彼らの現在の事業および財務計画プロセスは、金融機関と同様に規制によるストレステストやシナリオ分析にさらされてこなかったからである。

実際、TCFDは2021年の現状報告で、非金融企業が最も改善すべき分野の一つとして、戦略での回復力の開示を挙げているが、TCFDに沿った情報を開示していると分析した企業は20%に過ぎない。この報告書では、企業は、様々な気候シナリオを考慮した上で、気候リスクに対する自社による戦略の回復力について説明するよう求められている。これは多くの企業にとって全く新しい領域であるが、TCFDは企業での開始を支援するために、「非金融企業のシナリオ分析に関するガイダンス」を発行している。

多くの代替的なビジネスモデルは、企業が正味ゼロ目標を達成するのを助けることができるが、それぞれの代替案は異なるリスク・リターンとコスト特性を持つ。課題は、企業の正味ゼロ二酸化炭素排出量を促進するために、多様なシナリオの下で、最もリスクが低く最もリターンが高い最適な戦略と製品構成を見出すことにある。

シナリオ分析は気候リスクだけに使われるものではない。これは、金融機関では何十年も前から使われている、確立された強力なリスクマネジメントとビジネスプランニングのツールである。COVID-19のパンデミックや世界的な地政学的危機は、非金融企業にとってもより関連性の深いものとなっている。シナリオ分析は、変動しやすい不安定な環境が企業の経営や収益に与える将来の影響を評価するための理想的なツールであり、最適な道筋を模索するのに役立つ。

リスクの理解

ESG、気候リスク、持続可能性に関する情報開示に関する新たな波は、企業の能力を大幅に向上させることを要求している。企業は監査可能な形式で必要な情報と対策を作成する必要があり、同時に、事業が直面している気候変動の脅威を特定し、最適なリスク軽減戦略を特定し、実施する能力を強化する必要がある。

企業が持続可能性と気候リスクに対処するための新しい能力に投資することで、気候関連事象の影響をより的確に予測できるようになるだろう。さらに重要なことは、企業が現在および将来のリスク状況の不確実性を見極める際に、適切な選択肢を採用する立場をとることである。結局のところ、危機的状況に対処するための第一歩は、目前の危機的状況とそれが事業に与える影響をよりよく理解することである。

トピックス
気候変動、コンプライアンス、新興リスク、環境リスク、国際的、自然災害、規制、リスク評価、リスクマネジメント、サプライチェーン


注意事項:本翻訳は“Navigating the ESG and Climate Risk Landscape ”, Risk Management, , January-February 2023, pp.12-13  をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ピーター・プロチャンは、SASインスティテュートEMEA主任兼リスク・ファイナンス専門家。気候リスク、金融・リスク規制、全社的リスクマネジメント、リスク分析に関する課題に取り組む機関を支援している。

電力を完全に確保する:企業はエネルギーコストの上昇リスクをどのように軽減するのか

ニール・ホッジ[*]


 

昨年までほとんどの企業では、エネルギー料金は単に事業を行うためのコストであり、そのコストは比較的安いと考えていた。エネルギー使用量の削減や再生可能エネルギー源への移行は、長期的な持続可能性推進の一部であったかもしれなかったが、早急に移行しなければならないと考える企業はほとんどなかった。しかし、ロシアによるウクライナ侵攻後、ロシアが欧州のガス供給を停止したことで状況は一変した。

2022年3月以前、EUはロシアから天然ガスのおよそ40%を輸入しており、ドイツが最大の輸入国であった。現在、この供給は停止しており、2023年と2024年に供給されるヨーロッパのガス価格は2倍以上になっており、そのコストは高水準で推移すると予想されている。

企業は緊張感を抱いて迅速に適応せざるを得ず、しばしばその過程で損失を被ることも少なくない。ドイツのビスコースの繊維メーカーで、消費財大手のP&G社に供給しているケルハイム・ファイバーズ社は、冬の打撃を受ける前に工場の生産量を2回減産した。ガスから暖房用石油に切り替え、水素への転換を検討しているほか、将来のエネルギー需要に対応するために2メガワットの太陽光発電所を設置することも検討している。タタケミカルズ社は、以前は5カ年計画で操業していたが、欧州のエネルギーや材料調達の問題から、昨年は四半期ベース計画で操業を開始した。一方、ルクセンブルグに本拠を置く鉄鋼メーカーのアルセロールミタル社は、ガソリン価格がはるかに安く安定しているテキサス州の工場で、予想を上回る業績をあげたことを受けて、ドイツの2つの工場で減産する計画である。フォルクスワーゲン社は米国での事業拡大を進めているほか、自動車メーカーのテスラ社はドイツでの電池生産計画を一時停止した。英国では、経済団体メイクUKが調査した製造業の内8社に1社が、エネルギー費用の増加の直接的な結果として2022年に人員削減を実施しなければならなかった。また、拠点の閉鎖を検討している企業もあった。

欧州の状況は、重要かつ安定した市場でさえエネルギー供給が途絶えた結果、業務コストとリスクをあらゆる場所の企業に増大させたという具合である。こうしたエネルギー不足は、生産の減速、他国へのシフト、あるいは完全な停止を余儀なくさせるかもしれない。また、顧客が他の市場のサプライヤーから製品やサービスを調達する可能性もある。さらに、エネルギーの途絶はますます頻繁に起こり、そして潜在的に重要なリスクとなる可能性が高い。電力エネルギー生産の需要は2035年までに倍増すると見込まれ、電力価格の高騰、供給不足、停電をとなるかもしれない。

エネルギーコストが高くなると、法的リスクが生じる可能性も高くなる。生産や出荷の遅れは、顧客やサプライヤーからの契約違反の賠償請求を引き起こさせるだけでなく、エネルギー価格の上昇やサプライチェーンの混乱が事業に与える財務上の影響を市場や規制当局に伝えなかったとして、経営陣が個人的に責任を負うリスクもある。法律事務所ペニントンズ・マンチェス・クーパーのパートナー、ジョン・ザドコビッチは、「エネルギー価格の高騰が企業に与える影響は重大である。特に、そこでは、現地の法律や上場規則によって支払不能の間には企業に取引させなかったり、市場が企業の真の財務状態について誤解したりしないようにする」と述べている。

単純な解決策を探索する

企業は短期的なエネルギーリスクの影響と、長期的にエネルギーの回復力を高める方法の両方を再検討する必要がある。幸いなことに、専門家は現在のエネルギー利用と支出の削減が、ほとんど費用と労力をかけずに迅速に行うことができるといっている。自社のエネルギー診断を実施し、自社がどれだけのエネルギーを使用しているか、最もエネルギー利用の高い部分がどこにあるか、どのような機械や設備が重要ではなく、電源を切ることができるかを知ることが重要である。

ほとんどのエネルギー供給者はビジネスとして測定サービスを(様々な価格で)提供していて、この評価を活用することによってエネルギーを大量に消費するプロセスやシステムを即座に理解することができる。また、エネルギー使用量をリアルタイムで報告する新しいIoT対応技術を使うことで、一部のプロセスがどれだけエネルギーを大量に消費しているかを自社で評価できる企業もある。エネルギーがどのように使われているか理解すれば、企業は業務の効率性を検討することができる。実際、どれだけのエネルギーを浪費しているかに驚かされるかもしれない。

例えば、サステナビリティ・コンサルティング会社プラネット・マーク社の最高執行責任者スコット・アームストロングは、数年前にホテルグループの施設内のエネルギー診断を実施した。彼は厨房で午前4時から6時の間、つまり朝食の準備が始まる約2時間前にエネルギー消費が急増したことに気づいた。調理師は夜勤の清掃員に、オーブンが午前6時に仕事を始めたときにすでに適温になるように、すべての器具を早く入れるように頼んでいた。その代わりに、夜間清掃員はベーコン・サンドイッチを無料で手に入れていた一方で、ホテルは年間2万ポンドの追加エネルギー料金の請求書を受け取っていた。「エネルギー管理に対する業務上の影響は、収益に大きな影響を与える可能性がある」と同氏はいう。

こうしたチェックによって、簡単な解決策を提供することができる。エンジニアリング会社ABB社のモーション・サービスの社長エイドリアン・ガッギスバーグは、エネルギー消費量の削減によるコスト削減を即座に実現するために、企業にとっては抜本的な改革や新技術への大規模投資の必要のない格安な方法がたくさんあるという。ガッギスバーグは、ほとんどの企業が行動や設備の改善によって、エネルギー消費量を20%から30%削減できると考えている。例えば、産業界がより効率的なモーターを使用すれば、世界の電気エネルギー生産量の約10%を節約することができる。

単純で効果的なエネルギー効率対策には、人感・昼光センサーを備えたLED照明や、適切に断熱された屋根や壁を使用することなども含まれる。これらの対策によって電気代を半分に減らすことができる。工場では、廃熱を他のプロセスの動力に再利用する方法を検討することができる。また、工場のレイアウトが悪い場合には、基本的な作業に要する時間も増え(生産コストを増加させる)、暖房コストも高くなるために、機械を近くに移動させる価値があるかどうかも検討することもできるだろう。

ガッギスバーグは、「エネルギー使用量が最も多いデータを見れば、どこを削減できるかがわかる」という。「多くの企業は、工場やオフィスの気温が常に一定でなければならないと考えている。そうではなく、大きく変動させてはいけないのである。同様に、使用していない場合は、機器・装置の電源を切って、電力使用量を削減しなければならない。良好な結果を得るためには、高額な変更を行う必要はない。」という。

企業は既存の設備を使ってコストを削減する方法を見つけるまで、エネルギー効率のよい新しい設備に多額の投資をすべきではない。彼は、「古い装置を新しいIoTベースの技術に置き換えながらも、同じように仕事を続けるならば意味がない」という。「もっと利口になって運用しなければならない。多くの企業は、エネルギー利用のどこが最も高額なのかさえ知らないままである。なぜなら、これまででは、注意を払うべきエネルギー料金は、単に事業を行うためのコストにすぎないからである。しかし、エネルギー価格が急騰している今、企業はエネルギー効率を高める必要がある。新しい設備に投資したいかもしれないが、業務プロセスやエネルギーの使い方を見直せば、当面大幅な節約になるだろう。企業は、自社がエネルギーをどのように利用しているか、また、どのようにエネルギーをより効率的に利用できるかを理解した上で、新技術やその他の設備に多額の投資を行うことを検討すべきである」。

全社の効率性を向上させる

イギリスのアルスターバンク社製造・建設部門長ローラ・カッパーは、小規模な目先の変化が大きな成果をもたらす可能性があり、企業はエネルギーと燃料価格の上昇を、「エネルギー効率や持続可能な代替案を検討し、ビジネスコストを管理すると同時に、排出量や二酸化炭素排出量を削減する」きっかけとみなすべきであるという。

彼女は、企業は「エネルギー効率」だけでなく「材料効率」も追求すべきで、そのためには、企業は、より安価な材料コストを交渉できるか、あるいは同じような材料を安価で調達できるかを検討すべきであると考えている。製品によっては、材料の削減や材料の少ない新製品の設計、製品の機能の一部を省くことも、製造コストやエネルギーコストの削減につながるからである。材料の再利用も選択肢の一つである。

材料や在庫のレベルを低く抑えることが、コスト削減につながるかもしれない。また既製の材料を購入することで現場での生産コストやエネルギー使用量を削減するのに役立つかもしれないと、彼女はいう。また、過剰生産を防止し、製品在庫を最小限に抑え、完成品をできるだけ早く社外に出荷することで、保管コストを削減し販売を迅速化することにもつながる。

その過程では企業文化は、重要な役割を果たすことになる。「チームメンバーには、なぜ、より効率的である必要があるのかを理解してもらい、エネルギー、材料、時間を節約するアイデアを提案するよう促すようにする」とカッパーはいう。重点分野と目標を設定し、変化がもたらす利益を示し、成功を認識して祝うことでチームの関与を促す強力な方法となる。エネルギー消費量を削減する目標を設定することも、従業員を積極的に関与させる方法の一つである。

その他の対策としては、エネルギーの「ヘッジ」戦略の策定が含まれる。エネルギー調達コンサルタント会社4Cアソシエーツ社トップのロブ・モーガンは、「価格急騰や供給減から企業を守るために、エネルギーやその他の潜在的に影響を受ける商品の事前契約を検討すべきである」という。また、将来のエネルギー価格高騰をヘッジするために、商品先物を利用することも選択肢の一つである。ただし、これには、使用する道具の詳細な理解とモニタリングが必要である。

クリーンエネルギーのスクイーキー社取締役クリス・ボーデンによると、企業は、自社の電力購入契約(CPPA)を利用することを検討できるという。CPPAは、エネルギー購入者と発電事業者の間で、合意された価格で再生可能エネルギーを売買する長期契約(通常は10年から15年間)である。これは、企業が卸売市場価格を下回る価格でエネルギーを購入し、クリーンエネルギーの長期供給を固定するのに役立つ。CPPAはまた、企業が自らのエネルギー供給を追跡し、その環境への影響を検証し、サプライチェーン(スコープ3)の間接排出量を削減し、ネットゼロへの道を加速させるのに役立つ。

長期的にみる

将来のエネルギーリスクを軽減する長期的取組みの一部として、企業はリスク登録簿を見直し、潜在的なエネルギー・ショックにさらされる可能性を確認すべきである。そのためには、危機管理計画を更新し、エネルギー算出地域や鉱物資源の豊富な地域における地政学的な状況について情報を収集し続けなければならない。特にエネルギー集約型企業では、石油、ガス、電力の価格を厳密に追跡し、自社の危険性、リスク取得意欲、市場ポジションに沿った戦略を追求すべきである。一般的には、企業はエネルギー不足が主要な顧客やサプライヤーに及ぼす潜在的な直接的・間接的影響をよく理解するために、取っている措置を見直すべきである。また、価格上昇条項を利用して価格を顧客に転嫁したり、販売が合意された時点でエネルギーを直接調達したりすることも考えられる。

さらに、企業はエネルギーリスクが自社の戦略や損益に与える潜在的な影響について検討し、それに対応して自社の目標をどのように適応させる必要があるかを検討する必要がある。また、企業は自社の事業、戦略、財務がエネルギーリスクによってどのような影響を受けたかを、利害関係者(規制当局を含む)に知らせるために、自社のIR、コミュニケーション、政策チームをどのように活用できるかを考えるべきである。

また、企業はリスクマネジメントチームとリスクモニタリングチームを組織横断的に結び付け、将来のエネルギー需要に影響を与える可能性のあるリスクシナリオとして見たとき、エネルギーリスクがどのようになるのかを理解するために、異なる部門・職能がエネルギーリスクを議論できる場を設けるべきである。同様に、KPMGの事業変革のエネルギー担当主任パートナーのアル・アデデヨによると、「第1次と第2次サプライヤーとともに、主要顧客には信頼と透明性を高めて関わり、彼らに影響を与える問題、そしてその後に同様に自社に影響を与えるような問題が発生するかもしれないといった警告を早期に出すよう奨励すべきである」という。

エネルギー・レジリエンスを確保するためにアル・アデデヨは、企業に対してサプライチェーンのレジリエンス指標(在庫など)の見直しの頻度と程度を高めることに注力し、さまざまなエネルギー供給シナリオの下で重要なサプライチェーンをストレステストするよう提言する。また、停電や制限の際に供給が途絶えないように、優先顧客向けの完成品在庫を準備するとともに、混乱時に実行可能な顧客向けのコミュニケーション計画を策定するよう提案もしている。

コンサルタント会社マッキンゼー社によれば、エネルギーコストの高騰を緩和する最も重要な中長期的機会は、エネルギー多消費型のユーザーがすでに導入している計画から得られるという。例えば、ほとんどの大企業は、エネルギー消費を今後10年間で約50%削減することなど非炭素化戦略を採用しているのが一般的である。持続可能性ルールがあるため、これはヨーロッパに特に当てはまる。これらの変更の大部分を2〜3年後に実施することは、現在期待されている価格上昇を軽減するだけでなく、真の競争優位を生み出すことができるという。成功を妨げている主な障壁は、技術的なものでも財政的なものでもなく、組織的なものである。その結果、ほとんどの業界のほとんどの企業は、こうした取り組みに従い、それを採用することができるはずであると。

エネルギー・レジリエンスを向上させる

最終的には、再生可能エネルギーからの調達だけでなく、エネルギー自体の生成や再利用も検討する必要がある。風力発電と太陽光発電は、企業が自力で発電している最も多いエネルギー形態であり、その普及と管理がますます進んでいる。たとえば、スウェーデンの家具メーカー、イケア社は、店舗や倉庫の屋根に93万5,000枚のソーラーパネルを設置している。その他の可能性としては、マイクロ水力発電システムの設置、木材丸太、チップ、樹皮、おがくずからのバイオマスエネルギーの利用などがある。しかし、これらのオプションは、一部の企業の手の届かない設備投資を必要とする場合もある。

それにもかかわらず、初期投資を上回る報酬を得られるかもしれない。エネルギー料金の引き下げとは別に、再生可能エネルギーに移行して敷地内で発電することには、いくつかの利点がある。第一に、エネルギーコストと供給量が予測可能になることである。石油、天然ガス価格の変動や地政学的な不安定さに左右されなくなるため、企業はそのコストと供給量を予測することができるようになる。第二に、停電によって事業活動が中断されなくなり、事業継続性が改善されることである。第三に、グリーン化によってブランド・イメージを向上させることができ、競争優位性を構築することができることである。最後に、再生可能エネルギーへの転換は、企業が余剰な風力や太陽エネルギーを利益のために送電網に販売することによって、追加的な収入を生み出す可能性がある。

専門家は、すべての企業がエネルギー・リスクマネジメントとエネルギー・レジリエンスに向けて動き始めなければならず、企業はこれらの取り組みを持続可能性プログラムに組み込むべきであると考えている。すでに動き出している企業もある。例えば、メルセデス・ベンツ社は、欧州のガス危機が再生可能エネルギーへの進出を促す契機になると述べている。最終的にはドイツ全土で電力需要の15%以上を供給する施設内風力発電所の建設を発表し、さらに容量の25%を追加するバルト海の風力エネルギー施設の利用にも署名した。しかし、ほとんどの場合、「企業がリスクを認識してから対応するまでには、依然としてタイムラグがある」とガッギスバーグはいう。「現在のエネルギー・リスクマネジメントは、主に持続可能性によってでは、脅威によって推進されている」という。

ロシア・ウクライナ危機が依然として続いている中、ガバナンス、リスク、コンプライアンス・ソリューション・プロバイダー社グローバル部門長スカイラー・チーは、企業がエネルギー自立の問題をより真剣に検討し、オンショアリングや「フレンドシェアリング(政治的に友好的で安定した国からの物品、資材、サービスを調達する意味)」のような代替案を検討する必要があるという。

「米国企業はエネルギーの長期的な独立性を検討するよりも、エネルギーリスクの軽減と価格の変動性に重点を置いている」と、同氏はいう。「彼らはエネルギーリスクを長期的な持続可能性の問題としてではなく、コストの問題と捉えている。ロシアとウクライナの状況は、企業が直接的にも間接的にも、海外のエネルギー供給に依存していることの警告となるはずである。たとえ企業がロシアのガスに依存している国に本拠を置いていなくても、供給源をロシアに依存していることは間違いないのである」という。

トピックス
事業中断、気候変動、コンプライアンス、新興リスク、エネルギー、国際、リスク評価、リスクマネジメント、サプライチェーン


注意事項:本翻訳は“Powering Through: How Companies Can Mitigate the Risks of Rising Energy Costs ”, Risk Management, , January-February 2023, pp.18-22 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ニール・ホッジは英国を拠点とするフリーランスのジャーナリスト兼写真家。

記事の詳細を読む

会員の方

非会員の方

SHARE

RIMS日本支部

アプリケーションパスワードを使用すると、実際のパスワードを入力しなくても XML-RPC や REST API などの非対話型システムを介した認証が可能になります。アプリケーションパスワードは簡単に取り消すことができます。サイトへの従来のログインには使用できません。