Edit

Payment Support

吾輩は猫である。名前はまだない。どこで生れたか頓と見当がつかぬ。何でも薄暗いじめじめした所でニャーニャー泣いていた事だけは記憶している。

【Web版】『Risk Management』26年5月号
2026-05-17

Risk Management

【Web特別版】

5月号

INDEX

組織の分断が最大のセキュリティ脅威となる理由

ティム・ウィリアムズ
(訳:鈴木英夫)[*]


企業の防御体制はむしろ弱体化している

 リスクサービス*)の世界市場は、2026年には5,000億ドル規模に達すると予測されている。業界はかつてないほど多くの資金を防御に投じ、膨大なデータを保有し、高度なツールを導入してきた。しかし、世界中の経営陣の間では、企業の防御体制はむしろ弱体化しているという認識が広まっている。

*)訳者注:「Risk Services」は「そもそもリスクをどう扱うか」という包括的なソリューションを指す。それには以下のような業務が含まれる。①事故を未然に防ぐための現場査定や教育。② 複雑な事故が起きた際、保険会社に対して正当な支払いを求める交渉支援。③ 過去のデータに基づき、将来の損失額を予測する数理分析。④ 自己保険(キャプティブ)の設立支援など、通常の保険以外のリスク管理手法の提案。

 現代企業にとって最大の脅威は、もはや遠い国の国家支援型ハッカーや、門前に迫る過激派だけではない。むしろ、内部から脅威が迫っているのだ。監査、サイバーセキュリティ、物理セキュリティ、人事、広報、コンプライアンスといった各部門が連携して機能しないことで生じる、組織内部の分断が、その脅威の根源となっている。

断片化の代償

 脅威が物理世界とデジタル世界を自在に行き来する現代において、企業の防御体制は依然としてアナログ的で分断されたままである。この摩擦が、しばしば業務上の失敗を招く。

 ある大手企業で最近発生した事例を紹介しよう。内部監査チームが経費不正を疑う従業員を特定した。他方で、企業セキュリティ部門は、同じ従業員が国家に知的財産(IP)を提供しているスパイである疑いがあるとして、その従業員を追跡していた。監査部門は自らの「縄張り」を守るために孤立した状態で活動していたため、セキュリティ部門に相談することなく従業員に接触した。容疑者は即座に辞職し、重要な知的財産を持ち出して国外に逃亡した。部門横断的な簡単なプロトコルがあればこのような事態は防げたはずだが、企業内の縄張り意識と効果的なコミュニケーションの欠如が、このような事態を招いてしまった。

 同様の失敗が、ある大企業で発生した。警備コスト削減を目的とした施設管理部門が、検証されていないカメラとアクセス制御システムを導入したのだ。セキュリティ戦略ではなく予算上の決定として扱われたため、意図せずネットワークのバックドアが作られてしまった。結果として、これらの機器に起因するハッキングが発生した。施設管理部門はコスト削減という目的は達成したが、その代償として会社は数百万ドルもの復旧費用を負担することになった。

亀裂の修復

 こうした内部脅威に対処するには、組織はスピードと進歩を混同するのをやめなければならない。欠陥のあるシステムにツールを追加しても、複雑さが増すだけだ。そうではなく、経営陣はセキュリティを道具毎ではなく、組織の根本的な使命そのものに根付かせる必要がある。そのためには、断片化された目標を、4つの柱に基づいた統一戦略に置き換える必要があるのだ:

1. 目標主導型の設計
 組織は、業界動向や注目度の高いセキュリティ脅威を念頭に置いて、グローバルセキュリティオペレーションセンター(SOC)を設置したり、特定のプラットフォームを購入したりすることがよくある。しかし、このアプローチは後向きである。セキュリティアーキテクチャは、目標主導型であるべきだ。

 プロセスは、組織の主要目標を特定し、根本原因分析を実施して、その目標に対する脆弱性をマッピングすることから始まる。企業の主要目標が市場投入までのスピードであれば、セキュリティは知的財産保護と研究の完全性を最優先事項とする必要があるのだ。目標がサプライチェーンのレジリエンスであれば、焦点はロジスティクスに移る。セキュリティが主要目標と調和することで、単なる受動的な障壁から、協力的なパートナーへと変貌する。

2. ROIからROVへの転換
 部門間のサイロ化が依然として続いているのは、各部門が投資収益率(ROI)指標を用いて予算を競い合っているためである。むしろ、議論の焦点を価値収益率(ROV)*)へ移さなければならない。リスクを「組織目標を阻害するあらゆる事象」と捉えることで、課題を「これにはどれだけのコストがかかるのか?」から「この目標を守ることはどれだけの価値があるのか?」へと変えよう。この視点を持つことで、各部門は自らを単なるコストセンターとみなすのではなく、企業の価値を共同で守る存在として認識するようになる。

*)訳者注:価値収益率(ROV:Return on Value)は、単なる財務的な利益(ROI)を超えて、「リスクを考慮した上で、組織がいかに持続的な価値を創出したか」を測る指標。従来の投資収益率(ROI)が「投入した資本に対していくら稼いだか」に焦点を当てるのに対し、ROVは「その利益を得るためにどれほどのリスクを冒し、その結果として企業の長期的価値(ブランド、信頼、持続可能性)がどう変化したか」を重視する。

3. AIを中枢神経系として活用する
 現在、各部門はAIを個別に導入しようと急いでいる。例えば、監査部門は不正対策、セキュリティ部門はモデリング、サイバーセキュリティ部門は異常検知といった具合である。連携がなければ、AIは分断を助長する要因となってしまう。

 システムは、AIが中枢神経系として機能し、物理的なアクセスログ、経費報告書、ネットワークアクティビティなどから同時にデータを取り込むように設計する必要がある。オープンソースのインテリジェンス監視ツールなどを使えば、これらのばらばらな要素をリアルタイムで統合できる。

 例えば、前述の内部脅威の事例では、統合されたAIベースのプラットフォームがあれば、経費とネットワークの異常を即座に関連付け、どの部門も見当外れな対応を取る前に、リスクを確定的な脅威と認識することができたであろう。

4. 人間による介入
 テクノロジーは脅威検出の速度を向上させるが、情報を分析的に理解し、意味づけする能力がなければ、これらのツールは役に立たない。組織には、AIの分析結果を検証し、背景情報を提供し、倫理的な意思決定を行うことができる、訓練を受けたオペレーターが必要なのだ。

 そのためには、最新の組織図と明確な責任体制が不可欠である。危機が発生した際、チームは部門の垣根を越えて、懸念事項をどのように伝達すべきかを正確に把握していなければならない。組織図が不明瞭であれば、対応は失敗に終わる。

リスクリーダーの復活

 テクノロジーはツールに過ぎず、真の解決策はリーダーシップである。現代の脅威の多様性は、経営幹部レベルに、部門横断的に活動できる権限を与えられた中核的な専門家、例えば企業セキュリティ担当理事やリスク管理担当上級副社長の必要性を浮き彫りにしている。

 今後、成功を収めるのは、最先端のAIや最も高価なファイアウォールを備えた組織ではない。部門間の溝を埋めた組織こそが成功を収める。現代のビジネスが直面する脅威は組織図など尊重していない。そして、防御側ももはや組織図を尊重する余裕はないのである。

トピック
リスク管理


*)注意事項:この記事は、”Why Organizational Division Is Your Greatest Security Threat,” Tim Williams | April 14, 2026, RIMS Risk Management Site: (https://www.rmmagazine.com/articles/article/2026/04/14/why-organizational-division-is-your-greatest-security-threat)をRIMS日本支部が翻訳したものであり、原文と訳文に差異がある場合には原文を優先します。
ティム・ウィリアムズはピンカートン社の副会長。
鈴木英夫はRIMS日本支部の主席研究員。

記事の詳細を読む

会員の方

非会員の方

SHARE

RIMS日本支部

アプリケーションパスワードを使用すると、実際のパスワードを入力しなくても XML-RPC や REST API などの非対話型システムを介した認証が可能になります。アプリケーションパスワードは簡単に取り消すことができます。サイトへの従来のログインには使用できません。