Edit

Payment Support

吾輩は猫である。名前はまだない。どこで生れたか頓と見当がつかぬ。何でも薄暗いじめじめした所でニャーニャー泣いていた事だけは記憶している。

【Web特別版】『Risk Management』22年 12月号
2023-02-01

Risk Management

【Web特別版】

12月号

Web特別版9月号表紙
INDEX

【Web特別版】統合的リスクマネジメント戦略を開始するための4つのステップ

メリッサ・コホー[*]


 

近年、多くの企業が、リモートワーカーやハイブリッドワーカーのニーズによりよく対応し、管理体制を維持するために、大規模なデジタル変革に取り組んでいる。しかし、このような分散した労働力は、データ損失から、コンプライアンス問題、セキュリティ意識と研修の欠如に至るまで、リスクを増大させる。そのため、企業は、従業員と外部パートナーの両方を包括的に捉えるデジタル・リスクマネジメント戦略を必要としている。

これらのリスクをより良く把握するために、企業は最も重要なリスク遭遇可能性のほぼリアルタイムでの観察をもたらす、統合的リスクマネジメント(IRM)戦略に目を向けている。このデータを利用することで、組織は自らの事業に最も影響力のある資金調達と政策の実施を指示することができる。あなたの組織が独自のIRM取組みを開始するときには、以下の4つの分野に焦点を当てる必要がある。

1. 資産を理解する

自分たちが所有していることを知らないものを守ることはできない。組織内の各チームは、物理的なものであれデジタル資産であれ、多様な資産を把握しておくべきである。

分散型労働力活用でよく見られる資産にはノートパソコン、スマートフォン、社用車などがある。また、社外にも考慮すべき領域がある。例えば、商品を配送するためパートナー企業と協力する場合、そのサプライチェーンは資産となる。

企業や消費者の情報も資産であり、消費者はこれまで以上にプライバシーを重視する時代になっている。大手ハイテク企業も注目している。アップルはiOSの将来のアップデートで、各アプリケーションがアクセスできるデータをユーザーが選択できるようにする。グーグルは来年からクロームからトラッキングクッキーを排除する予定であり、フェイスブックは特定のトピックスに対するトラッキングオプションを削除する。

また、クレジットカード情報、社会保障番号、医療データなど、機密情報を保護する必要がある。IRM戦略を構築する際には、自社の資産の全体像を把握することを通して、リスクがより大きい領域をより明確にすることができるため、成功のための準備が整う。

2. 経営陣からの了承を得たIRMチームを結成する

ガートナー社は、IRMは「リスクを認識する文化やそれを可能にする技術に支えられた一連の実践とプロセスであり、組織が独自のリスクをどのようにうまく管理しているかを統合的な観点から見ることで、意思決定やパフォーマンスを改善する」と指摘している。

その定義の中に、「リスクを意識する文化」というキーワードがある。戦略、戦術、技術の見直しを行う専門チームがなければ、IRMの取り組みは軌道に乗る前に失敗してしまうだろう。

このチームには、リスクとコンプライアンスの担当者を含めるべきだが、第三者であるベンダー、サプライヤー、パートナーを管理できる人材も必要である。IRMは大規模な事業であるため、優れたプロジェクト・マネージャーもチームにとって有益な存在である。

おそらく、参加させるときの最も重要な人物は、経営陣の意思決定者である。彼らは最終的決定権を持っていることが多い。彼らはIRMの利点、すなわち、リスクを適切に特定し、セキュリティの脆弱性を修正し、好ましい結果につながる意思決定を下すことによって、長期的に企業の資金を蓄積(または獲得)するのにどのように役立つかを理解する必要がある。

3. リスクマネジメントを組織全体に浸透させる

統合的リスクマネジメントは、関与する人の数と計画の量において、従来のリスクマネジメント計画より包括的である。しかし、組織が焦点を当てるべき重点領域はまだいくつかある。

リスクマネジメントは組織の全レベルに浸透していなければならない。従来のコンプライアンス型プログラムから脱却し、3つの防衛ラインすべてにわたってリスクを統合することに重点を置く。

つまり、経営者や管理職は規制や基準に定期的に取り組んでいる現場の人々と同じように、リスクに対する洞察力を持つべきである。そして、内部・外部の監査人は、双方のグループが何をしているかを容易に確認できるようにしなければならない。これらの防衛線を組み合わせれば、従業員がより高い自律性と機動性を持ち、円滑に運営される組織になる。

リスクマネジメントの考え方を組織文化やアイデンティティに組み込むことは、このプロセスを改善するのに役立つ。効率を高めるために新しいツールを導入するか、チーム全体でセキュリティのベストプラクティスをゲーム化してみよう。リスクを克服しようとするときに、少し健全な競争を導入することは害にはならないはずである。

4. 時間をかけてIRM戦略を報告し、成長させる

IRM 戦略は、単に導入すれば、それで忘れていいといったものではない。新たなリスクは常に発生する。それは、新たな世界的なパンデミックかもしれないし、新しいテクノロジーによる独自の脅威、あるいは世界的に影響を及ぼす政治的リスクかもしれない。さらに、プライバシーと業務上の回復力をめぐる規制が強化されるだけかもしれない。つまり、組織は、リスクマネジメントプログラムを成熟させるための手続きを強化する必要があるのである。

そのひとつが、コンプライアンスに焦点を当てた「リストに沿ってチェックを付ける」方式から、より計画的な統合リスクマネジメントプログラムへの移行である。他のチームや部署から送られてくるレポートを入手して、さまざまなフォーマットでスプレッドシートに入力する代わりに、報告手続きを大幅に自動化し、すべての情報を一箇所で提供できるようにすることもできる。自動化によって、報告から得られた様々な洞察を活用でき、より適切なリスク評価と将来の結果を予測することが可能になる。

トピックス
全社的リスクマネジメント、リスク評価、リスクマネジメント、戦略的リスクマネジメント


本翻訳は“ 4 Steps to Launching an Integrated Risk Management Strategy”, Risk Management Site (https://www.rmmagazine.com/articles/article/2022/12/13/4-steps-to-launching-an-integrated-risk-management-strategy ) December 2022,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
メリッサ・コホーはニューロケット社セキュリティ、リスク及びレジリエンシー担当グローバル取締役。

【Web特別版】事前準備的サイバーセキュリティ・プログラムの利点

パブロ・ズーロ[*]


 

英国政府の「サイバーセキュリティ侵害調査2022」によると、過去12カ月間に組織内のサイバーセキュリティリスクを特定するために行動した企業は54%にとどまり、2020年と比較して10%減少していることがわかった。これを大きな懸念材料とするべきである。なぜなら、弱点や脆弱性がどこにあるのかを理解しなければ、企業がそれらに対して適切に緩和することは不可能だからである。

サイバーセキュリティに関して言えば、教育された(あるいは教育されていない)推測に頼るのではなく、サイバー脅威に対して可能な限り最善の保護を確保するための事前準備的なアプローチを採用することが、企業にとってはるかに望ましい。

事前準備的サイバーセキュリティアプローチとは何か

事前準備的サイバーセキュリティは、攻撃者がどのように企業を狙うかを模倣したセキュリティテスト技術を使用し、悪用される前に弱点を特定するのに役立つ。定期的に修正モジュールを適用したり、悪意のあるソフトウェアを事後的に除去したりといった従来の受動的なサイバーセキュリティへのアプローチでは、組織的な犯罪集団や国家支援による攻撃といった重大な現代の脅威を抑止するには、もはや十分ではないのが現実である。

事前準備的サイバーセキュリティとは、攻撃が起きる前に、その攻撃が引き起こす可能性のある被害を予測することである。このアプローチにより、チームはより効率的にタスクの優先順位を決めることができ、従来の手法で可能なよりもはるかに迅速にリスクを削減することができる。

万能な対策は存在しない

事前準備的サイバーセキュリティに関しては、一つの対策ですべてに対応できるわけではない。組織の既存のサイバーセキュリティ・プログラムの成熟度によって、どのツールと戦術をいつ使用するのが最も適切であるかが決まるからである。

例えば、比較的新しくセキュリティ対策を導入する組織では、脆弱性スキャン、セキュリティ情報・イベント管理(SIEM)、安全保障管理などの取り組みを実行することから始めるべきである。プログラムが成熟化するにつれて、侵入テストやWebアプリスキャンなど、より高度なツールを導入することができるようになる。そして、成熟化した段階で、敵のシミュレーションやレッド・チーミングなどの高度なツールを使用して、可能な限り高いレベルの防御を実現することができる。

企業が訓練し、アプローチに投資すればするほど、企業はより効率的で準備の整ったものになる。しかし、サイバー攻撃から100%安全な企業はありえない。多くの企業が目指すべきは、自社をできるだけ魅力的でないターゲットにすることであり、攻撃者となりうる人物が、より簡単で準備の整っていない代替策に向かうように仕向けることである。

事前準備的セキュリティプログラムを成功させるための6つのヒント

事前準備的セキュリティプログラムの成功は、強固な情報セキュリティ戦略の重要な要素である。以下は、あらゆるビジネスにおいて成功実現を保証するための6つのヒントである。

1. 何を保護する必要があるかを理解する:(確かなインベントリと監査に基づいて)保護しようとしているものを明確に理解することで、セキュリティチームは仮定に基づいてではなく、経験に基づいて意思決定を行う。

2. サードパーティのエコシステムを理解する:統計的に、多くの情報漏えいはサードパーティシステム内のセキュリティ脆弱性によって引き起こされているため、ビジネスパートナー、サプライヤー、請負業者がアクセスできる範囲を理解することが必須である。

3. 人とプロセスを理解する:効果的なセキュリティチームは脆弱性を適切に評価し、修復する、また同様に、セキュリティ事故の調査、解釈、対応における基盤となる存在である。成功は、主要な責任を中心としたこのチームの連携にかかっている。つまり、誰もがすでに自分の役割を知っており、ためらいなく行動に移すことができるということである。連携とコミュニケーションによって、侵害が発生した場合の解決までの時間と同様に、修復までの時間を早めることができる。

4. 攻撃者の立場で考える:ビジネスリーダーやセキュリティチームは、防御がどのように機能するかを考えるのではなく、防御が実際に今どのように機能しているかを基に意思決定する必要がある。真の強みと弱みを知るということは、彼らが、攻撃者がどのようにしてアクセスを獲得するのかを特定でき、攻撃が成功するのを未然に防ぐための取り組みができることを意味する。

5. 脆弱性評価、侵入テスト、敵対者のシミュレーションに投資する:簡単に言えば、これらのツールはセキュリティをより効率的にする。前述のとおり、このような投資を行うタイミングは、企業のセキュリティプログラム全体の成熟度に依存する。しかし、最低限、セキュリティチームは、定期的に脆弱性セキュリティプログラムによって簡単に解決できる問題を取り除くべきである。こうした評価の実施は自動化するのが簡単であり、それを支援するツールも数多く存在する。次に、プログラムが成熟化するにつれて、侵入テストと敵対者シミュレーションを、この上に構築することができる。これらのテストには特定のフレームワークと目標を持つ訓練された実務者が必要であり、これにアプローチできる方法は2つある。1つ目は社内侵入テストチームを結成することであり、2つ目はこれらのサービスの提供に特化した第三者機関の活用である。ビジネス全体のセキュリティ成熟レベルによっては、一方のオプションが他方よりも適している可能性が高い。

6. テスト、テスト、そしてまたテスト:残念ながら、セキュリティ事故を防ぐための魔法のレシピは存在しない。セキュリティプログラムでは時間の経過とともにセキュリティ・コントロールを体系的に改善するために、継続的かつ反復的なプロセスである必要がある。このためには、テストが重要な役割を果たすであろう。そして、戦略は予防、検知、対応の3つの中核的な柱に基づくべきである。予防制御の侵入テスト、検知制御の単体テスト、対応制御のレッドチームによる定期的なテストを行うことで、悪用される前に、企業が新しい脆弱性を迅速に発見する最高の機会を与える。

事前準備的セキュリティアプローチを採用することのメリット

サイバーセキュリティに関しては、無知は危険であり、コストがかかる。セキュリティに事前準備的アプローチを採用することで、いくつかの明確なメリットが得られる。

1. 脆弱性管理に対する賢明なアプローチ。脆弱性スキャンや侵入テストなどの取り組みを通じて、企業は災害を回避するために必要となる重要な知見を得ている。これらの2つの手法はセキュリティチームが、攻撃が発生する前に事前準備的に脆弱性を特定できるようにするために共働し、脆弱性を修正してセキュリティを強化するために必要となる機会を提供している。
賢明な脆弱性管理プログラムは、環境における脆弱性を特定、分類、修復、緩和するための堅牢なプロセスを構築することによって、IT環境のセキュリティを継続的に向上させ、そのすべてがターゲットとなる可能性を低減する。

2. 規制要件の遵守。 事前準備的セキュリティプログラムは、PCI DSS、HIPAA、SOX、GDPRなどの規制要件への対応にも役立つ。脆弱性管理ソリューションと侵入テストからのレポートにより、企業は評価者に対して継続的なデューデリジェンスを実証し、その結果、コンプライアンス違反による多額の罰金を回避することができる。実際、ヘルプシステムズ社の2022年侵入テスト調査によると、回答者の75%が、こうしたテストを実施する主な理由の1つは、コンプライアンスの取り組みや義務に役立てるためであると回答している。

3. 侵害による痛みとコストを回避する。サイバーセキュリティ侵害のコストから回復することは、その規模にかかわらず、コストがかかる可能性がある。財務的には、組織は、均衡を取り戻すために何百万ドルも支払うことになる。業務面では、侵害が起きると、数カ月から数年間、ビジネスの流れが止まってしまうこともある。また、復旧しても傷ついた評判が回復するとは限らず、既存顧客の維持や新規顧客の獲得を困難にさせる。

効果的なサイバーセキュリティ・プログラムに関して言えば、問題が起きてから対応する従来のアプローチの時代ではなくなって久しい。攻撃者はより賢く、より創造的で、より強固になってきているため、企業はそれに対応するセキュリティを必要とすることを意味する。事前準備的サイバーセキュリティ・プログラムは、財務、信頼性、評判に深刻な影響を与えるサイバーインシデントから企業を保護するために役立つ。

トピックス
サイバー、規制、名声リスク、リスク評価、リスクマネジメント、セキュリティ、技術


本翻訳は“The Benefits of a Proactive Cybersecurity Program ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2022/12/15/the-benefits-of-a-proactive-cybersecurity-program ) December 2022,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
パブロ・ズーロはヘルプシステムズ社サイバーセキュリティ製品管理者。

【Web特別版】効果的にリスクを意識した企業文化を構築する

サラ・エイベリー[*]


 

一見陳腐に見えるが、「誰もがリスクマネージャーである」という言葉はシンプルだが絶対的なものである。組織は人によって運営されており、リスクマネジメントに関する彼らの知識は、戦略的な事業計画と成功のための重要な要素である。

しかし、リスクを意識した文化という概念は、ほんの10年以上前までは、実際には具体化されてはいなかった。リスクモデルや効果的なリスクマネジメント方法は常に進化しており、長年にわたって大きな進歩を遂げてきた。2000年代初頭、サーベンス・オクスリー法が制定されると、財務リスクが最重要視され、組織は3つの防衛線モデルを確立し始めた。大不況に見舞われると、新たな規制や要件が施行され、組織はリスクガバナンス・モデルの初期の重要な要素をどのように適用するかを再評価した。大不況の終焉に向かうにつれ、信用リスク、第三者リスク、サイバーリスクの管理、そして組織全体のリスク活動の統合と集約をいかにうまく行うかに焦点を当てる企業が増えてきた。

大不況の後、リスクを意識した文化が出現するようになったが、これが組織に完全に受け入れられるには時間がかかった。リスクを意識した文化は、依然として分離されたモデルであると見なされることがある。つまり、一方でビジネスが存在し、他方でリスクを監視し、リスクの実践とフレームワークを開発することに責任を負う人がいるというものである。しかし、3つの防衛線を成功させるための鍵は、実際にチームがどのように協力し合い、連携し、各分野の専門知識を活用して、より強力で持続可能なリスクインフラを構築するかということである。

ここ数年、リスクを意識した文化が、3つの防衛ラインと事業分野すべてに統合されてきた。成功裏に実施された場合、組織はビジネス用語で「リスクを語る」ことができる。つまり、一つの言語と、より良い理解を共有することである。企業のリスクマネジメントチームはアドバイザーとみなされ、リスクマネジメントの実践と行動を強化するために各事業分野と連携するようになる。以下は、強固なリスク文化を構築するための重要な柱である。

トップから始める

リスクを意識した企業文化を確立するには、トップから始める必要がある。経営陣、経営幹部、取締役会が、リスクを意識した企業文化の構築や強化が必要かつ重要な機能であることを理解することが重要である。リスクの概念とその考え方は、組織の中核的な基盤として繰り返し述べられる必要がある。

リスクを意識した文化をどのように実践するかは、現場のすべての人たちにかかっている。彼らは日々の業務を運営する人たちであり、彼らがどのように考え、どのように行動するかということを意味する。成功させるためには、草の根からも攻めなければならない。

組織へのリスクの伝達は、従業員を関与させるために、一貫性があり、リーダーシップによって共有されるべきである。多くの組織がハイブリッド/リモートワークモデルに移行しており、この適性と文化を育てるには、さまざまな角度からアプローチする必要があるため、コミュニケーションは特に重要である。このようなコミュニケーションは、リスクに直接関連しないリーダーからも発信されるべきである。なぜなら、経営幹部のリーダーシップがリスク文化を支持し、その基盤が組織のあらゆるレベルに浸透していることを証明することになるからである。

リスクマネジメントを実現し、容易に理解できるようにする

リスクマネジメントの概念と実践は、アクセス可能で実用的なものでなければならない。リスクを意識した文化を構築する上で最も重要な原則の一つは、人々がリスクの概念を理解するだけでなく、それが日々の職務にどのように適用されるかを伝えることである。多くの場合、リスクの実務家は、人々を混乱させかねない教科書のリスクマネジメント言語にとらわれることが多い。そうではなく、誰にとっても理解できる用語を使い、なぜリスクが重要なのか、どのようにリスクを軽減するのかを理解するために、ビジネスと協力する。健全なリスク軽減策を継続するためには、自分たちのしていることがなぜ重要なのか、リスクの本当の大きさはどのくらいなのかを理解する必要がある。チェックボックスにチェックを入れるような活動ではだめなのである。

ビジネスに対して教科書的な言葉しか話さない第二、第三の防衛線があるとしたら、あなたの成功は望めないであろう。企業は、「リスクと統制の自己評価」のような用語で考えるとは限らないが、リスクの原則を知っている。給与計算を金曜日までに終わらせる必要がある場合、ファイルを送信する前にデータを入力し、調整し、承認する必要があることを理解している。現金の管理と給与計算は、よりリスクの高い活動であることを理解している。不正のリスクがあり、正しく行わなければ財務上の損失が発生する可能性がある。彼らは、コントロールの実行という観点から、その概念と必要なことを理解している。聞こえの良い言葉を発する必要はなく、複雑にする必要もない。合理的でシンプルな方法でコミュニケーションすることで、効率的なオペレーションと最強のリスクマネジメントの基盤が構築されることが多い。

従業員に報酬を与える

積極的な強化行動を支持する者となる。誰かが自主的に行動して問題を特定することに成功したら、その行動を成果として讃えよう。これは、意味のあるリスク文化を維持するために非常に重要なことである。リスクマネジメントのベストプラクティスを行動に移せ、かつ目に見える事例として報酬を与えることは、従業員を認めることで、その事例を他の従業員の学習機会として活用することでもある。

リスクマネジメントは、すべての従業員の業績管理目標の一つとして組み込まれるべきである。誰もが、自分の役割が強力なリスク文化を支えていることを知る必要がある。

研修はまた、組織のすべてのレベルにおいて不可欠であり、入社時だけでなく、一貫した注意喚起として少なくとも年1回、定期的に繰り返すことである。リスクマネジメントの認識を高め、新しい慣行が導入され、組織がそのフレームワークとプロセスを成熟化させるというように、組織が進化することを確実にすることが重要である。

リスクの進展を測定する

ベースラインプロセスを確立している時には、導入した仕組みは測定のための手段となる。例えば、問題の修正、リスク評価、統制のパフォーマンスなどは、リスク環境がどうなっているのか、改善されているのか劣化しているのかを判断するために活用される、データに基づく測定ポイントとなる。

定性的な観点からは、規制当局、取締役会、組織の他のリーダーたちとの間での対話とフィードバックに関するものである。リスクは決して無くすことはできないが、効果的に管理することはできる。組織内には常に課題があり、取り組むべきことがある。それゆえ、企業が率先して何かに取り組み、その問題をどのように改善するかについて、取締役会や経営陣にリスクを明確に伝えることができているということが見えてくれば、リスク文化の構築を支援することに成功したのだとわかる。

リスク認識の向上と、リスクを意識した強力な文化を育てるには時間がかかり、継続的なコミットメントと継続的な改善に依存するプロセスである。いったん基盤が整い、リスクマネジメントが組織のDNAの一部となれば、継続的な業務の強さと目標を達成する能力は、将来の持続可能性と成長のための貴重な資産となるであろう。

トピックス
全社的リスクマネジメント、リスクマネジメント、戦略的リスクマネジメント


本翻訳は“ Building an Effective Risk-Aware Culture”, Risk Management Site (https://www.rmmagazine.com/articles/article/2022/12/19/building-an-effective-risk-aware-culture ) December 2022,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
サラ・エイベリーはセンラー社最高リスク責任者。

記事の詳細を読む

会員の方

非会員の方

SHARE

RIMS日本支部

アプリケーションパスワードを使用すると、実際のパスワードを入力しなくても XML-RPC や REST API などの非対話型システムを介した認証が可能になります。アプリケーションパスワードは簡単に取り消すことができます。サイトへの従来のログインには使用できません。