Risk Management
【Web特別版】
11月号
- 効果的な危機対応での主要要素
効果的な危機対応での主要要素
ジェイムズ・ロッジ[*]
技術的な故障、自然災害、内乱、その他さまざまな原因によるものであれ、危機はほとんど前触れもなく、いつでも襲ってくる可能性がある。最悪の事態が発生した場合に混乱を最小限に抑え、組織の強靭性を維持するためには、強固で徹底的な危機管理計画を策定し、事前に準備しておくことが極めて重要である。適切な訓練、明確なコミュニケーション手順、社員点呼の手順、リモートワークや代替拠点の迅速な活用によって、組織は、あらゆるタイプの突然の脅威に直面した場合でも、迅速に適応し、対応することができるようになる。
残念なことに、多くの機関は危機管理に対して消極的なアプローチをとっており、大きな混乱が起きてからはじめて事業継続に取り組んでいる。そのため、被害を増幅してしまう混乱した非効率的な対応をもたらしている。効果的な危機への備えには、潜在的なリスク領域にわたる最悪のシナリオを想定し、調整された緊急時手順を広範に文書化し、余剰なインフラを確保し、現実的な訓練を通じて対応手順について職員を訓練することが含まれる。
技術リーダーは、複雑で相互依存するシステムにおける潜在的な、広がっていく障害を考慮し、適切な冗長性と障害迂回策を組み込まなければならない。施設管理者には、物理的破壊時に円滑な業務移管やオフィスからの避難を可能にする計画が必要である。人的資源チームは、危機の間、スタッフがつながり合い、情報が提供され、生産的であるようにするために、緊急連絡手順と遠隔作業ガイドラインを策定すべきである。
サイバー攻撃のような犯罪イベントも、データやネットワークの保護から広報メッセージに至るまで、広範な準備が必要である。新たな政治的・環境的リスクを監視することで、組織は、脅威が当該の現場で拡大する前に計画を稼働させることができる。過去の対応活動から学んだ教訓を取り入れることで、準備を継続的に強化することができる。
しかし、繰り返しの訓練によって組織文化に準備態勢を根付かせなければ、紙の上の計画はほとんど意味をなさない。どんなに優れた手順であっても、実践されなければ頓挫する。年次対応計画の見直しでは、スキルが維持されているかどうかを評価すべきである。訓練では、職員がそれぞれの役割を理解していることを確認し、緊急時に本能的に手順に従うことができるようにすべきである。シナリオに基づいた訓練は、危機の中でも機敏に、しかし冷静な判断ができるよう、マッスルメモリーを構築するのに役立つ。
日常業務の中に強固な危機への備えと対応能力が織り込まれていれば、組織は自信を持って不測の事態に対処することができる。以下の例は、混乱が不可避となった場合に、人々に向けた準備と配慮がいかに大きな違いをもたらすかを示している。
技術的な障害後の最悪シナリオを準備する
今日の高度につながっている世界では、組織は、複数のシステムが相互に依存して障害を起こした場合に業務を停止させる可能性がある、連鎖的なテクノロジー障害に備える必要がある。金融機関は、複雑なITエコシステムに急速に悪影響を与える可能性のある技術的混乱に対して特に脆弱である。
このことは、定期的な建築工事中に請負業者が、誤ってバックアップ用の電源供給ラインを切断したために、ある銀行の二次的なデータセンターがダウンした危機で浮き彫りになった。このようなミスはあってはならないことだが、最初のシャットダウンだけでも深刻であったはずであろう。しかし、適切な再起動手順に真面目に従ったにもかかわらず、主電源を急いで回復したことにより、物理的なハードウェアに損傷を与える電圧の急激な変化を起こすことになってしまった。
いくつかの重要なシステムがオフラインになったため、銀行は、顧客への支払いや取引などの重要な業務の停止を避けるために、いくつかの技術的な回避策を採用し、スタッフとリソースを直ちに転用しなければならなかった。ところが、影響を受けたハードウェアを切り離し、交換するために技術チームを緊急に動員することは、データセンター・インフラ全体のコンポーネントの老朽化によって妨げられた。互換性のある部品が長い間製造中止になっていたため、代替品の調達にはグローバルな探索が必要だった。完全な修理が完了するまで、重要な機能を維持するために複雑な回避策が必要であった。
この危機は、急速に雪だるま式に膨れ上がる極端な最悪のシナリオを想定した計画の必要性を浮き彫りにした。個々のシステム障害は珍しいことではないが、複雑に相互接続されたIT環境では、リスクは指数関数的に悪化する。復旧の順序が適切でない場合、1つのシステムの障害が他のシステムに連鎖することがよくある。
残念なことに、多くの機関は、環境全体の不測の事態ではなく、個々のアプリケーションに焦点を当て、災害復旧計画では部署単位別のアプローチをとっている。しかし、区画化された計画では、今後発生する複数システムの依存関係を考慮することはできない。定期的なテストは不可欠だが、単独のアプリケーションだけでなく、サイト全体の障害を想定するべきである。
すべてのシステムが同時に不正侵入された場合、包括的な復旧の優先順位と順序を理解することが不可欠となる。詳細な復旧計画と、容易に入手可能な予備部品があれば、最悪の事態が発生した場合でも、企業はより迅速かつ効率的に業務を完全に復旧することができる。
壊滅的な電力やネットワークの中断のような脅威は、損害を急速に拡大させる可能性がある。極端なシナリオを想定し、それに備えることで、各機関はより大きな冗長性と応答性を技術的エコシステムに組み込むことができる。
激しい嵐に対処するために人と財産を保護する
深刻な嵐は、ハリケーンのレベルに達していなくても、組織を混乱させる可能性がある。悪天候に見舞われた際の効果的な対応と復旧には、適切な危機管理計画が鍵となる。このことは、ニューヨークが強烈な冬の嵐に襲われた際に浮き彫りになった。
ハリケーンほどではないにせよ、この強いノーイースターは強風と吹雪をもたらし、海岸では当初の予報を上回る洪水が発生した。湿った重い雪と激しく吹き付ける風は、木々や電線をなぎ倒し、散発的な停電を引き起こした。洪水によりニューヨーク市内に通じる道路トンネルは閉鎖され、通勤は危険なものとなった。公共交通機関は凍結のため運休や遅延が発生した。各地の企業は、この暴風雨に対応するため、緊急対策計画の実施を余儀なくされた。
交通機関が寸断されたため、多くの企業は嵐が完全に襲来する前から、必須ではない従業員にはリモートワークを速やかに導入した。現場に来ることを避けられない従業員には、通勤の問題を避けるため、近くにホテルの部屋を用意した。
この嵐により、窓ガラスが吹き飛ばされたり、屋根から雨漏りがしたりするなど、オフィスの建物に被害が出た。施設チームは、暴風雨の最中に、問題の軽減と修復に最善を尽くした。事前準備的な機器のシャットダウンにより、電力サージによる電気的損害を防ぐことができた。
混乱はあったものの、嵐の影響はほとんどの組織にとって比較的対処可能であることがわかった。クラウドベースのシステムによってデータ損失は回避され、一部の従業員が当初は家庭での電力を欠いていたが、操作を維持することを可能にした。一方、IT犯罪対策チームを一部の事務所に配置し、水漏れによって破損した紙記録を安全に処理した。
カテゴリー4のハリケーンほど悲惨ではないが、この破壊的な暴風雨は、危機管理計画のギャップを浮き彫りにした。施設に物理的にアクセスできない場合、強固なリモートワークの能力と手順は不可欠である。しかし、労働者の自宅に影響を及ぼすユーティリティの障害を考慮し、実行可能な電気通信と電力の代替手段を組み込まれなければならない。
起こりうる暴風雨のシナリオを想定することで、企業は事業継続計画や対応計画における脆弱性を特定することができる。十分な備えがなければ、たとえ小規模な気象現象であっても、連鎖的な事業中断を引き起こす可能性がある。組織の強靭性を構築するには、予見可能なあらゆる条件下で、人々の安全と生産性を計画することが必要である。
社会的な不安時には人々を優先し、業務を継続する
組織は、政治的緊張に起因する継続的な社会的な不安の期間中の運営を慎重に舵取りしなければならない。このことは、広範な集会により市内全域の交通が大幅に混乱した2019年の香港抗議活動中に浮き彫りになった。
数多くの多国籍企業が、影響を受けた地域に本社を置き、事業を維持する難しさに直面した。デモや群衆が、通りから直接オフィスの外にまで溢れるようになり、安全な施設へのアクセスが困難になった。香港の中心部にオフィスを構えるいくつかの企業は、事業が機能するように維持するために迅速な行動をとらなければならなかった。経営トップは直ちに、現場にいない必須でない人員のために強固なリモートワークを手配した。
現場での作業を必要とする顧客にとって重要なスタッフのために、安全な企業の宿泊施設を近くに素早く手配し、従業員が抗議地区を通らずに通勤できるようにした。公共交通機関が運休や道路封鎖によって制約を受ける中、混乱したルートを利用する従業員を綿密に追跡するには、人々を点呼できるツールが不可欠であることが判明した。
状況の変化に応じて、常に警戒し対応することが重要であった。企業はまた、抗議行動に対する異なる政治的意見が多様な従業員の間に存在することも認識していた。多くの人にとって重要な経営者の決定とは、危機を通じて、イデオロギー的な立場ではなく、すべての従業員を安全にサポートすることが唯一の優先事項であり続けることを明確に伝えることであった。この非政治的な人間重視のアプローチは、信頼と団結を育んだ。従業員は、企業が従業員の幸福とニーズを念頭に置いていることを認識し、突然変更された勤務形態に進んで適応した。
リモート・スタッフの配置や抗議行動のリアルタイムでの監視など、事前準備的な予防策を講じることで、企業は長引く混乱の間、顧客サービスを維持することに成功した。この経験は、いかなる社会的危機においても、責任を持って人々をケアすることが、政治や通常業務より優先されなければならないことを浮き彫りにした。
起こりうるシナリオを想定することで、企業は市民の混乱に合わせた継続計画を策定することができる。準備態勢と強靭性があれば、組織は、不可抗力的に社会的不安の震源地に巻き込まれたとしても、深刻な不安定性を乗り越えて活動することができる。
効果的な危機対応のための重要な検討事項
危機や混乱が発生した場合、適切な準備と対応が回復と復興にとって不可欠である。それぞれの状況が独特の複雑さを示す一方で、効果的な危機管理の分析は、いくつかの一貫した要素を明らかにしている。
- 最悪のシナリオを想定した計画、テスト、訓練を徹底することで、想定外の事態が発生した際にも、より機敏で的確な対応が可能となる。極端な事態を想定した準備訓練の実施により、危機に対する意思決定をより本能的なものにする。
- 冗長なインフラ、堅牢なリモートワーク機能、および詳細な対応手順の文書化に事前準備的に投資することは、災害発生時に有益である。企業は、サイバー攻撃から社会的不安に至るまで、リスク領域全体で潜在的な危機を想定すべきである。
- IT災害復旧、緊急措置、リモートワークの手順、従業員の点呼に関する明確な手順は、全社的な迅速かつ協調的な対応を可能にする。実践的な通信手順により、経営者は時宜を得た状況の更新と決定的な指針を提供することができる。
- リモート勤務体制により従業員に権限を与えることで、主要な施設にアクセスできない場合でも事業運営を維持できる。しかし、混乱によって労働者が頼りにしている現地の資源が使えなくなる場合には、実行可能な技術やインフラに代わる選択肢を考慮検討しなければならない。
- 身体的および精神的な健康の両方に事前準備的に取り組む人間中心のアプローチが、危機の際に最も重要である。労働者の健康、安全、およびニーズを優先することで、信頼と団結が培われる。組織の強靭性構築は、まずスタッフの個別的な強靭性を高めることから始める。
- 社会的不安の中では、現場での適応可能性と政治的中立性を維持することは極めて重要である。組織は事後対応的なパニックを避け、利益やイデオロギーよりも人々を守ることに重点を置いた冷静な意思決定を下さなければならない。
社員を危機への備えと対応の中心に据えることで、企業は深刻な混乱さえも乗り切ることができる。経営者は、災害に見舞われるずっと前から、危機に向けた基本的な考え方と準備態勢の文化を醸成すべきである。包括的な準備と思いやりのある警戒心があれば、企業は困難な大災害でさえ乗り切ることができる。そして、最悪の事態を乗り越えて社員をサポートする企業は、次の危機に直面したときにも社員の支持を得ることができるだろう。
トピックス
危機管理、災害準備、災害復旧、自然災害、政治リスク、リスクマネジメント、安全、技術
注意事項:本翻訳は“Key Elements of Effective Crisis Response ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2023/11/01/key-elements-of-effective-crisis-response ) December 2023,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジェイムズ・ロッジはリンクレイターズ法律事務所グローバル事業継続マネジャー。
- 建設プロジェクトのための5つの契約要件
- SECのソラーウィンズ訴訟はサイバーリスク規制を広げる
SECのソラーウィンズ訴訟はサイバーリスク規制を広げる
ジョシュア・ゴールド、ルマ・S・アル・シビブ[*]
サイバーリスクの新たな時代は、米国証券取引委員会(SEC)が、ソラーウィンズ社の最高情報セキュリティ責任者(CISO)を相手取って起こした訴訟に端を発した。不正行為の原因が最終的に大規模なサプライチェーンのサイバー攻撃につながるサイバーセキュリティの既知の脆弱性を適切に開示できなかったことにあると、SECは断言している。
この事件では、サイバー犯罪者はソラーウィンズ社のバーチャル・プライベート・ネットワークの脆弱性を悪用して、ソフトウェアやサイバーセキュリティ企業のシステムにアクセスすることができた。このハッカーはサンバーストと呼ばれるマルウェアをオリオン社のソフトウェア製品に植え込み、ソラーウィンズ社の顧客に18,000人に配布し、ハッカーたちにこれら顧客システムへのアクセス権を提供した。こうした違反は、民間企業にとどまらず、オリオン・ソフトウェアを使用するさまざまなサイバーセキュリティ企業や、米国保健省、財務省、州など主要な政府機関にも影響を及ぼした。攻撃は2020年12月まで発覚せず、報告もされず、明らかになったのは攻撃者がソラーウィンズ社のシステムに最初にアクセスしてから1年経ってからであった。
10月30日ニューヨーク連邦地裁に提訴した告発によれば、サイバー攻撃の数年前から、ソラーウィンズ社と同社のCISOは、システムが脆弱であり、安全であると宣言していたが、それが侵害される可能性があったと、SECは主張している。さらに、訴状では、脆弱性を補強しようとせず、ソラーウィンズ社がセキュリティ管理の妥当性を誤って伝え、公表されている企業向け声明や規制当局への提出書類で既知の脆弱性を開示しておらず、重要な情報について投資家を誤解させたと主張した。
SECの訴状では、ソラーウィンズ社がサイバー攻撃を受けたために訴えられたのではなく、ソラーウィンズ社のサイバーセキュリティ管理が不十分であり、虚偽で誤解を招くような投資家に対する声明が連邦証券法に違反したためだと主張した。これらの違反がサイバー攻撃の性質と実際の規模に関して、2020年12月のF-8kの中で示されているソラーウィンズ社の不完全で誤解を招く開示を含んでいるとSECは主張した。SECによれば、サイバー攻撃は単にソラーウィンズ社の違反を明らかにしたにすぎないことになる。
ソラーウィンズ社に対する強制措置はサイバー攻撃の被害者に対する過失に基づいた虚偽表示ではなく、意図的な詐欺であるとして、SECが主張して訴えを起こした最初の事例であると思われる。加えて、SECが和解するための同意判決を同時に下すことなしに、サイバー攻撃の被害者に対して訴訟を提起したのははじめてであると主張した。さらに、この事件は、SECが企業のサイバーセキュリティに関する情報開示が不十分であったということで、個別企業の幹部を初めて起訴したものである。このことは、注目に値する。なぜなら、SECの申し立ては、虚偽の申し立てでサイバーセキュリティ開示の準備や承認にCISOが直接関与していることを詳細には記述していないからである。SECは、強制措置が示された日のプレスリリースで、この措置は、強力なサイバーセキュリティ管理策と「知りえた懸念を投資家と共有すること」を実施しなければならないというメッセージを公開企業に送ることを意図していたと述べた。
サイバーセキュリティ警察としての規制当局の新たな役割
ソラーウィンズ社の強制措置の申請は、サイバー関連のビジネスリスクと慣行に対処し、規制し、監督する上で、連邦および州政府機関が担ってきた、執行機能の拡大を示す最新の動きである。
今年の夏、SECは規制対象企業に対してサイバーセキュリティ規則を拡大した。特に、新たなルールでは、重要と判断されたサイバーセキュリティインシデントについて、4営業日以内に報告することが義務付けられている。また、企業はサイバーセキュリティリスクの評価・管理に責任を負う管理職を明確にし、それらの人々のサイバーセキュリティに関する専門知識を記述しなければならない。
同様に、11月1日、銀行、住宅金融専門会社、投資会社、保険会社などの金融機関を監督するニューヨーク金融サービス省は、12月1日付のサイバーセキュリティ規則の最新情報を公表した。更新された規則では、24時間以内の身代金支払い通知と、サイバーセキュリティリスクに対する企業の監督に関する厳格な規定を設けることが求められている。具体的には、対象企業は、企業のサイバーセキュリティ管理および取締役会への事件の報告について個別に責任を負うCISOを配置することが求められる。加えて、対象事業は、多要素認証を開始し、サイバーセキュリティ・インフラストラクチャについて毎年監査を実施し、違反検知システムを導入しなければならない。
このような規制状況の強化の最終目的は、より安全で安心なビジネス環境を創出することであるが、サイバーインシデントの結果として新たなサイバー規制に潜在的責任を負う企業や組織が直面する可能性を高めることになる。組織(執行役、取締役などを含む)のリスク環境が高まっていることを考えると、保険の適用範囲は重要な検討事項となる。D&O保険契約は、サイバー侵害を前提とした株主、デリバティブ、規制関連の訴訟に対して、賠償責任および防衛費用の弁済に対する保護を提供すべきである。追加の賠償責任補償は、E&O保険、CGL保険、およびもちろんサイバー特化保険契約を通じて状況に応じて提供されることがある。
拡大された規制は、株主、顧客、消費者が規制された事業者およびその経営者に対して、派生的措置または消費者集団訴訟を提起するためにロードマップを提供する。したがって、組織は自らのサイバーセキュリティ手続を見直し、自らのコンピュータシステムにおける脆弱性に対処し、潜在的に適用可能なすべての保険契約を見直して、自らの保護の範囲に精通し、追加的な保険保護を購入すべきかどうかを決定すべきである。
トピックス
サイバー、コンプライアンス、新興リスク、ファインプリント、保険、法的リスク、規制
注意事項:本翻訳は“SEC’s SolarWinds Litigation Expands Regulatory Cyberrisk Landscape ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2023/11/22/sec-s-solarwinds-litigation-expands-regulatory-cyberrisk-landscape ) December 2023,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジョシュア・ゴールドはアンドーソン・キルズ社のニューヨーク事務所株主、アンドーソン・キルズ社サイバー保険回収グループ会長、および同社の海上貨物業界グループの共同会長。彼はダニエルJ.ヒーリーと『サイバー・インシュランス・クレイム、ケース・ロウ、リスクマネジメント』(2022年、プラクティシング・ロー・インスティテュート)を発行。
ルマS. シュビブはアンドーソン・キルズ社ニューヨーク事務所株主、同社サイバー保険回収実務グループ共同議長。
- 2024年の保険キャプティブの見通し