開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2013/07/19

レジリエンスの観点で見たサイバーリスク対策、サイロ型マネジメントからの脱却を図る

【連載】変わるBCP、危機管理の最新動向

前回、前々回とレジリエンス・マネジメント(レジリエンス=回復力)について述べてきた。現行のBCPフレームワークは激甚災害や災害の大型化、企業・自治体の経営を取り巻くリスクの多様化・複合化するリスクに対処するフレームワークとしては甚だ不十分だ。しかし、既存のBCPの欠陥や改良点を指摘し、嘆息しているだけでは展望は開けていかない。そうした問題意識に立脚し、前回に引き続き、レジリエンス・マネジメントに焦点を当て、レジリエンスの観点で見たサイバーリスク対策などについて紹介する。

ストラテジック・リサーチ 森田 進

ストラテジック・リサーチ 森田 進

ストラテジック・リサーチ代表取締役。各種先端・先進技術、次世代産業、IT活用経営、産学官連携に関するリサーチ&コンサルティング活動に取り組む。クラウド、仮想化プラットフォーム、エンタープライズ・リスクマネジメント/BCP、モバイル・プラットフォーム、情報化投資の各分野において研究およびエヴァンジェリズム活動を展開し、実績を積む。
URL:http://www.x-sophia.com/

 前々回前回に続き、レジリエンス・マネジメントについてレクチャーするのは、次世代BCPとレジリエンス・マネジメント双方に詳しい、リスクマネジメントのシニアコンサルタントのD氏である。

情報セキュリティ・マネジメントとレジリエンス・マネジメントの関係

連載一覧
D氏:レジリエンス・マネジメントはセキュリティと事業継続との関係性について、新しい協働のモデルを導入し、これらの相互依存性を効率的かつ効果的に高めることに貢献するものとして期待がかけられています。

聴講者A:セキュリティと事業継続との戦いの最前線でレジリエンス・マネジメントはどのような有効性を持ちうるとお考えでしょうか?

D氏:これまで、レジリエンス強化、セキュリティ強化の抜本的な取り組みが金融機関において先駆的に取り組まれてきたことは決して偶然ではないでしょう。皆さまもご承知かと思いますが、銀行などの金融機関はグローバルなフィールドで活動し、常にセキュリティと事業継続との戦いの最前線に置かれていますね。

 かつてセキュリティ啓蒙団体のCERTCERT-RMM(RMM=Resilience Management Model)の開発に着手した際の目的は、情報セキュリティの視点を技術的専門分野のものとして完結させず、情報セキュリティと関係する事業継続、IT 運用マネジメントの分野も合わせて考慮させることにありました。CERTとしては、この目的を達成するためにはCERT-RMMにおいてこれらの相互依存性を明確に定義し、これをもとに組織がこれらに対しての協同的なマネジメントを明確に意識させることを狙いとしていたといわれています。

聴講者A:統合マネジメント・システム(IMS)でも同様の取り組みがなされていたのでしょうか?

D氏:はい、その通りです。しかし、統合マネジメント・システム(IMS)では、それぞれのマネジメント領域の品質管理レベルで整合性が取られているとはいい難い状況です。そのため、現在、さまざまな要素間のすり合わせを図る必要性が叫ばれています。

 しかし私の考えでは、統合マネジメント・システム(IMS)については一定の検証を終えつつあり、今後はこうした取り組みは、次第にレジリエンス・マネジメントへ向けられることになるのではないかと考えています。

聴講者B:BCM規格ではレジリエンスについて具体的にどのように言及しているのでしょうか?

D氏:たとえば、英国規格協会のBCM規格であるBS25999では、レジリエンスを「インシデントに影響されることに抵抗する組織の能力」と定義しています。

 レジリエンス・マネジメントでは情報セキュリティの運用マネジメントについて、従来のような技術的な観点のみでの定義やソリューションに収めようとするアプローチとは一線を画しています。明確に、組織構成員一人一人の責務について明示し、このことで、今後は事業継続とも関係性のある新しい協働のモデルとして位置付けられるはずです。

聴講者C:ここ数年、国家間でサイバー紛争の動きが目立ってきていますが、国家的なレジリエンスの観点でサイバーリスク対策が必要な時期に来ているのではないでしょうか?

D氏:おっしゃる通りですね。私もそれは非常に重要な視点と思います。最近になってようやく日本でも国家的なレジリエンスの観点に立ったサイバーリスク対策の練り直し作業が本格化してきていまし。

 最初にレジリエンスの観点に立ったサイバーリスク対策について言及したのは、2010年度に閣官房情報セキュリティセンターから発刊された調査報告書「サイバー攻撃動向等の環境変化を踏まえた重要インフラのシステムの堅ろう化に関する調査(概要PDF本文PDF)」です。

 この調査報告書では、初めてレジリエンスの必要性を認識した公的なセキュリティ関連調査報告書となっています。ただしこの報告書では、レジリエンスという言語を「堅ろう化」という、やや時代遅れの用語を使って説明しています。

 厳密にいえば、堅ろう化という概念とレジリエンスという概念は異なる意味合いを持っています。レジリエンスは堅ろう化という狭く、ソリッドな意味で捉えきれるものではありません。しかし、わが国で初めてレジリエンスの重要性、意義を問題提起した報告書として位置付けられるでしょう。

 ちなみにレジリエンスという概念・用語は、英国、オーストリア、カナダ、EUはじめ世界共通のものとして既に国際的に定着しています。

【次ページ】サイバー攻撃がレジリエンス・マネジメントの認識欠如を露呈させた

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!