「Newton Risk and Cyber Security Forum」セミナーレポート -後編-
掲載:2024年10月23日
コラム
ニュートン・コンサルティング株式会社は10月9日、日比谷国際ビルコンファレンススクエアにて「Newton Risk and Cyber Security Forum 先進事例からみるリスクマネジメントの効果と真髄」を開催いたしました。
本レポートでは、講演されたERM/BCP/IT-BCP/サイバーセキュリティにおける成功事例と、当社が提供する“分野横断的”なリスクマネジメント手法の一部を前編・後編に分けてご紹介します。
「Newton Risk and Cyber Security Forum」セミナーレポート -前編-はこちら
講演内容
- 【前編】
- 【後編】
講演③IT-BCP
BCPと繋がらないIT-BCPは役に立たない
-IT-BCPが機能するための達成条件-
登壇者:執行役員 兼 CISO/プリンシパルコンサルタント 内海 良
内海「IT-BCPの成功事例は、きわめて少ないと感じています。では何がIT-BCPの成功を阻害しているのかというと、経営側はITの知識がなく、IT側に任せきりにしてしまうこと。IT側の人たちは経営側からの要求が不明瞭なため、機能するIT-BCPを構築できないということだと思っています」
経営としてやるべきことの一つは「復旧目標を決めること」。これはIT-BCP構築をうまく機能させるために必要な条件の一つだといいます。
内海「IT-BCPでは復旧目標が投資にダイレクトにつながるという点で、復旧目標の設定が重要です。例えば、1秒たりとも稼働を止めたくないシステムがあるとします。データ復旧で数秒前に戻したいとなると、そのためのソリューションには大きな費用がかかってしまう。逆に、24時間前に戻せればいい場合、費用は一気に下がる。このように復旧目標と投資は密につながっているので、きちんと決める必要があります」
ほかにIT-BCPを成功に導く条件として、ITツールの利用場面拡大に対応すること、対象事象を決めること、IT-BCP対策をアップデートすること、サードパーティとの責任を明確にすることを挙げました。
内海「例えばITツールに関しては、コロナ禍以降特にチャットなどのコミュニケーションツールの利用が拡大し、当たり前に使うようになりました。初動対応も対策本部もITツールありきだからこそ、そのツールがBCP対応でもきちんと機能するのかが重要。実際の支援の中ではこうしたこともお伝えしています。サードパーティとの責任については、日本人は『阿吽の呼吸』を期待しがちです。サードパーティと契約をする際などは、ここを曖昧にせず、対策を検討することが必要です。そしてこうした対策の方針は、トップが自ら指揮をとって現場に落とし込む。これを必ずやらないとうまくいきません」
内海「IT-BCPを成功させるためには、自社の過去の事故を振り返ることと、他社の事例報告書をしっかりと見ることも重要です。ここには自分たちの組織を改善するためのヒントが詰まっています。そうした知識を踏まえ、有事対応の土台を作り、ビジネスを止めない指標と有事対応を連動させることが重要です」
しかし、実務においてはシステム障害があった際、IT障害とサイバー攻撃は、最初は見分けがつきません。だからこそ、IT-BCPとサイバーセキュリティは境界を隔てずに考える必要があります。
講演④サイバーセキュリティ
サイバー対応はビジネスと融合すべき
-経営による推進を実現するニュートンのサイバーセキュリティ総点検-
登壇者:エグゼクティブコンサルタント 星野 靖
星野「サイバーセキュリティは、ビジネスを適切に成長させるために取り組むべきもの。ビジネスとの連動もそうですが、技術だけ手を打つのではなく、バランス良く少しずつ改善を進めていく必要があります」
実際に支援を行った事例として、フィンテック企業とSaaS企業の二つを紹介しました。一つ目は、セキュリティで問題が発覚したのを機に、総合的に監査をしてほしいという依頼を受けた事例です。
星野「最初の事例の企業に対する監査は、整備状況監査と運用状況監査の二回に分けて行いました。結果を一言でいうなら、もうボロボロ。管理体制は脆弱で、ルールやツールには不備がある。現場の意識も不足しているような状態でした」
しかし、そこから約半年後、二回目の運用状況監査で大きな変化が見られたといいます。
星野「金融機関横並びで見ても、ここまでのレベルでサイバーセキュリティに取り組んでいる会社はそうそういないくらい、大きくジャンプアップしていました。なぜそこまで大きく変われたかというと、やはり経営トップの思いの強さ。このままではまずいと感じた経営トップが、現場に向けて大号令をかけたのです。それにより推進力のあるセキュリティ部隊ができて、現場に積極的に関わるようになり、全社のサイバーセキュリティに対する意識醸成が進みました。すごく大きな進歩をした事例です」
二つ目は個人情報漏えいをきっかけに、セキュリティレベルを引き上げるべく、現状のセキュリティ対応状況を評価した事例です。
星野「こちらは、全社を巻き込んで進めていく支援であり、セキュリティガバナンスの支援という言い方もできます。事業・業務の状況を棚卸し、リスクアセスメントやセキュリティ評価を行った結果から出てきた課題を、誰が、いつまでにやるかまで、全員で整理しました」
その結果として、目に見える変化が出てきたといいます。
星野「システムやセキュリティの担当者だけでなく、顧客対応部門も含めて全員で一緒に考えたことによって、セキュリティを対応する意味、重要性を皆さんに認識してもらえるようになりました」
こうしたサイバーセキュリティ対応がうまくいく事例には、共通要素があると述べています。
星野「紹介した事例でもそうでしたが、何か問題が起きて、経営の皆さんは危機感を抱いた。トップの意識が現場にも伝わって、全員が本気になったからこうしたハイレベルなセキュリティ改善ができたのだと思います」
最後に、企業におけるサイバーセキュリティのありかたについてまとめました。
星野「ビジネスの成長をまず考えるというのは、企業の性だと思います。それでも、どこかで問題が起きるかもしれないということは意識して、リスクマネジメントやサイバーセキュリティ重要な経営課題として捉えていただきたいのです。当社が支援をする際には、前の講演でも何度も出てきていますが、『トップインタビュー』を大事にしています。当社では、トップが全員を巻き込むような形のサイバーセキュリティ総点検を提供します。ITを利用する以上、サイバーセキュリティは避けられない問題です。現状を把握して、ギャップを少しずつ改善するところから始めましょう」
クロージング
ニュートンが大切にしていること
~dan-loにおける実効力の向上~
登壇者:エグゼクティブコンサルタント 久野 陽一郎
久野「ここまで、ERM/BCP/IT-BCP/サイバーセキュリティのお話をさせていただきましたが、いずれもトップが旗を振る、現場が自走する、訓練を何度でもやり続けることが重要です。ですが、シナリオを考えたり、リアリティを求めたり、訓練をやり続けるのは大変です。そこで、我々は『dan-lo』という訓練ツールを開発し、来春にリリースを予定しています。WEB上で、さまざまなシナリオを体験できるサービスです」
続けて、ニュートン・コンサルティングが行うコンサルティング支援を改めて説明しました。
久野「我々は、リスクマネジメントに関わるコンサルティングサービスを通して、お客様組織の仕組みづくりから対策検討、訓練や評価、改善など、何かしらの形でお力になりたいと考えています。大切なのは、皆さんが有事に対応できるように、平時からリスクマネジメントをし、危機対応力を高めることです。当社は『【あの時もっとこうしておけば良かった】を世界から失くしたい』をビジョンに掲げています。これを本気で実現したいと思っています。我々の活動を通して、少しずつ世界を良くしていけるよう、これからも取り組んでまいります」
なお、訓練ツール『dan-lo』の詳細は、決まり次第順次発表予定です。
参加者アンケート
フォーラム終了後には、参加者の方々に本講演の満足度についてアンケートを実施しました。
「本フォーラム全体の感想をお聞かせください」の問いに対し、55.9%の方から「とてもよかった」、41.9%の方から「よかった」との回答があり、約97%の方にご満足いただけた結果となりました。
おすすめ記事
- 目標復旧地点(RPO: Recovery Point Objective)
- 目標復旧時間 (RTO: Recovery Time Objective)
- 最大許容停止時間 (MTPD: Maximum Tolerable Period of Disruption)
- コールド/ホット/ウォームスタンバイDRサイト
- インシデント管理
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- 1,000万円超を詐取されたビジネスメール詐欺(BEC)の事例を解説 IPA
- 英国の認証制度を活用、手頃な価格で始めるサイバーセキュリティ対策~IASME Cyber Baseline と IASME Cyber Assurance~