前々回・前回に続き、レジリエンス・マネジメントについてレクチャーするのは、次世代BCPとレジリエンス・マネジメント双方に詳しい、リスクマネジメントのシニアコンサルタントのD氏である。

情報セキュリティ・マネジメントとレジリエンス・マネジメントの関係

D氏：レジリエンス・マネジメントはセキュリティと事業継続との関係性について、新しい協働のモデルを導入し、これらの相互依存性を効率的かつ効果的に高めることに貢献するものとして期待がかけられています。

聴講者A：セキュリティと事業継続との戦いの最前線でレジリエンス・マネジメントはどのような有効性を持ちうるとお考えでしょうか？

D氏：これまで、レジリエンス強化、セキュリティ強化の抜本的な取り組みが金融機関において先駆的に取り組まれてきたことは決して偶然ではないでしょう。皆さまもご承知かと思いますが、銀行などの金融機関はグローバルなフィールドで活動し、常にセキュリティと事業継続との戦いの最前線に置かれていますね。

　かつてセキュリティ啓蒙団体のCERTがCERT-RMM（RMM＝Resilience Management Model）の開発に着手した際の目的は、情報セキュリティの視点を技術的専門分野のものとして完結させず、情報セキュリティと関係する事業継続、IT 運用マネジメントの分野も合わせて考慮させることにありました。CERTとしては、この目的を達成するためにはCERT-RMMにおいてこれらの相互依存性を明確に定義し、これをもとに組織がこれらに対しての協同的なマネジメントを明確に意識させることを狙いとしていたといわれています。

聴講者A：統合マネジメント・システム（IMS）でも同様の取り組みがなされていたのでしょうか？

D氏：はい、その通りです。しかし、統合マネジメント・システム（IMS）では、それぞれのマネジメント領域の品質管理レベルで整合性が取られているとはいい難い状況です。そのため、現在、さまざまな要素間のすり合わせを図る必要性が叫ばれています。

　しかし私の考えでは、統合マネジメント・システム（IMS）については一定の検証を終えつつあり、今後はこうした取り組みは、次第にレジリエンス・マネジメントへ向けられることになるのではないかと考えています。

聴講者B：BCM規格ではレジリエンスについて具体的にどのように言及しているのでしょうか？

D氏：たとえば、英国規格協会のBCM規格であるBS25999では、レジリエンスを「インシデントに影響されることに抵抗する組織の能力」と定義しています。

　レジリエンス・マネジメントでは情報セキュリティの運用マネジメントについて、従来のような技術的な観点のみでの定義やソリューションに収めようとするアプローチとは一線を画しています。明確に、組織構成員一人一人の責務について明示し、このことで、今後は事業継続とも関係性のある新しい協働のモデルとして位置付けられるはずです。

聴講者C：ここ数年、国家間でサイバー紛争の動きが目立ってきていますが、国家的なレジリエンスの観点でサイバーリスク対策が必要な時期に来ているのではないでしょうか？

D氏：おっしゃる通りですね。私もそれは非常に重要な視点と思います。最近になってようやく日本でも国家的なレジリエンスの観点に立ったサイバーリスク対策の練り直し作業が本格化してきていまし。

　最初にレジリエンスの観点に立ったサイバーリスク対策について言及したのは、2010年度に閣官房情報セキュリティセンターから発刊された調査報告書「サイバー攻撃動向等の環境変化を踏まえた重要インフラのシステムの堅ろう化に関する調査（概要PDF、本文PDF）」です。

　この調査報告書では、初めてレジリエンスの必要性を認識した公的なセキュリティ関連調査報告書となっています。ただしこの報告書では、レジリエンスという言語を「堅ろう化」という、やや時代遅れの用語を使って説明しています。

　厳密にいえば、堅ろう化という概念とレジリエンスという概念は異なる意味合いを持っています。レジリエンスは堅ろう化という狭く、ソリッドな意味で捉えきれるものではありません。しかし、わが国で初めてレジリエンスの重要性、意義を問題提起した報告書として位置付けられるでしょう。

　ちなみにレジリエンスという概念・用語は、英国、オーストリア、カナダ、EUはじめ世界共通のものとして既に国際的に定着しています。

【次ページ】サイバー攻撃がレジリエンス・マネジメントの認識欠如を露呈させた