自らも直面した、想定外のリスク、想定外に備える鍵は、実効的なマニュアル整備と定期的な訓練――コンサルタント 結城則尚氏:ITmedia エグゼクティブセミナーリポート(1/2 ページ)
今や、ITシステムが社会基盤化し、世の中の動きにサイバーセキュリティが関連している。こうした中で重要なのは、変化に柔軟に対応し、万一の場合にも対処できる事態対処能力を高めることだ。
新型コロナウイルスのパンデミックや気候変動、ロシア・ウクライナ情勢に中東情勢など、世の中の不確実性が高まり、数年先はおろか、数カ月先のことすら予測できない状況だ。加えて、生成AIの高度化によってフェイクニュース、ディープフェイクが量産され、状況はさらに混沌としている。
かつて内閣サイバーセキュリティセンター(NISC)の内閣参事官として、さらにはその前の業務でもさまざまなリスクに向き合ってきた結城則尚氏は、「想定外に臨機応変に対応できる組織づくりを「日常業務における危機管理の導入と訓練の活用」と題して講演を行った。いままでの業務での経験、そしてNISC退職後の自らの最近の経験を元に、あらためて不確実性を前提とした「リスクベース」のアプローチと、訓練も含めた危機対応体制の重要性を訴えた。
見るとやるとは大違い、訓練を通していざというときに迅速に動ける備えを
結城氏は、今や、世の中の動き全てにサイバーセキュリティが関連していると説明した。ITシステムが社会基盤化し、時には人の生命・財産にまで影響を与えるようになった。こうした中で重要なのは、変化に柔軟に対応し、万一の場合にも対処できる事態対処能力を高めることだ。
だが日本人は一般に「確実性」を求める向きが強い。言霊ではないが、「万一こういった事態が起きたらどうしようか」と口に出すことすら控える傾向がみられる。このような状況について結城氏は「リスク活用は転ばぬ先の杖のはずが、実際には転んだ後の杖になっている場合も多く、いざというときに慌ててしまいます」と指摘した。
結城氏自身はNISCでサイバーセキュリティ関連の政策を推進してきたほか、それ以前は原子力、電力、製品安全といった分野に携わってきた。そのキャリアの間には、重要な「教訓」を得られた印象深い出来事がいくつかあったという。
1つは、訓練の重要さを痛感したのが、就職したての約40年前、職場の保安教育で消防署の指導の下、燃え盛る大きな炎を前に、実際に職場にある消火器を使用した消火訓練を受けた経験がその数か月後自宅近くで火災が起こったときに非常に役立ったそうだ。
初めて火災を目の当たりにしたら怖じ気づいても無理はないほどの炎だったが、訓練の経験を元に「この程度の火ならば家庭にある消火器で消せる」と判断し、教えられたとおり安全ピンを抜き、炎にできるだけ近づいて消火器を使って鎮火させ、延焼を防ぐことができた。「これは訓練をしていたからこそできた話です。いろんな計画を立てるのも大事ですが、その計画を確実にする実地訓練が非常に重要だということを強く認識しました」と結城氏は振り返った。
多くの人は、消火器を見たことはあっても使った経験となると少ないはずだ。結城氏は「いざというときに消火器を使おうと思っても、安全ピンを抜かなければ使えませんし、消火器の限られた容量でどのくらいの炎までなら消せるのかを体験しておくことが重要です」と、頭で知っていることと訓練によって経験したことは大きく違うと述べた。
もう1つ、組織人としての経験から得られた教訓が「2つのBCP」の重要性だ。
1つ目のBCPは「ビジネスコンティニュイティプラン」、いわゆる自然災害などに備えた事業継続計画で、すでに整備している企業・組織も多いだろう。だが結城氏は「コロナのパンデミックの際に、IT BCPが組織全体のBCPと連動しておらず、即応性に欠ける場に出くわすことがありました」と振り返り、組織全体のBCPとIT BCPが整合して、相互が連携して動けるよう備えておくことが重要だとした。
2つ目のBCPは、緊急の対応計画をまとめた「ビジネスコンティンジェンシープラン」だ。何か不測の事態が起ればその場その場で対応を考える必要に迫られる。そして、その前提として人・モノ・金といったリソースをどのように割り当て、どのように時間を配分するか、どう作戦を立てていくかといった方針が必要になる。それがコンティンジェンシープランだ。
コンティニュイティプランはできていても、コンティンジェンシープランができていない組織が意外と多いようで、コンティンジェンシープラン策定方針を合わせて立案し、しかも確実に実行できるよう日頃から訓練すべきだとした。
「何か問題が発生すると、どうしてもパニックになってしまいます。この状態でいろんなことをやれと言われても無理でしょう。ビジネスコンティンジェンシープランは、行動原則として頭の中に入れられるくらいに概念化してシンプルにする必要があります」(結城氏)
そもそも、何か不測の事態が起こってしまった時点で、ベストな選択肢はない。だが、だからといって失望する必要もないという。「しいて楽観主義者になり、諦めず、短期間でベターな選択を判断することが大事です。教科書に載っていないような問題でも、必ず今までの経験で対応できます」と結城氏はアドバイスし、その際にはきちんとリラックスして休みを取り、視野が狭まることを防ぐのも重要だとした。
思いも寄らぬリスクが顕在化して痛感した、第三者の存在のありがたみ
NISCから退職した後、結城氏はいくつかの企業のアドバイザーを務めつつ、実家がサイドジョブとして営んでいた不動産賃貸業を引き継ぎ、オーナー経営者としても働いている。組織人としての経験が生きる部分もあれば、「最後は全て自分が背負わなければいけない」という個人事業ならではのプレッシャーもある中、大きな事件に直面することで、あらためて「リスク」と「リスクマネジメント」について考えることになったそうだ。
賃貸業におけるリスクはいろいろあるが、中でも大きなものが「火災リスク」だ。結城氏はリスクマネジメントのセオリーに沿って、低減、回避、移転、受容といったさまざまな対応を講じていたが、ある日、賃貸物件から火災が発生し、全焼する事態が起こった。
火災を知らせる電話を受けたものの、管理会社には連絡が付かない。その上、物件は首都圏から300キロ以上離れた場所にあるため、駆けつけようにも時間がかかる。
「現場に直行すべきか、それともとどまって対策を講じるべきなのか、非常に悩みましたが、これまでの経験から初動対応が非常に重要であることは分かっていたため、東京に残り、自宅を災害対策本部として、弁護士の選任や情報収集・分析、対処計画策定と実行指示を行う方が良いと考えました」(結城氏)
その背景には、幸い地元に、昔から懇意にしていた工務店が「リエゾン」として現場での写真撮影や消防署との調整などに当たってくれたこと、コロナ禍を機に使いこなしていたテレカン・テレワーク手法の活用があったという。
一連の対応において結城氏が最初に行ったのが、「冷静な第三者としての弁護士の選任」だった。管理会社にはこれまで火災対応の経験がなく、勘と経験で動くのは危険だと判断して弁護士を選任したが、これも非常によい選択だったという。非日常事態の中で罹災者の感情が高ぶる場面もある中、慣例・法令を熟知し、冷静な判断を下し、パニックを抑制する「専門家」の存在は非常に大きかったという。
Copyright © ITmedia, Inc. All Rights Reserved.