自らも直面した、想定外のリスク、想定外に備える鍵は、実効的なマニュアル整備と定期的な訓練――コンサルタント 結城則尚氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

今や、ITシステムが社会基盤化し、世の中の動きにサイバーセキュリティが関連している。こうした中で重要なのは、変化に柔軟に対応し、万一の場合にも対処できる事態対処能力を高めることだ。

[高橋睦美，ITmedia]

　とはいえ、火事というリスクが顕在化し、資産がなくなってしまった事実は、結城氏にとっても大きなショックだったそうだ。現役時代からたびたび「リスクはゼロにはならないため、リスクの受容は不可欠です」と呼びかけてきた。だが「実際自分の身に起きてしまうと、頭では分かっていても事実を受け入れることは容易ではありません。自分の心の中にもまだゼロリスク志向があったことを認識しました」という。

　一連の対応が落ち着いて事後検証を行った結果、人身傷害も延焼もなく、先立って講じていたいくつかのリスク軽減策が功を奏していたことも分かった。まさに「不幸中の幸い」だが、「不幸中の幸いは偶然ではなく、地道なリスクマネジメントを実践してきた結果と感じました。“幸い”の運は、自分で作ってきたと納得できて腑に落ちました」（結城氏）

　そして、個人事業主は組織人と背負うものが違うとは言え、対処法は基本的には変わらず、組織で学んだことが多く生かせることも痛感した。今はこの経験を経て、P(計画)から始まるPDCAではなく、C(評価)から始まる「CAPD」で立ち直りに取り組み始めているという。

マニュアルは金科玉条ではない――定期的な見直しと訓練を

　次に結城氏が重要性を強調したのが、平時からの備えだ。有事に備え、平時を意味あるものにしていくには、「実態に即した手順をマニュアル化すること」が重要だとした。

　ただ、これも日本人にありがちなことだが、一度作ったマニュアルを後生大事に守り続けてしまいがちだ。だが結城氏は、運用していく中で不合理な点が見つかれば、即座に手直しすることが重要だと呼びかけた。

　「一番よくないのは、“マニュアルではああなっていますが、実際はこうです”というマニュアルの形骸化です。マニュアルに記載された内容は必ず順守する、できないことは記載しないといった言行一致が重要であり、マニュアルはそういうものであると位置づけなければなりません」（結城氏）

　では、なぜ現場ではマニュアルに手を入れたがらないのだろうか。どんどん肥大化しがちなことが理由の一つとして考えられる。だが結城氏は、「当たり前のことまでマニュアル化しようとすると、面倒くさがられます。作業者の能力に応じてマニュアル化の範囲を割愛して、コンパクトにすべきでしょう」と、簡素化できる部分は簡素化すべきと呼びかけた。

　一方で、われわれを取り巻く環境はどんどん変化している。そうした変化に追随すべく、NISTサイバーセキュリティフレームワーク 2.0における「ガバナンス」の観点やグローバルサプライチェーン、人手不足・予算不足を背景したヒューマンエラー、あるいは自然災害など、さまざまな要素を盛り込んで、しかるべき部分は改めていくべきだとした。

　マニュアルの内容と同じかそれ以上に重要なのが、いつ起こるか分からない有事に備えて定期的に訓練を行い、擬似的に有事を「体験」し、検証を行って改善していくことだ。

　サイバーセキュリティの分野ではないが、結城氏はかつて自然災害に備え、数カ月に1回訓練を行っていたことがある。その結果「実際に災害が起こっても、訓練と変わらず、良い意味で緊張しすぎず余裕を持って対応できました」（同氏）

　そして、有事、つまり問題を早期に検出するには、「何が正常な状態か」を知っておく必要がある。かつて結城氏が働いていたあるプラントでは、「いつもと違う音がする」というベテランの指示で大型ポンプを分解してみたところ、水温の変化による熱収縮によりランナーとケーシングが当たっていたことが判明して驚いたことがあったというが、こんな風に、正しい日常業務を定義し、その上で実効的なマニュアルを作成し、継続的に改善していくこと、同時に定期的な訓練を実施し、課題検出されたら速やかにフィードバックしていくことが重要だとした。

　そして最後にもう一度、不確実な世の中で生き延びていくポイントとして「世の中のいろいろな事柄は全て、サイバーセキュリティに関係します。さまざまな物事をサイバーセキュリティと切り離すのではなく、一緒に考えていきましょう」と呼びかけ、実効的なマニュアルを整備し、訓練を通して必要な改善を行い、擬似的に有事を経験することによって「いざ」という時の対応を円滑にできるように備えてほしいと呼びかけ、講演を終えた。