最近ではこれと同様の考え方が、スイスのバーゼル銀行監督委員会からも発表されている。それが2021年3月に公表された「オペレーショナル・レジリエンスのための諸原則」だ。これは平時のガバナンスからセキュリティ、有事対応のBCPに至るまで、7つの原則で構成されている。注目したいのは、従来のようにそれぞれのインシデント対応を個別に考えるのではなく「経営にインパクトを与えるものを統合して管理していこう」という考え方に基づいている点だ。
またここに盛り込まれている「4つの手段」の中に「耐性度」が盛り込まれているが、これは「復旧目標」とほぼ同じ意味で使われているという。今までは一般的にBCPでしか復旧目標を定められていなかった。しかしセキュリティ対応でもこれを決めていこうという考え方は、今後は金融業界以外にも広がっていくと予想される。
「これまでも、情報セキュリティからサイバーセキュリティ、さらにサイバー攻撃対応の高度化へと取り組みが進化してきましたが、これからは『ビジネス視点でインシデント対応を融合』させ、最終的に『レジリエンスカルチャーを醸成』していく必要があるのです」と内海氏は話す。
とはいえ、自社だけでこうした新しい取り組みを行っていくことは容易ではない。そこでニュートン・コンサルティングでは「『あの時もっとこうしておけば良かった』を世界から失くしたい」というビジョンのもと、リスクマネジメントにかかわるコンサルティングを展開。その一環として、サイバーセキュリティ支援ソリューションを最上流から提供しているという。
まず前者の「インシデント対応の融合」に関しては、最初に必ず経営トップにインタビューを実施する。「経営とサイバーをつなげるには、経営トップの参画が不可欠だと考えているからです。その次に行うべきことが優先業務の特定です。これも従来のサイバー攻撃対策ではあまり行われてこなかったことですが、耐性度を考えるには必須となります。その上でシステムの観点から重要性や対策の方向性へと落とし込んでいくことで、ビジネスとシステムをつなぐことができるのです」(内海氏)
当然ながら適切な対応を確実に行うには、組織として危機対応の全体像を明確化しておく必要がある。そこで同社では危機対応の全体像を提示している。大きくは「初動・緊急時対応(ERP:Emergency Response Plan)」「全社的な危機対応(CMP:Crisis Management Plan)」「事業・業務継続対応(BCP)」の3フェーズだ(図2)。
「インシデントが発生したらまずCSIRT/SOCや情報システム部門がERPとして迅速に対応。ここで経営にインパクトがあると判断された場合には、CMPとして全社的な対策本部を設置し、CSIRTやSOCもそのメンバーとして参画します。さらに対策本部で『業務継続に注力すべき』と判断したら、BCPに基づいて動いていくことになります。この考え方であれば、サイバー攻撃でも災害でも、同じような流れで対応できるようになります」(内海氏)。
