重要な組織の優先事項：レジリエンス

あらゆる組織の業務が中断されることは多く、日々増え続けています。 

ランサムウェアの「商業化」によるサイバー攻撃の増加も、もう一つの明らかな例です。しかし、すべての潜在的な中断が犯罪的な意図によるものではありません。いつの日も、人為的なエラーや事故は業務中断の最も一般的な原因です。

原材料の不足やグローバルに相互接続されたサプライチェーンの混乱も、即座に影響を及ぼす可能性があります。2021年に貨物船エヴァーギヴンがスエズ運河で6日間も座礁し、大混乱に陥ったことは皆さんも覚えていると思います。このリストには、主要な機械やプロセスの故障から、地政学的紛争、貿易戦争など、幅広い問題が続きます。

したがって、レジリエンスの必要性はすべての組織にとって優先事項となっています。国家の重要インフラのあらゆる側面を提供する企業にとって、レジリエンスは非常に重要になり、規制の必須事項となっています。 

このため、焦点は「重要インフラ」から「重要事業体」へと広がり、国の経済的または社会的繁栄にとって中心的であると定義される産業リストが増えており、それらを支える上で、たとえ規模が小さくても役割を果たすあらゆる組織が対象に含まれるようになりました。

重要事業体に対する規制要求の高まり

欧州では、サイバーセキュリティに焦点を当てたNIS2指令と、より広範な重要事業体のレジリエンスに関する指令 (CER) がEU加盟国で法律として制定されています。これらはいずれも、「重要事業体」として定義される組織に大きな要求を課しています。重要事業体とは、社会の重要な機能を維持し、経済を支援し、公衆衛生と安全を確保し、環境を保護するために不可欠と見なされるサービスの提供に何らかの形で関与する組織です。

両方の指令は深くつながっています。2つの指令が明確に定義された同じ重要事業体リストに影響を与えるのは、今回が初めてです。それだけでなく、法律はこれらの組織のサプライチェーン全体にも適用され、指令の影響は大幅に拡大しています。

「レジリエンス」の定義（および実証）

欧州委員会のCER指令は、レジリエンスを「インシデントを防止、保護、対応、抵抗、緩和、吸収、対応、回復する重要事業体の能力」と定義しています。

この定義自体は、要求事項の幅を強調しています。さらに、組織のサプライチェーンがこのレジリエンスの定義をサポートする必要性に加えて、業務の中断を引き起こす可能性のある原因の多様性と数も考慮すると、課題の規模が明らかになります。

基本的なレベルでは、重要事業体は自社がさらされる可能性のある すべてのリスクを包括的に理解していることを示す必要があります。これらのリスクは、インフラへの物理的な攻撃から重要な機械やコンポーネントの故障まで、あらゆるものに及びます。 

包括的なリスク評価と違反の潜在的コスト

重要事業体は4年ごとにこれらのリスクの進化に関するリスク評価を実施し、重要なサービスの提供を妨げる可能性のあるすべての関連リスクを再度評価する必要があります。 

必然的に、重要事業体自体が実施するリスク評価では、自社のサプライチェーンのレジリエンスにおける役割も強調されることになります。これにより、リスク評価の「ウォーターフォール効果」が生まれます。これは、レジリエンスに関する指令要求を満たすために重要事業体自身が取り組みを行い、サプライヤーも同様に堅牢なアプローチを実証する必要があるためです。

必要不可欠なサービスの提供を中断するインシデントが発生した場合、重要事業体はインシデントを回避し、対応し、回復するために適切な措置を講じたことを証明する必要があります。 

そのような重要事業体が違反していることが判明した場合や、すべてのリスクを適切に考慮し準備しなかった場合、その潜在的な罰則は重大です。NIS2では、最大1,000万ユーロ、または重要事業体が属する親会社またはグループの前会計年度の全世界の年間総収益の2%のいずれか高い方の罰金が定められています。CER違反に対する罰則は各国が定めることになりますが、NIS2の罰則と同程度の規模になる可能性があります。

オープンなコミュニケーションは、指令のもう一つの要求事項です。インシデントはすべて報告し、インシデントの性質、対応、解決度に関してオープンかつ透明性をもって報告を共有する必要があります。これは、他の組織がこの経験から学び、リスクを軽減するために独自のアプローチを調整できるようにするためです。

ネットワーク技術によるレジリエンスの必要性をサポート

レジリエンスのニーズを満たすために、重要事業体はビデオ監視カメラ、音声装置、アクセス制御ソリューション、インターコム、環境センサーなどのすでに導入されているIPベースの技術と、ますます高度化する分析機能の使用を再考しています。

初期リスク評価自体も含め、レジリエンスの定義のほぼすべての側面はこのような技術によってサポートできます。ネットワークビデオやその他の接続された装置やセンサーによって作成されたデータとメタデータを分析することで、リスクをもたらす可能性のあるほぼすべての状況に対する認識を高めることができます。これは、規制で要求されるレジリエンスの証明を提供する上で重要な要素です。

画像品質の進歩とAI対応の分析機能により、あらゆる種類の問題を事前により正確に特定する能力が大幅に向上しました。作成されたデジタル情報ストリームは、適切に管理されると全体的な認識が向上し、問題を予測して回避するための鍵となります。自動アラートにより、迅速な対応と集中的なアクションが可能になり、脅威や潜在的な問題がインシデントになる前に対処できるようになります。 

リスク環境全体を緩和する

従来のセキュリティのユースケースはビデオ監視が中心的な役割を果たしてきた明らかな例ですが、環境をよりよく理解し、分析する能力が高まれば、健康と安全、および運用効率の分野での数多くのユースケースがサポートされます。 

生産エリアの透明性をさらに高めるために、映像、音声、温度のセンサーを組み合わせることで、主要な機械やプロセスなどの重要資産の問題を早期に警告することができます。これにより、潜在的な障害が発生する前に修復が可能になり、時間の経過とともに収集されたデータは重要資産の予知保全をサポートします。

関連する健康と安全のプロセスを遵守できない場合も重大なリスクとなり、何らかのインシデントが発生すると業務が中断される可能性があります。 堅牢なアクセス制御（許可された担当者のみをサイトの機密エリアに入ることができるようにする）と、適切な健康と安全対策が順守されていることを確認するための分析は、ネットワーク技術が内部リスクの軽減にどのように役立つかを示す2つの例にすぎません。

外部からの物理的な攻撃はしばしば注目を集めますが、業務の中断を引き起こすほとんどのインシデントは社内の行動や失敗の結果であり、通常は無害ですが、時には故意によるものです。たとえば、サイバー攻撃の大部分は人為的ミスが原因であることが研究で一貫して示されており、健康と安全に関するインシデント、機械の故障、サプライチェーンのボトルネックについても同様のことが当てはまる場合が多いと言えます。

サイバーセキュリティは依然として重要なリスク領域

重要事業体が使用する技術は組織の全体的なセキュリティ体制をサポートし、サイバー攻撃のリスクを軽減することが不可欠です。重要事業体の業務の1つの側面を保護するために設計された装置は、それ自体がリスクや脆弱性をもたらすべきではありません。装置は設計上安全であることに加えて、ベンダーと重要事業体が緊密に連携し、装置の寿命全体にわたって可能な限り安全に保つためのプロセスを設ける必要があります。 

これは、広範かつ具体的な規制によってますます義務付けられるようになっています。これには、家庭内のスマートスピーカーからデータセンターのサーバーまで、ネットワークに直接的または間接的に接続されたあらゆる電子機器に適用される欧州サイバーレジリエンス法や、重要事業体に特に関連するCERやNIS2などが含まれます。サイバーセキュリティに関する透明性への明確な取り組みを示すベンダーと協力することが重要です。

レジリエンスは任意事項ではなく今や必須事項

すべての組織は、レジリエンスの向上に関心を持つべきです。良く見積もった場合でも、業務中断は収益性に短期的な影響を及ぼす可能性があります。最悪の場合、組織のビジネス全体を脅かす可能性があります。その損失には直接的/間接的なもの、有形/無形のもの、予測可能/予測不可能なものが考えられます。組織の評判に対する長期的な損失は、短期的な財務的影響をはるかに上回る可能性があります。

医療から金融、水処理からエネルギーに至るまでの重要事業体に関して、規制当局はこれらのサービスの供給が中断した場合の潜在的影響の深刻さを認識しています。収益性に対する脅威は一つですが、 公衆衛生に対する脅威はまったく別のものです。

新しい指令は肯定的に捉えられるべきですが、それを満たすために必要な作業を過小評価することはできません。より大規模な重要事業体や組織はこの取り組みを始めていますが、重要インフラのサプライチェーン全体における他の多くの組織はそうではありません。新しい指令は多数の中小企業を対象としており、その大部分は指令に準拠する知識、専門知識、能力が不足している可能性があります。サードパーティの専門知識とスキルが役立ちますが、これらに対する需要はすぐに供給を上回る可能性があります。今こそ行動する時なのです。