運用のレジリエンスとは?
運用のレジリエンスの定義
運用のレジリエンスとは、運用面の混乱を防止、検知し、対応、復旧して、そこから学びを得る能力です。組織にとって、運用のレジリエンスは、現在と未来におけるビジネスの継続性と安定性を確保するうえで欠かせない要素です。レジリエンスを実践している企業は、景気の低迷時でも高い収益を生み出しています。1
運用のレジリエンスに必要なものは何でしょうか。それは、入念な計画と、人材、プロセス、テクノロジー(PPT)フレームワーク戦略です。効果的な運用レジリエンスとは、対応と復旧のプロセスを改善する、リスクの軽減と管理の戦略と言えるでしょう。運用面の混乱は、収益の損失、顧客の不信、評判の悪化につながるおそれがあります。運用のレジリエンスを備えていれば、組織、パートナー、顧客に混乱をもたらしかねない事態の影響を最小限に抑えることができます。つまり、ビジネスの継続を確保できるのです。
運用レジリエンスの柱
運用のレジリエンスを構成する各柱によって、企業は混乱が発生した場合でも、中断することなくビジネスを継続できます。運用レジリエンスの柱は、5つに分類できます。
リスクの特定と評価:リスクの特定と評価は、リスク管理戦略の基本であり、運用のレジリエンスを高めるための中核的な取り組みです。ビジネスの規模拡大や成長にはリスクを伴います。セキュリティ侵害、経済変動、サプライチェーンの混乱、組織の変革など、あらゆることが潜在的な脅威になります。
リスクを特定して評価する方法には、ブレインストーミング、ドキュメントレビュー、情報収集、強み・弱み・機会・脅威(SWOT)分析、根本原因分析(RCA)、仮定分析、リスクレジスターなどがあります。リスクに優先順位を付ければ、対応能力が向上します。関係各所は、中断を最小限に抑えるかまったく生じさせずにビジネス活動を遂行できます。
事業継続計画の策定:混乱に直面してもビジネスを"通常どおり"継続するには、どんな混乱シナリオにも対応する業務の順序と関係者のリストを確立する必要があります。これが事業継続計画の策定です。リスクの特定と評価の方法論に基づいて計画を作成し、潜在的な混乱に対する解決策を定めるものです。ITチーム、セキュリティチーム、経営幹部で構成される計画策定委員会が、混乱が発生した場合に影響を最小限に抑えるために講じるべき措置を準備します。
事業継続計画の成否は、情報収集(リスク評価)、計画の策定と設計、実装、テスト、継続的な保守と更新という複数の手順に左右されます。また、新しい法律や規制などの外部要因から、新しい社内技術などの内部要因まで、さまざまな環境的要因もあります。そのため、事業継続計画を遂行するためには、定期的な見直しが非常に重要になります。
組織の規模に応じて、考慮すべき要素はさまざまで、考慮すべきリスクの程度も異なります。優れた事業継続計画はシンプルです。継続的な運用に不可欠なリソース、継続的な運用に関連する場所、継続的な運用の担当者、潜在的なコストが明確化されています。
インシデントレスポンスと復旧:デジタル時代の避けられない宿命として、企業はサイバーセキュリティの侵害、脅威、攻撃への対処を余儀なくされています。インシデントレスポンスと復旧の計画は、サイバー攻撃を防止し、発生した場合の影響を最小限に抑えるために正式に策定されたプロセスとテクノロジーです。一般的なセキュリティインシデントには、ランサムウェア、フィッシング、ソーシャルエンジニアリング、分散型サービス拒否(DDoS)攻撃、サプライチェーン攻撃、内部脅威などがあります。
インシデントレスポンスと復旧の計画は、一般に、専任のコンピューターセキュリティインシデントレスポンスチーム(CSIRT)によって作成されます。このチームのメンバーは通常、組織の最高情報セキュリティ責任者(CISO)、セキュリティオペレーションセンター(SOC)、ITスタッフのほか、経営幹部、法務、人事、リスク管理、規制コンプライアンスの各部門の関係者で構成されます。計画には、何らかのインシデントが発生した場合の各関係者の役割と責任が詳細に規定されます。また、停止時に影響を受けたシステムを復元する手順、インシデントに対して実行される詳細な手順、影響を受けるすべての関係者に通知するための連絡手順、インシデント後のレビューと今後の学びのためのデータ収集方法もおおまかに記載されています。
インシデントレスポンスと復旧のプロセスには、検知と分析の手順、封じ込めの手順、根絶のためのソリューションも含まれている必要があります。サイバーセキュリティチームによって脅威が検知され分析されたら、被害を最小限に抑えるために脅威の封じ込めが必要になります。短期的な封じ込め措置は脅威に即座に対処して無力化するのに対して、長期的な封じ込め措置では、影響を受けていないシステムの防御を強化することに重点が置かれます。脅威を封じ込めたら、チームは脅威を完全に根絶して問題を解決できます。その後に復旧が実施されます。チームはパッチを適用したりシステムをオンラインに戻したりして、システムを通常の運用に復元します。
危機管理:危機管理は、規模の大小にかかわらず、何らかの危機に対して組織がどのように対応するかで定義されます。混乱をもたらす出来事が発生すると、組織は対応し、事業継続計画を実行します。これが危機管理です。効果的なリーダーシップ、効率的な手順、速やかな動員が、危機管理活動の成否を分ける鍵となります。
適応型のガバナンスと文化:効果的な危機管理には、高い俊敏性と適応性が組織に求められます。混乱への迅速な対応は、運用のレジリエンスを実現するための要素の1つにすぎません。適応型のガバナンスと文化を導入するということは、組織が自社の環境やインシデントから積極的に学び、将来の意思決定に役立てることを意味します。いわば、組織レベルで成長のマインドセットを実践するということです。
運用のレジリエンスが重要である理由
運用のレジリエンスは、あらゆる組織の収益にとって重要です。サービスが遅れたり中断したりハッキングされたりすると、顧客や安全性に影響が出ます。利便性低下から医療のように命に関わる事態まで、業界に応じてさまざまな影響をもたらす可能性があります。顧客の信頼を損ない、法的な影響を生じるリスクもあれば、データ漏洩が規制遵守違反に該当する可能性もあります。短期的には、問題解決に手を取られて他のことができなくなり、長期的には、会社の評判が損なわれます。
運用のレジリエンスを備えていれば、ITチームはダウンタイムを最小限に抑えることができ、迅速な復旧を確保し、運用面の混乱を抑え、生産性を維持できます。停止を予防したり迅速に解決したりすることで、顧客の信頼と組織の評判も守ることができます。これが、収益の損失とそれに伴う財務の不安定性から組織を守ることにつながります。
事業継続と運用のレジリエンス
事業継続と運用のレジリエンスは、同じ意味で使われることもありますが、範囲とアプローチが異なります。事業継続は、運用レジリエンスの柱の1つであり、混乱が生じた場合でもビジネスの円滑かつ速やかな継続を確保することを目的とした、正式かつ具体的な計画を指します。
運用のレジリエンスとは、組織が混乱を乗り切り、適応し、終息後にさらに進化するための、包括的かつプロアクティブなアプローチです。これには、絶えず機能を強化するための継続的な評価も含まれます。サプライチェーン、テクノロジー、コミュニケーション、従業員など、組織のあらゆる要素の再評価を行います。
運用のレジリエンスでは、復旧の手順を補完するために適応型のガバナンスと継続的な改善が活用されます。企業がレジリエンスを発揮するには、事業継続計画と運用のレジリエンスの両方の手法が必要になります。
運用レジリエンスの課題
組織が最新のイテレーションに適応する時間を取れないうちに次の新しいテクノロジーが登場するため、運用のレジリエンスを実現することはますます難しくなっています。サイバー脅威もますます巧妙化しており、組織にはサイバーセキュリティのプロフェッショナルやテクノロジーへの多大な投資が欠かせないものとなっています。サプライチェーンはかつてないほど複雑化し、世界各地の関係者が関与する複雑なネットワークに依存しており、さまざまな規制要件が適用されています。
どの組織にとっても、コストのバランスを取りながらレジリエンスを確保することが、常に課題となります。運用のレジリエンスは、最終的には、組織の生産性、ひいては財務的な実行可能性に大きな影響を与えます。企業は、安定性と成長を維持するために資金とリソースを最も効果的に割り当てる方法を明らかにするために、優先すべき課題を特定する必要があります。
サイバー脅威やデータ侵害を軽減するには、これまで以上に多くのリソースも必要になります。脅威アクターの装備は高度化し、企業が受ける攻撃の領域は広がっており、脆弱性の数も増加しています。デジタル環境の拡大は、組織に開発の柔軟性とスピードをもたらす反面、運用のレジリエンスという大きな課題にもなっています。
運用のレジリエンスのベストプラクティス
運用のレジリエンスを強化するための第一歩は、包括的なレジリエンスフレームワークの開発です。構造化されたアプローチを通じて、戦略計画から日常業務に至るまで、組織のあらゆる面にレジリエンスフレームワークを組み込むことが必要です。
効果的なサイバーセキュリティレジリエンスを実現するには、堅牢な対策を実装し、定期的なテストと訓練を実施する必要があります。プロアクティブなアプローチを採用できれば、サイバー脅威への対抗としては半分勝ったも同然です。また、綿密で的確なインシデントレスポンスと復旧の計画が正式に策定されていることも意味します。事前の備えが鍵なのです。
突き詰めれば、レジリエンスとは組織内の文化の問題だと言えます。あらゆるチャネルを通じた効果的なコミュニケーションと、リーダーシップによる継続的な学びへの取り組みが、運用のレジリエンスを高めるために不可欠です。
運用レジリエンスの未来
企業がAIや機械学習のテクノロジーに対して支出を増やし続けていくと、運用レジリエンスの強化にもそれらのテクノロジーが活用されるようになるかもしれません。データ分析と機械学習を活用した予防的レジリエンスモデルは、ツールを使わないアナリストよりも迅速かつ詳細に潜在的な混乱を予測できるようになり、リスク管理の取り組みを向上させるでしょう。
グローバルなコラボレーションと情報共有も、レジリエンスに優れた組織を育成するうえで重要な役割を果たします。サプライチェーンが国境を越え、ほとんどの企業がタイムゾーンを越えて従業員を雇用していますが、この傾向が弱まる気配を見せない状況からすると、規制準拠、新たな脅威、セキュリティ戦略の分野における国際協力が、組織のレジリエンス確保に大いに貢献することでしょう。
予期せぬ事態に備えるために、企業は持続可能で長期的なレジリエンス戦略を検討する必要に迫られます。気候変動の危機が進行し、深刻な混乱を引き起こすおそれのある気象現象が発生する今、レジリエンスは持続可能な選択と密接に関連しています。保護対策に限ったことではありません。真の運用レジリエンスを実現するには、再発明とイノベーションが必要なのです。
運用のレジリエンスに関するリソース
- Achieve operational resilience with a flexible data store(柔軟なデータストアで運用のレジリエンスを実現)
- From vision to reality:Your guide to using generative AI to improve operational resilience(ビジョンを現実に:生成AIによる運用レジリエンスの改善ガイド)
- Improve operational resilience with generative AI(生成AIによる運用レジリエンスの改善)
- Generative AI for business observability:What IT leaders need to know(生成AIでビジネスオブザーバビリティを実現:ITリーダーが知っておくべきこと)
- 隠れたデータの課題を解決し、運用のレジリエンスを高める
- DORA:A paradigm shift in cybersecurity and operational resilience(DORA:サイバーセキュリティと運用のレジリエンスにおけるパラダイムシフト)
- GovLoop playbook:Strengthening operational resilience(GovLoopプレイブック:運用のレジリエンスを強化)
脚注
McKinsey、『Resilience for sustainable, inclusive growth』、2022年。