役員に「100万ユーロの罰金」？ レジリエンス不足が招く個人責任の代償：回復力「数値化」のこつ

「システムが止まった」では済まされない時代が来た。レジリエンス不足は経営陣の個人責任に直結する。形骸化したBCPを、実効性ある「武器」へと変えるための具体策とは。

[Chris Tozzi，TechTarget]

　サイバー攻撃や自然災害でシステムが被害を受け、業務が停止したら、自社はどうなるのか――。どのような状況でもビジネス継続を可能にするには、「オペレーショナルレジリエンス」（業務の回復力）への取り組みが欠かせない。しかし、オペレーショナルレジリエンスは幅広い概念で、その効果をどう「測定」するかが課題になっている。

　パフォーマンス指標の一つであるオペレーショナルレジリエンスを実証するためには、どうすればいいのか。

オペレーショナルレジリエンスの「KPI」とは

併せて読みたいお薦め記事

レジリエンスとは？

• 「組織的レジリエンス」と「業務的レジリエンス」はどう違うのか？
• 生成AIで「オブザーバビリティ」「レジリエンス」はどう変わる？

　企業がオペレーショナルレジリエンスに取り組まなければならない背景には、オペレーショナルレジリエンスの計画や報告を義務付ける規制があることがある。例えば、以下の規制を挙げられる。

• 「Digital Operational Resilience Act」（DORA）
  • 欧州連合（EU）の規制。重要な通信インフラを運営する企業に対し、リスクを定期的に評価してセキュリティテストを実施することを求める。DORAはインシデントが発生した際、その報告と開示を義務付けている。
• 「Network and Information Security Directive 2」（NIS2）
  • EUの指令。インシデント対処計画、BCPテスト、インシデント報告を要求する。
• 「ISO 22301」
  • 国際的なセキュリティ規格。BCPの管理や継続的な改善することを要求する。

　BCPへの取り組みやインシデント開示といった要件が満たされないは、企業だけではなく、経営者の個人責任が問われる場合もある。例えば、DORAは規制違反の場合、経営者に対し最大100万ユーロの罰金を課すことを許可している。過去に大規模な攻撃を受けて業務が停止した企業では、役員が解任になったり、ボーナス金額が大幅に減額されたりする事例がある。企業は、オペレーショナルレジリエンスが不十分なため、ユーザーや株主の信頼を失うリスクにも直面している。

求められる施策とは

　オペレーショナルレジリエンスへの第一歩は、その「KPI」（重要業績評価指標）を定義することだ。KPIによってオペレーショナルレジリエンスが測定しやすくなり、取り組みが十分かどうかの判断もしやすくなる。KPIの定義に当たり、企業はどのデータを定量化し報告するかを決定する必要がある。適切なKPIは業種によって異なる。一般的には、以下のデータがKPIの中核となる。

• システム全体の可用性
  • システム全体の稼働時間を測定し、停止の頻度と期間を定量化する。
• 重要なサービスの可用性
  • 中核業務を妨げる可能性のある重要なサービスの稼働時間を測定する。
• 平均復旧時間（MTTR）
  • 異常が発生した際の業務復旧の迅速さを測定し、BCPの有効性を考える。
• BCP内容の更新頻度
  • BCPの取り組みがどの程度見直され、改訂されているかを追跡する。
• BCPテスト率
  • BCPがどの程度テストされ、問題点が洗い出されているかを把握する。
• 「レジリエンス成熟度」評価
  • 米国立標準技術研究所（NIST）などのフレームワーク（行動指針）を用いて、オペレーショナルレジリエンスとセキュリティを評価する。

　オペレーショナルレジリエンスを実施するに当たってのベストプラクティス（最適な方法）として、以下の施策が有効だ。

• 監視の自動化
  • 専用ツールを使用して、オペレーショナルレジリエンス活動の追跡や、企業の要件が満たされているかどうのチェックを自動化する。
• 定期的な報告
  • 経営陣や株主に対し、オペレーショナルレジリエンス活動について定期的に報告して密なコミュニケーションを図る。
• 従業員向け教育
  • 従業員にオペレーショナルレジリエンス活動の優先事項を伝え、企業全体としてオペレーショナルレジリエンスに取り組む文化を根付かせる。
• 事後分析による改善
  • 事後分析を明確に実施し、根本原因を特定した上、レジリエンス計画の改善を測定可能な形で定義する。