従来の災害対策では地政学リスクを防げない。輸出規制や制裁がクラウド利用を突如制限する今、情シスは何をすべきか。供給網やデータ主権から見てITインフラのレジリエンスを再定義する手法を解説する。
地政学リスクは、ITの新たな脅威となっている。テクノロジーのレジリエンス(回復力)を向上させる際、もはやサイバー攻撃やヒューマンエラー、システム障害、自然災害だけを考慮すればよい時代ではない。地政学リスクはいまや、経営会議の意思決定から日々の運用にまで影響を及ぼしている。
現代のCIOは、クラウドサービスの制限やサプライチェーンの中断、コンプライアンス義務の急変を招く混乱を想定しなければならない。企業戦略に地政学的なレジリエンスを組み込むことは、新たなリスクから自社を守る武器となる。
本記事では、新たなレジリエンスの課題として地政学リスクを解説する。その核心となる問題を探り、地政学リスクの緩和策を事業継続計画(BCP)に統合する方法を紹介する。
地政学的な出来事は、もはや単なる戦略的・経済的な懸念事項ではない。エンタープライズITの運用に直接的な影響を及ぼすものだ。制裁、輸出管理、通商紛争、武力紛争、市民の不安、規制の変化などは、ほとんど予告なしに運用を中断させる可能性がある。
混乱が起きてから対処するのでは不十分だ。企業のレジリエンス計画の一環として、これらのリスクを予測しなければならない。回復力を確保できなければ、以下のような事態を招く恐れがある。
財務面の影響は、システム停止にとどまらない。生産性の低下、顧客の不満、規制当局による罰金、そして企業評価の失墜へと波及する。
従来の災害復旧(DR)計画は、自然災害、サイバー攻撃やランサムウェア、ハードウェアの故障、ヒューマンエラーといった個別の事象を前提としているため、地政学リスクへの備えとしては不十分だ。従来のDR計画は、基盤となるインフラやクラウドプロバイダー、通信ネットワーク、ベンダーが利用可能なままであることを前提としていることが多い。
しかし、地政学的な出来事はこの前提を覆す。複数の地域や企業にまたがる依存関係を同時に損なうからだ。政治的な混乱はいまや運用リスクであり、従来のDR計画では対応できない新たなカテゴリーのリスクといえる。
地政学的な混乱が従来の災害と異なる点は以下の通りだ。
局所的な停電などとは異なり、地政学的な混乱は数カ月間続いたり、政府の政策変更によって急速に状況が変化したりすることがある。
地政学リスクは、データ管理、プロバイダー、供給網、インシデント対応など、IT運用の根幹に影響を及ぼす。
データ主権の順守は、データの所在地と適用される法律に焦点を当てる。デジタル主権はこれを拡張し、クラウドインフラ、技術プロバイダー、暗号化、重要なデジタルサービスに対する制御を確立するものだ。単一の国やクラウドプロバイダー、管轄区域への過度な依存はBCP上のリスクとなる。
多国籍企業は、プライバシー規制の変化やデータローカライゼーション(データの国内保存義務)に対応するため、世界共通のアプローチではなく、地域ごとの運用モデルを必要とする場面が増えている。
レジリエンスはハードウェアの調達だけではない。半導体の確保から、SaaSベンダー、ソフトウェアの依存関係、さらにはフォースパーティリスク(ベンダーの再委託先によるリスク)まで、全ての技術パートナーを網羅する必要がある。
制裁や紛争は、バックアップの可用性や復旧サイト、管理者アクセスに影響する。特定のクラウドプロバイダーが制裁対象になったり、復旧拠点が紛争地域になったりするシナリオを想定しなければならない。
CIOはまず、自社のクラウドプロバイダーやベンダー、データフロー、地域運用で、地政学的な露出(リスクにさらされている箇所)がどこにあるかを評価すべきだ。政治的な出来事がサイバー攻撃や自然災害と同等、あるいはそれ以上に運用をまひさせる可能性があると認識することがBCP統合の第一歩となる。
次に、ITアーキテクチャにレジリエンスを組み込む。マルチリージョン展開やサプライヤーの多様化、ワークロードのポータビリティ(移植性)を活用し、特定のプロバイダーや地理的条件への依存を減らす。これにより、規制変更やアクセス制限が生じた際、柔軟に適応しやすくなる。
BCP自体も進化させるべきだ。制裁や輸出管理、データローカライゼーション要件の変更などを盛り込んだ机上演習を実施することで、危機が起こる前に計画の不備を洗い出すことができる。
最後に、レジリエンスを測定するための指標を確立する。技術的なパフォーマンスのベンチマークだけでなく、ITのレジリエンスをビジネスリスクに結び付ける指標が有効だ。検討すべき指標の例を以下に挙げる。
地政学的な状況の変化を定期的に見直し、計画を適応させていくことで、予測不能な環境下でもBCPを実効性のあるものに保つことができる。
全てのCIOと取締役会は、地政学リスクについて以下の5つの問いを投げかけることから始めてほしい。
その上で、以下のチェックリストを用いて戦略を構築することが推奨される。
地政学的な複雑さが増す中で、レジリエンスは企業の競争優位性になる。テクノロジー戦略を地政学的な現実に即して能動的に調整する企業こそが、事業の継続と長期的な成長を守り抜くことができる。次の混乱は、サイバー攻撃や自然災害から始まるとは限らないのだ。
Copyright © ITmedia, Inc. All Rights Reserved.
米国法が日本のデータを狙い撃ち? ハイパースケーラー依存が招くガバナンスリスク
巨大テックの「法的新基準」に備えよ 情シスが今すぐ着手すべき3つの監査
なぜ金融庁と日銀は全金融機関に緊急対応を要請したのか フロンティアAIが根本から変えるサイバー攻撃
成熟への5カ年計画 情シスが知るべきゼロトラスト成熟の条件
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...