待ったなしのリスク管理と危機管理、ダメージをいかに小さくするか：ITmedia エグゼクティブ フォーラム Report

東日本大震災は、日本企業のリスクや危機に対する意識を変えたとされる。経済、そして、ITの観点からそれがどのようなものであるかを、東京大学の伊藤元重教授やITRの内山悟志社長らが解説する。

[PR／ITmedia]

PR

　東日本大震災を契機にリスクや危機に対する企業の意識が変化しつつある。伝統的な考え方や対策へのこだわりが判断や対応の遅れを招き、被害を大きくしたとも言われる。リスクや危機の管理について、日本企業が震災から学ぶべきことは多い。

　トレンドマイクロが主催したITmedia エグゼクティブ フォーラム「待ったなし、企業のリスク管理と危機管理」では経済、そして、ITの観点から企業が実践すべきリスク管理と危機管理の取り組みについて、講演者から実に多くのヒントが提示された。本稿ではその様子をお伝えする。

大競争時代を迎える日本経済、リスクはチャンス

　冒頭の基調講演「世界経済危機と東日本大震災は何をもたらしたか」では、東京大学大学院経済学研究科教授 総合研究開発機構理事長の伊藤元重氏が、“デフレ”と言われ続ける日本経済の現状と世界経済の実態、そして、将来に日本企業が直面する課題を取り上げた。

東京大学大学院経済学研究科 教授 総合研究開発機構 理事長 伊藤元重氏

　伊藤氏によると、1990年代から2008年にかけて世界経済は安定した成長を続けた時代だった。日本経済はバブル経済崩壊でデフレが続いているが、他方ではこれを安定した状態とみることもできるという。

　このデフレが今後も続くと予想する個人や企業は多いが、伊藤氏はそのようにみていない。この“安定”を打ち破る契機になると伊藤氏が挙げるのが東日本大震災だ。震災の復旧・復興には数十兆円も資金が必要とされ、これまで停滞していた国内市場に突如として大きな需要が出現したという。海外でも新興国市場の台頭によって、これまでの様相に変化が見られるという。天然資源の価格高騰がその一例であり、原材料コストが高まり、いずれは製品価格に転嫁されてくる。その動きは日本市場でも既に起き、この点でも日本で今後もデフレが続くとは言い難いとのことだ。

　伊藤氏は、日本経済が遠からずデフレから脱却すると予想する。「インフレにもなるが、経済が回り始めるようになる」（同氏）という。これは“空洞化”という言葉で表現されることもあるが、伊藤氏によれば、経済学的には “産業構造の転換”というのが正しい表現である。競争力のある企業が生き残り、さらなる成長を遂げていく時代になるとみている。

　その理由として伊藤氏は、経済における「グラビティ（重力）の法則」を挙げる。グラビティの法則とは、距離が近い国ほどお互いに引き合うこと、もしくは経済規模の大きな国ほどお互いに引き合うこと。近い将来に日本と中国やインド、東南アジア諸国連合（ASEAN）との経済的な“引き合い”が今以上に強いものになっていくとのことだ。

　「2030年にはこれらの市場は日本より大きなものになる。日本製品が今以上に強い存在として認知されるようになり、輸出が拡大していくだろう」（伊藤氏）

　海外市場での日本製品の品質に対する信頼は、海外企業が遠く及ばないものであり、特に“ニッチ”な分野での強みは絶大だという。その格好の例が、米Boeingの最新鋭機であるB787に、日本企業の炭素繊維素材が採用されているケース。伊藤氏は、これまでは自動車産業がこの主役を担ってきたが、今後はB787のケースのように、多くの産業分野の日本製品がグローバル市場のニーズに応える存在になるとみている。

　そして伊藤氏は、今後の日本企業について、大きく3つのケースで厳しい生存競争に直面するだろうと指摘する。1つはこれまでに触れた海外市場を巡る戦いである。もう1つは、少子高齢化で縮小していく日本市場を舞台にして戦うケース。「仮に市場規模が20％縮小しても、力のない30％が淘汰されるということ。70％の企業は生き残り、強い企業は成長する」（伊藤氏）とのことであり、強い企業に変革するためには、M&Aを積極的に進めていくことが条件であるという。

　3つのケースは個人消費者を相手とするマス市場での戦いだ。この市場で生き残るには、他社が決して模倣できない独自のビジネスモデルを構築することが条件になる。ITの分野では、iTunesによる独自のマルチメディア流通基盤を構築してiPodを成功に導いた米Appleが代表的だ。

伊藤氏は、大きな変化に直面している日本企業がこれから戦う市場には、当然ながらさまざまなリスクが付きまとうが、長らく続いた停滞から脱して新たな成長を遂げていくチャンスが広がっているとエールを送っている。

ITリスクへのアプローチを変えるべし

　企業におけるリスクへの対応としてはどのような実態と課題が存在しているのか。アイ・ティ・アール代表取締役社長の内山悟志氏が「戦略的ITリスク管理と情報セキュリティ対策の新潮流」と題し、アナリストとしての視点を紹介した。

アイ・ティ・アール 代表取締役社長 内山悟志氏

　内山氏によると、東日本大震災が企業のIT投資に与えた影響は軽微ではあったが、リスクに対する見方を大きく変えるきっかけになったのではないかと指摘する。例えば、東日本大震災では商用データセンターにおける被害は小さかったが、企業が自前で運用するデータセンターには多くの被害が発生した。「今まで“めったに起きない”と考えていたことを、“必ず起きる”ことと、意識を変えるべきだろう」（内山氏）と投げかけている。

　これまでのリスク管理は、受動的、形式的、対処療法的であったと内山氏は話す。リスク管理における投資は、リスクが顕在化して初めてその効果が明らかになるものであり、また、多額の投資としても“完全”というものが存在しないため、積極的に行いづらい分野である。しかし東日本大震災では“想定外”という被害が多方面で発生した。

　リスク管理のアプローチとしては、自社の目に見える有形資産だけでなく、「顧客」「信頼」「安心」「満足度」といった無形資産を含めていく必要があり、ビジネスへの影響を1つの指標として活用しながら、能動的かつ実践的に取り組んでいかなければならないと内山氏はアドバイスしている。

　現在、企業におけるITリスクとして大きな関心を集めているのが、情報セキュリティリスクである。具体的には、騒動を起こすことを目的にした攻撃から特定の企業の情報を狙う「標的型攻撃」の増加、クラウドやWebサービスの普及に伴うコンピューティング利用の変化、ITのコンシューマー化――といった要因でリスクの質が変化している。

　特に標的型攻撃は、標的となった企業や組織では気が付きにくいという特徴があり、PCやサーバにインストールされたセキュリティソフトで防ぐというような伝統的な手法が通用しにくい。そこで内山氏は、「攻撃の発見」に重きを置いた、伝統的な対策の最適化を呼び掛けている。

　その一例として、クラウド技術をベースにしたセキュリティサービスの活用を内山氏は挙げる。クラウドベースのセキュリティ対策には、ウイルス検出などの際にインターネット上のデータベースに蓄積された世界中の脅威情報を参照して、脅威を発見するといったものがある。ウイルス定義ファイルに依存しないため、最新の脅威を可能な限り見逃さないという対策が可能になる。クラウドベースのセキュリティ対策では、ユーザーの管理やエンドポイント以外の場所に適用できるサービスもある。

　こうした最新の対策技術は、コストを掛けることなく伝統的な対策をより強固なものにできる方法であり、その他の部分のセキュリティ強化にコストを振り分けることができるメリットもあるという。

　最新技術を活用した情報セキュリティ対策のアプローチでは、（1）リスクに対する認識を変える、（2）被害を軽微にする「減災」の視点を持つ、（3）クラウドを活用して柔軟性のあるシステムにする、（4）セキュリティレベルの向上を目指す――ということが今後に求められてくるとのことだ。

既存対策の最適化でより強固に

トレンドマイクロ マーケティング本部 コンシューマ＆SBマーケティング部 プロダクトマーケティングマネージャ 坂本健太郎氏

　それでは企業を狙う情報セキュリティの脅威はどのような現状なのだろうか。トレンドマイクロ マーケティング本部 コンシューマ＆SBマーケティング部 プロダクトマーケティングマネージャの坂本健太郎氏によると、2011年に発覚した数々の事件から2つの点で大きな変化がみられるという。１つは社内からではなく、社外（ファイアウォール経由）からの不正アクセスによる個人情報の漏えいの増加、もう1つは個人情報だけでなく、知的財産などの機密情報も標的になっていることである。

　従来の攻撃は、不特定多数を狙って騒ぎを起こす愉快犯的なものだったが、現在は特定の組織の特定の情報を盗み出すことが目的で、攻撃者は目的を達成するまで攻撃を継続する。トレンドマイクロは、このタイプの攻撃を「持続的標的型攻撃」と呼んでいるという。

　持続的標的型攻撃の特徴は、相手を心理的なトリックを使ってだます“ソーシャルエンジニアリング”手法が使われている点にあり、従来型のセキュリティ技術だけでは防ぎきれないという課題が浮き彫りになっているとのことだ。

　このためトレンドマイクロは、攻撃の予兆を早期発見する「Trend Micro Smart Protection Network」というクラウド型の情報収集・分析システムを開発し、その技術を用いた製品を提供している。インターネットやメールを通じて仕掛けられるさまざまな攻撃の特徴から相関関係を分析し、ユーザー企業が直面する脅威の情報や、具体的な対策を迅速に打つための情報を提供する。

　このシステムによるサービスを利用することで、ウイルス／スパム対策などの基本的なセキュリティ対策のレベルを多くのコストをかけることなく、より強化していけるという。

IT管理者の負担を解消

　トレンドマイクロが提供する最新の対策技術を活用して、セキュリティレベルを高めているユーザー企業の１つが産業用計測機器メーカーの堀場製作所である。同社は積極的なM&Aによって海外進出を進めており、約5200人のグループ社員のうち半数近くが外国人というグローバル企業だ。

堀場製作所 業務改革推進センター テクニカルマネージャー 鈴木泰雅氏

　同社は1990年代からメールやリモートアクセスを本格的に運用するようになり、メールセキュリティとして自社運用型の製品を導入した。グローバル進出が加速した2000年代に入ると、ビジネスコミュニケーションでのメールの重要性が一段と高まり、国内外に分散していたメールシステムを統合。併せてスパム対策製品も導入したが、「メールが届かない」などトラブル相談が世界中から昼夜を問わず殺到し、IT部門では対応に追われるようになった。

　「悪質なウイルスやワームの増加に加え、製品の信頼性にも課題があり、IT担当者が全く眠れないような状況になった」と、業務改革推進センター テクニカルマネージャーの鈴木泰雅氏は当時を振り返る。

　2007年にメールのウイルス対策をUTM（統合型脅威管理）製品に、スパム対策をクラウドサービスに切り替えたが、UTMではメールの流通量の増加に対応できず、スパム対策では正しいメールを誤ってスパムと判定してしまう誤検知が多発した。異なるメーカーの製品とサービスを組み合わせで、さらに煩雑な運用を強いられる事態になった。

　そこで2008年にトレンドマイクロの「Trend Micro Hosted Email Security」を導入し、メールセキュリティとスパム対策をSaaS型サービスに一元化した。採用理由は、「（個別機能による）点での対策ではなく、（Trend Micro Smart Protection Networkでの包括的機能による）面での対策ができることに注目した」（鈴木氏）とのこと。この取り組みでメールに関わるトラブルが激減したという。

　現在は2008年に比べてメールの流通量がさらに10倍近くに増えたものの、2008年に導入したこの仕組みは安定した稼働を継続している。「全社員がスパムメールを消去する作業時間に換算すると、1日当たり1200時間分のムダを解消できた」（鈴木氏）という成果もあった。

　同社は今後、WebフィルタリングやメールアーカイブもSaaS型サービスに切り替えることを検討しているという。

ワークライフバランスと事業継続の両立

　ソフトバンクテレコムは、2010年3月から仮想デスクトップを利用する新しい業務環境の導入を進めていた。その最中に東日本大震災が発生したが、仮想デスクトップの活用で業務の中断を回避できたという。

ソフトバンクテレコム クラウドサービス開発本部 ビジネス開発室長 立田雅人氏

　仮想デスクトップは、PCのデスクトップ環境をデータセンターに集約して、PCやスマートフォン、タブレット端末を使ってネットワーク経由で利用する。インターネット接続があれば、社員はどこでもデスクトップ環境を利用できる。デスクトップ環境をIT部門が一元的に管理でき、セキュリティの強化も図られる。同社では仮想デスクトップのセキュリティ対策にトレンドマイクロのサービスを採用している。

　当初の導入目的は社員の生産性向上だった。「仕事に集中できる時間や場所は人によってさまざま。それを可能にする環境を目指した」（クラウドサービス開発本部 ビジネス開発室長の立田雅人氏）。将来的にソフトバンクグループ他社への展開も視野に入れ、同社の営業担当者1500人を対象に先行して始まった。

　導入以前に営業担当者がPCを一番に使うというシーンは、例えば、帰社後の業務報告がある。これを日中の移動中にiPadなどから入力できるようにしたことで残業時間が減り、ペーパーレス化も実現した。立田氏によれば、業務時間の節約効果は1日当たり約50分になり、社員1人当たりの人件費では1カ月当たり5万2000円ほどになるとのことだ。

　こうした効果を社内に広げていく途中で、東日本大震災が発生した。震災後の交通機関の混乱や電力問題から、同社ではオフィスでの業務が困難と判断し、翌週から1週間に渡って“在宅勤務”を社員に命じ、通常通りの業務を継続した。“自宅待機”ではない点が注目される。

　ソフトバンクテレコムの経験を踏まえ、ソフトバンクグループではソフトバンクモバイル、ソフトバンクBB、ウィルコムの約2万人の社員を対象に、仮想デスクトップの導入を一気に進め、6月末に導入をほぼ完了した。

　立田氏によれば仮想デスクトップの最大の強みは、企業としての競争力を維持できる点にある。災害時における事業継続への効果に加え、平時は社員のワークライフバランスを実現させ、優秀な人材が長く働いていけるインフラになるという。

　「例えば、育児や介護のために時間短縮勤務を認めている企業は多いが、実際には周囲の理解を得にくいといった理由で退職してしまう人材が少なくない。企業にとって大きな損失になる」（立田氏）。

　仮想デスクトップのような手段によって、時間や場所の制約を受けない働き方ができれば、本当の意味でどんなリスクにも“強い”企業としての力を持続していけるとのことである。

ITmedia エグゼクティブ フォーラム「待ったなし、企業のリスク管理と危機管理」で登場したソリューションをセミナーにてご紹介します。