企業の成長に不可欠なリスク管理

企業の成長に不可欠なリスク管理

(2021年3月25日掲載)

目次

IT環境が充実し業務の効率性が高まる半面、サイバー攻撃などによる情報資産の消失や業務停止の危険性が高まりました。リスクは外部からの攻撃だけでなく、日常業務の中にも存在し、その要因も多様化しています。リスクを認識し対策しておくことが、安定した企業成長を支え、競争力の高い事業展開を可能にします。本稿では、どのようなリスクが潜んでいるのかを明らかにし、リスク管理の重要性と主なリスクへの対策を考えてみましょう。

リスク管理とは

企業がリスク管理を行う場合の「リスク」とは、「今後起こるかもしれない不確定な事象」を指します。また、「事業目標の達成を妨げる不確定事象」と「事業継続を妨げる不確定事象」を指してリスクと言います。リスクは企業によって異なるため、自社におけるリスク管理の定義を決めておくことが大切です。

リスク管理の手順

リスク管理を行う上の手順としては、次のステップが考えられます。

1:リスクの洗い出し

組織内にどのようなリスクがあるのかを洗い出します。自然災害、サイバー攻撃、社会情勢・国際情勢の変化、人的リスクといった大きな分類のほかに、財務リスク、サプライチェーンのリスク、市場リスクなど細かく書き出すことも有効です。また、部署によってリスクの発生状況や内容は異なるので、全社を網羅したリスクの洗い出しができるよう、各部署にリスクをヒアリングすることも考えてみましょう。

2:リスクの分析・評価

リスクを分析して、発生確率(Probability)や発生した場合の影響の大きさ(Impact)を決定します。それをPIマトリックス(発生確率・影響度マトリックス)にはめ込み、リスクの見える化をしておくとよいでしょう。それぞれのリスクが、許容水準であるのか、早急に対処する必要があるのかを判断し、緊急性の高いリスクから対策を検討します。

3:リスクへの対応

リスク発生頻度を下げるために、作業マニュアルの見直し、策定などを行います。経済的に損失が出ることを想定して、損害保険へ加入するといったように、補填(ほてん)の検討も重要です。

リスク管理がなぜ重要なのか

日本は地形、地質、気象などの自然災害が発生しやすい国です。地震や火山活動、豪雨、豪雪など、自然の脅威と隣り合わせで社会活動が行われていると言えるでしょう。企業としては、自然災害やパンデミックが起こったときでも、社員の安全を確保し、社会へのサービス提供を維持するために、さまざまな状況を想定した上での備えを欠かすことはできません。

また、自然災害以外にも日々高度化するサイバー攻撃やヒューマンエラーによる機密情報の漏えい、海外に拠点を置く企業であればクーデターや大規模なデモ活動などの影響など、あらゆるリスクが存在していることも忘れてはなりません。例えば、業務のアウトソーシングが増えていくと、委託先が被災して業務停止状態になることもあり得るでしょう。こうしたなかで自社が事業を継続していくためには、リスクを回避あるいは最小化するための対策が不可欠なのです。

リスクの主な種類と影響

対策を検討しておくべきリスクには、さまざまな種類があります。企業活動に大きな支障を与える可能性のある代表的なものを挙げつつ、どのような影響があるかを確認してみましょう。

自然災害

前述の通り、日本は地形、地質学的理由により、自然災害が発生しやすい国です。

最近は異常気象も話題になっており、実際に大型台風の日本上陸、接近のほか、豪雨による河川の氾濫などが起こっています。

このように突然発生する自然災害によって、生活環境、ビジネス環境は大きな影響を受けてきました。例えば、電話が通じなくなる、停電や断水が発生するといった基本的なインフラに被害が出るだけではなく、家屋や社屋が倒壊するといったことも近年経験してきています。

こうした大きな自然災害が発生した場合、従業員の日常生活にも影響が及び、仕事を継続できないケースや、通勤手段が途絶えるケースがでてきます。さらに停電などの被害が出た場合には、工場が稼働できない、あるいは業務が継続できない可能性も高まります。こういったさまざまなリスクが発生することで、事業継続ができない状況に陥ることが考えられるのです。

サイバー攻撃

サイバー攻撃というのは、個人や組織のコンピュータや情報システムなどを標的にした攻撃のことを言います。インターネットを介し、攻撃対象のコンピュータやサーバに侵入して不正プログラムを送り込み、基幹システムを破壊したり、コンピュータやサーバに保存してあったデータを盗み取ったり、改ざんしたりします。

総務省が公表している「サイバー攻撃の最近の動向等について」によると、2020年4月以降に受けたサイバー攻撃についての調査では前年同月比で「増加した」との回答が33.8%、「変わらない」が60.3%であり、全体としてサイバー攻撃は増加傾向にあると述べられています。また、ランサムウェアというマルウェアによる攻撃を受けて、被害者の重要なデータが暗号化され、その解除と引き換えに金銭を要求されることも増加しているほか、目立たない攻撃が増え、攻撃に気がつかず被害が拡大・長期化する傾向にあることも指摘。さらに、IoTの活用が増えるなか、IoT機器を狙った攻撃がサイバー攻撃の半数近くに上ることも示しています。

こうしたサイバー攻撃は、対策が追いつかないほど複雑化しているため、現状のセキュリティ対策で万全だと油断をしていると、重要なデータを抜き取られたり、改ざんされたりする恐れがあります。また、金銭を要求されるような被害のみならず、顧客情報の流出により業務に支障が出たり、企業の信頼度が低下したりするなど、企業へのダメージが多方面に拡がり、影響を長く引きずるケースも少なくありません。

国際情勢の変化

企業のリスクを考えるとき、国際情勢の変化や取引先企業の拠点がある国や地域の文化を理解しておくことは重要です。

また、単に国際情勢の変化を理解しておくだけでなく、自社の業界の動き 、それぞれの国の政策転換もいち早く察知する必要があります。

例えば、海外に拠点がある企業や海外から原材料の仕入れをしている企業などにとっては、現地の治安や物価、人の考え方や習慣といった文化が、企業活動の継続を左右する要因のひとつとなります。また、日本と現地国との関係性も重視しておくことが必要です。関係が悪化し、現地政府から立ち退きを強要されたり、輸出入を制限されたりする可能性もあるからです。現地との商習慣の違いは、労務契約や法規制に関わるトラブルに発展し、事業がスムーズに行えないことも珍しくありません。

このような事態が発生すると、現地での活動が停止するだけではありません。現地から原材料を調達している場合、日本国内の事業も停滞することになります。そして、2019年末から世界中に拡大した新型コロナウイルス感染症拡大の影響は、各国の政策や企業活動、市場に変化をもたらしました。それによってサプライチェーンの見直しを迫られる事態にもなっています。

人的リスク

まず、業務中の事故や、長時間労働といった働き方の影響で、従業員が健康を害するケースが考えられます。もちろん労働時間や労働環境の安全性の確保については法律で定められていますが、それ以外でも、目に見えないストレスが蓄積した結果、注意力が散漫になり、データの入力ミスやメールの誤送信などから大きな問題につながる場合もあります。

そのほか、リスクへの意識の低さが大きな被害に発展することも考えられます。例えば、SNSの活用が増えている現状では、従業員の何気ない投稿がネット上で多くの人に問題視され、社会的な非難を受ける状態(炎上)となり、企業イメージを損なうケースもあります 。

リスクの種類別対策

自然災害

予測や発生自体の回避が困難な自然災害に対しては、発生した後に、素早く事業の復旧や継続ができるようにするための対策(BCP)が重要です。中小企業は大企業のサプライチェーンとして取引をしているところも多いので、中小企業においての事業継続への取り組みは、日本経済を安定させることにもつながっています。

例えば、拠点間で連絡が取れないといった、災害時に起こり得る状況を想定したガイドラインを作成しておくことも必要です。従業員の安否確認や取引先への連絡手段なども盛り込んでおきましょう。

平常時から、業務で使う資料をデジタル化して、情報共有ができる体制を整えておくことも大事です。企業全体で業務が早期に再開できる環境を構築しておくことは、自然災害リスクの軽減に直結します。

また、テレワークやモバイル端末を活用した場所や時間にとらわれない働き方への移行を進めておくことで、あわてることなく事態に対応できるでしょう。

サイバー攻撃

サイバー攻撃への対策は、ゲートウェイとエンドポイントの2点で考えておくことが重要です。 ゲートウェイというのは、ネットワーク用語で、出入口という意味で使われています。異なるネットワークをつなぐルータやプロトコル変換処理を行う機器のことです。

社内のネットワークとインターネットの間の接点もゲートウェイであるため、ここのセキュリティレベルを高めておけば社内のネットワーク環境を安全に保つことができると考えられます。最も一般的なゲートウェイセキュリティとして考えられるのはファイアウォールです。インターネットから社内ネットワークへ、あるいはその逆のネットワークトラフィックを監視し、不正な通信を検知した場合は遮断します。そのほか、VPNといった安全なネットワークを使ってデータのやり取りをする技術を活用する方法もあります。

エンドポイントというのは、PCやタブレット端末、スマートフォンなどの端末です。エンドポイントは社内外で、メールのやり取りを行ったり、企画書を作成したり、インターネットに接続して情報を収集したりと、直接的に作業をする場だと言えます。それだけ頻繁に活用されるものであるため、マルウェアのような脅威が侵入しやすい部分です。

また、クラウドサービスやWi-Fiが普及し、テレワークが普及すると、企業が独自に対策を講じてきたゲートウェイでのセキュリティ対策だけではサイバー攻撃が防げなくなっています。PCなどのエンドポイントがウイルスに感染した場合には、社内や取引先へと感染を広げる可能性も高くなります。そのためエンドポイントのセキュリティ対策はかなり重要だと言えます。

現状では、ゲートウェイやエンドポイントそれぞれ単独のセキュリティレベルを高めても、サイバー攻撃を防ぎきることはできないといわれています。両方でセキュリティレベルを高めておくことが重要なのです。

さらに、次世代セキュリティモデルとして「ゼロトラスト」という概念も理解しておきましょう。ゼロトラストというのは、従来の境界型セキュリティに変わるもので、全てのトラフィックは信用できないものであるという前提でセキュリティを考えることです。

ゼロトラストでは、すべてのトラフィックに対する信用をスコアで評価し、それに対応した対策を講じることになります。例えば、従来の境界型セキュリティモデルでは、ファイアウォールのようなゲートウェイセキュリティで信用できると評価されたトラフィックは、境界内(社内ネットワーク)で自由に通信をすることが可能になります。仮に社内のエンドポイントがウイルスやマルウェアに感染した場合、感染を拡大させてしまいます。

一方ゼロトラストセキュリティモデルは、一度安全だと評価された境界内からのアクセスであっても、都度評価を行うため、境界内での感染拡大を防止することができるのです。

このようにゲートウェイセキュリティやエンドポイントセキュリティだけでなく、ゼロトラストセキュリティモデルといった最新のセキュリティ概念を理解し活用することが必要になります。

国際情勢の変化

地政学的リスク(地理的、政治的、軍事的、社会的な関係によるリスク)を軽減するためには、進出先の国や地域の政治・経済の状況、治安や法令などの変化に関する最新情報の把握を心がけなければなりません。

そのためには、現状の国際情勢 を見るだけではなく、自社の企業活動に影響を与えると考えられる地政学的リスクを洗い出した上で、継続的に国際情勢を把握し続けておく必要があります。それぞれのリスクを分析して、最悪の場合にどのような影響が出るのかを想定し、中長期の戦略に反映させます。こうすることで、一時的に大きな影響を受けたとしても、どのように回復できるか、影響を最小限に抑えられるかが検討できます。

リスクの検討は、社内の部署ごとのリスクを把握した上で、部署を横断する形で全社的に行う必要があります。そのために、部署の垣根を越えたコミュニケーションでリスク対策を検討する機会を設けるようにしましょう。

政策当局、従業員、顧客、NGOなどとの連携を強化し、リスクコントロールに活用する方向を探ることで、リスクをチャンスに変えられる可能性もでてきます。

人的リスク

人的リスクへの対策として、まず労働環境の見直しを徹底しておくことは重要です。従業員の健康への配慮についても、制度として拡充させておく必要があります。

また、業務中のケアレスミスとして考えられるPC操作時の入力ミスや機器の誤操作を防ぐために、定型業務や単純作業などはRPAを導入して自動化を図りましょう。

RPAというのは、Robotic Process Automationの略で、ソフトウェアロボットによって作業工程の自動化をするためのツールです。RPAを導入することで、従業員の業務負荷や人的作業によるミスを軽減できます。従業員の業務負荷が軽減できれば、従業員が本来発揮すべき能力を生かせる業務へ注力できるようになり、時間的にも精神的にも余裕を生み出せることになるでしょう。

業務マニュアルを作成し、定期的な研修の機会を設けることも効果的です。ウェビナーやWeb会議ツールを活用して研修動画を配信し、従業員の作業レベルに応じた教育ができる体制を構築しておきましょう。

さらに、企業全体においてコンプライアンス意識を高めておくことも、人的リスク対策として忘れてはなりません。

従業員の何気ないSNS発信や企業広報による情報配信が問題を引き起こす可能性が高くなっています。

また、政治的発言、差別的発言、社内での各種ハラスメント、意図的な情報漏えいなどについても、コンプライアンスに含まれる内容として理解を深めるための研修会を設けることが重要です。

リスク管理と危機管理の両面で成長的な事業継続を実現

企業活動のグローバル化が進み、世界中がインターネットでつながるようになったおかげで、世界各地との取引が容易になりました。一方で、さまざまなリスクの存在に対しては把握しきれていないことが多いようです。現状のセキュリティ対策で安心していたり、新しいサイバー攻撃に関する情報収集を怠ったりした結果、大きな被害を受ける事象も発生しかねません。また、自然災害に対しても、リカバーするための対策や体制づくりをあらかじめ検討することで、事業継続がしやすくなります。人的リスクに対しては、業務見直しや企業文化・体質の見直しをはじめ、ビジネスパーソンとしてのモラルを高めるための企業努力も問われるところです。特に、コンプライアンスへの意識は企業活動を拡大させるためにも今後ますます必要になるでしょう。

こうしたリスク対策を講じるためには、世界的に、あるいは社会的に何が問題視されるのかといった客観的な視点で企業活動を見直さなければなりません。どのようなリスクがどこに存在しているのかを徹底的に洗い出すことからはじめる必要があります。

その上で、リスク要因を排除できるところは排除し、またリスクが現実となった場合にどのような影響が出るのかを想定し、ダメージを受けた場合でも回復できる方法を考えておくようにしましょう。