Mr Viral
事実上、すべての企業には何らかの形で危機管理計画が存在します。けれども、単に危機管理プログラムを作成するだけでは十分ではありません。重要なのは、危機発生時に確実にプログラムを実行するための「暗黙のルール」を理解し、実践することです。
データ侵害や生産停止、あるいはクラウドの設定ミスによるトラブルなど、どのような危機に直面しても、危機への対応の仕方がチームやテクノロジーに対する信頼を左右すると、サイバーセキュリティ技術・サービスを提供するSecurity Compassの最高製品責任者(CPO)であるトレバー・ヤング(Trevor Young)氏は語ります。「システムが複雑化し、脅威がますます変化していく現代では、危機管理がいかに重要かをあらゆる領域で見てきました」と同氏は言います。
しかし、いかに包括的で詳細な危機管理計画を立てていても、その計画を実際にストレス下で円滑に遂行できなければ意味がありません。以下に挙げる7つの基本ルールは、組織がトラブルに直面したとき、迅速かつ最小限のダメージで乗り切るための道筋を示します。
ルール1:レジリエンスに必要なのは冷静さ――ただし沈黙は厳禁
最初にやるべきことは、パニックになって黙々と対処することではないとヤング氏は言います。「事態をチームやリーダー陣、必要に応じて顧客にも周知することが大切です」。関係者全員に状況を共有することで、不安を和らげ、信頼を築くことにつながります。
沈黙は状況をさらに悪化させるとヤング氏は警告します。人々が何が起きているのか分からなければ、最悪の事態を想定してしまいます。「その結果、混乱や誤った意思決定、そして責任のなすり合いが起こります」と同氏は言います。「すべての答えを持っていなくても、正直に、そして明確に状況を伝えることで、周囲は冷静さを保ち、協力し合うことができるのです」。
ルール2:先を見据える姿勢が「集合的学習」を促す
混乱は伝染する、とワークプレイスおよびエグゼクティブ向けコーチングコンサルタントのレイラ・ラオ(Leila Rao)氏は言います。「今分かっていること、重要なこと、目指しているゴールを明確に示すことで、人もシステムも安定します」。それによって「受動的な反応」ではなく「主体的な行動」が生まれるのです。
症状だけをその場しのぎで対応すると、問題は悪化するとラオ氏は警告します。「誤情報は広まり、信頼は損なわれ、善意での対応も逆効果になってしまいます」。
危機は複雑さが極限に達する状況だと同氏は言います。「そこで人を中心に据え、多様な視点を歓迎し、新たなアイデアや解決策が生まれる余地を作れば、単なる危機管理にとどまらず、組織全体で学びを得る場に変えられるのです」。
ルール3:コミュニケーションがチームを「解決志向」に導く
サービス停止やセキュリティインシデント、納期遅延など、どのようなトラブルでも、密室での対応は不信感を生むと、テクノロジーコンサルタントでありソフトウェア人材派遣企業Pumexの創業者であるアントニー・マルセレス(Antony Marceles)氏は言います。「問題を素早く認め、次のステップを示すほど、問題の真っ最中でも信用を保ちやすくなります。たとえ状況が流動的でも、なおさらです」。
開かれた姿勢を実践するには、危機が起こる前に「鍛錬」が必要だとマルセレス氏は強調します。「Pumexでは、内部のエスカレーション手順やクライアント向けのコミュニケーションテンプレートを整備し、さまざまなインシデントの模擬訓練を行ってきました」。切迫した状況で、「どう対応するか」を一から考える余裕はないからです。同氏は続けます。「サービス業では一度失った信頼を取り戻すのは非常に困難。それだけに透明性が重要なのです」。
オープンなコミュニケーションは人々の不安を和らげるだけでなく、「チームが誠実に対応し、問題解決へ前向きに取り組む姿勢を示すことができます」とマルセレス氏は言います。「責任追及ではなく協力体制を築きやすくなる」。実際、最近のベンダー関連の障害でも、初動で正直かつ迅速な報告を行った結果、クライアントとの関係がむしろ強化された例があったそうです。「問題が起きている間も、正直に対応し、即座に動き、可視化して報告を続けていたからこそ得られた結果でした」。
ルール4:透明性と真っ向からの対処が欠かせない信頼を生む
危機管理を成功させる土台となるのは、すばやい可視化と的確な対応、そして「即時の透明性」だと、IT資産管理ソリューション企業TeqtivityのCEO兼創業者であるヒレン・ハスムク(Hiren Hasmukh)氏は言います。
危機から逃げることはできません。隠そうとすれば被害は大きくなるばかりですとハスムク氏は警告します。「何が起きたのかを明確にすることで、適切に対応し、利害関係者からの信頼を維持できます」。問題を公に認めるのが遅れれば遅れるほど、世間の目は厳しくなり、被害も拡大します。
危機の最中は信頼が非常にもろくなります、とハスムク氏は語ります。競合他社は、あなたの企業がこうした困難な時期にどのように振る舞うかを注目しています。「危機対応は、企業の本質的な姿勢を、平時以上に明確に示すものです」。透明性を高めることで誠実さを示し、同時に迅速な対処を可能にするための情報を関係者と共有できます。
ハスムク氏は、チームが自社の環境を正確に把握し、即座に情報を収集できるツールを備えているかを常に確認すべきだと言います。「とりわけ重要なのは、正直さを重視する企業文化を普段から根付かせること」。危機に直面したとき、人は普段のコミュニケーションパターンに従うものです。「そのパターンの中にすでに透明性が組み込まれていれば、自然とベストプラクティスに即した対応が取れるのです」。
ルール5:ストレス下のチームは強いリーダーシップを求める
危機が起きると、チームは必ずCIOの言動から影響を受けると、独立系のプロジェクトリスクアナリストであるマシュー・オレニウク(Matthew Oleniuk)氏は言います。「危機発生時に冷静かつ説得力をもって行動できるかが、その後の戦術の成功を左右するのです」。
リーダーの判断力や安定感が信頼されなければ、空白をパニックが埋めるとオレニウク氏は強調します。チームメンバーは各自が勝手に優先順位を決め始め、「誤情報が飛び交い、部署全体が混乱してしまう」という悪循環に陥ります。結果として、内部で第2の危機(場合によってはさらに深刻な危機)が起きる可能性があるのです。
チームは、危機マニュアルに書かれた内容よりも、それを伝える「リーダーの声」を信頼するかどうかで行動を決めます。どんなに優秀なチームでも、危機下でのリーダーシップが不十分ならば立ち行かなくなると、オレニウク氏は言います。
ルール6:準備ができている組織ほどプレッシャー下でうまく動ける
Nick Nolen氏(マネージドサイバーセキュリティ企業Redpoint Cyberのサイバーセキュリティ戦略・オペレーション担当副社長)は、危機が起きる前に「誰が何をするか」を明確にしておくことを勧めます。切迫した状況の最中に指揮系統を決めようとしても手遅れだからです。
「優れたチームは単に計画を持っているだけでなく、その計画を知り、練習し、互いを信頼してプレッシャー下で実行できる」とNolen氏は言います。いざ問題が起きたときに大切なのは、「あいまいさがないこと」だと同氏は続けます。「混乱している間に時間が過ぎてしまう」というわけです。サイバーセキュリティの世界では、時間はコストや評判、場合によってはコンプライアンスにも直結します。「明確な手順書と役割分担があれば余計な混乱がなくなり、チームは集中して動けるようになります」。
計画をシンプルにし、日常的に確認することが大切だとNolen氏は提案します。「役割をはっきり割り当て、頻繁に見直し、定期的に演習を行いましょう」。大規模なテーブルトップ演習(机上訓練)がベストですが、週一回のミーティングで「もし〇〇だったら?」という簡単な確認をするだけでも習慣が身に付きます。「誰にどこまでの権限があるか分からず、メンバーが立ちすくむ、あるいは互いにぶつかる例を数多く見てきました」。その遅れが被害拡大や誤ったコミュニケーション、さらには規制違反へとつながる可能性があるというのです。「危機にうまく対応できるチャンスは一度しかありません。そのときに『誰が指揮を執るのか』で右往左往している場合ではないのです」。
危機対応はチームプレーだとNolen氏は強調します。ツールは助けになりますが、最終的な成果を左右するのは「人」だといいます。「チームに明確性を与え、トレーニングの機会を提供し、いざ行動を起こしたときにはリーダーがしっかりと後ろ盾になると信じさせることが重要です」。
ルール7:追い込まれた状況下では「インテリジェンス」が最強の武器
急いで動くのではなく、インテリジェンス(情報)に基づいて行動することが大切だと、サイバーセキュリティ管理サービスを提供するCywareの社長ジャワハル・シバサンカラン(Jawahar Sivasankaran)氏は言います。「たとえば、脅威インテリジェンスをリアルタイムでコンテキスト情報とともに収集し、それを自動あるいは半自動的な対応策に直結させることで、危機下での意思決定を確かなものにできるのです」と同氏は説明します。
情報なしで行動すれば、対応策を誤るリスクが高まります。誤った計画を発動したり、潜在的な侵害の重要な兆候を見逃したりしかねないとシバサンカラン氏は警告します。たとえば、脅威インテリジェンス管理プラットフォームをケース管理のルールと統合すれば、状況を正確に把握でき、スピーディな対応が可能になるといいます。「タクティカル、オペレーショナル、そしてストラテジックなインテリジェンスをリアルタイムでケースに統合し、意思決定の精度を高めることができます」。
シバサンカラン氏は、サイバー脅威インテリジェンスをインシデント対応とケース管理のワークフローに統合することを推奨しています。「脅威インテリジェンスで得られる情報を、自動化されたルールを使ってしかるべきプレイブックにマッピングし、重要度とビジネスインパクトで優先度を決めるのです」。さらに、信頼できるパートナーとの間で双方向の情報共有を行うことで、新たに出現する脅威をより正確に把握できるようになると提案しています。
インテリジェンス主導の対応を怠れば、アラート疲れ(アラートが多すぎて担当者が正しく対処できなくなる状態)や、アナリストの無駄な作業時間、チーム間での対応の不一致が生じる可能性が高いとシバサンカラン氏は警告します。「さらに悪いことに、封じ込めやコミュニケーションが遅れ、インシデントの技術的・評判的ダメージが拡大するリスクも高まります」。…
