皆さま、こんにちは!
長崎と東京の2拠点で、現役大学生兼危機管理コンサルタントとして活動しております、Sunny Risk Management(サニーリスクマネジメント)と申します。
2024年2月7日正午より、サニーリスクマネジメントをひとつひとつの企業に寄り添う企業にし、より多くの事業者の方々に専門的な危機管理を提供するためのクラウドファンディングとして開始したプロジェクト
『地方の中小企業をあらゆるリスクから守り、地域経済を支える企業を作りたい!』
は、開始から3日を迎え、2月10日正午時点で9人のかたにご支援いただいております。また、支援総額は目標金額の13%にあたる40,000円で、多くの温かいメッセージを戴いております。ご支援・応援、誠にありがとうございます!
CAMPFIREでのご支援・応援のほかにも、X・Instagram・Facebook・LinkedInなど各SNSでもプロジェクトのシェアや応援の声をいただいております。このプロジェクトを、ご支援者様とともにさらに盛り上げていきます!
今日の活動報告では、「危機管理で、何ができる?」と題し、サニーリスクマネジメントが提供する「危機管理」の根拠や、危機管理コンサルティングだからこそ提供できる魅力を皆さまと共有できればと思います!
早速ですが、今回は「企業のサイバーインシデント」を一例として挙げてみます。サイバーインシデントとは、サイバー空間(=コンピュータやネットワークの中)で発生する事件や事故のことで、具体的にはコンピュータからの情報漏洩・紛失、サイバー攻撃による不正アクセスと情報の窃取などがこれにあたります。
「スマートフォンやパソコンは一人一台」と言われるほどに情報端末やネットワークが広く普及した現在、ハードウェア・ソフトウェアは日進月歩といえるほどの速さで便利さや楽しさ、安全性が追求されています。しかしその一方で、古くなったハードウェアやソフトウェアに脆弱性が発生しそれを悪用する人がいたり、最新技術の脆弱性を突いてサイバー攻撃を実行する人がいたりするという常にリスクと隣り合わせの時代でもあります。
コンピュータやネットワークは事業を行うにも必須といえるようになりました。今やコンピュータやネットワークを一切使用せずに行われる事業は少なくなるとともに、事業の展開にそれらが必須となっているものが産業の大部分を占めるようになっています。こういった時勢の中で、現代のサイバーセキュリティを支える職業として①サイバーセキュリティコンサルタントと②セキュリティエンジニアがあります。今回は、危機管理コンサルタントと①・②との違いをそれぞれ検討してみます。
まず、①サイバーセキュリティコンサルタントと危機管理コンサルタントの違いについてです。サイバーセキュリティコンサルタントは、企業等におけるシステムの使用状況やそこに潜むリスクなどからサイバーセキュリティの課題を抽出し、セキュリティの向上に繋がる施策を提案・支援する職業で、サイバーセキュリティやITに関する豊富で深い知識をもとにした施策立案が特徴的です。
一方、危機管理コンサルタントでは、上記の「サイバーセキュリティやITに関する知識」をハード要因として扱い、併せて実際にハードを使う「人」や使い方を規定する「ルール」などの目に見えない要素をソフト要因として扱います。また、サイバーインシデントというひとつの事象に対して、ハード要因ではIT・情報処理、セキュリティなど、ソフト要因では組織論、安全保障など、その時の情勢も加味して要因やリスクの認知と選定を行います。
危機管理コンサルティングは、インシデントに直接関係するハードの部分だけでなく、間接的に関係する可能性のあるソフトの部分についても分析を行うことと、ひとつのインシデントに対して多様な分野からの分析を行うことが特徴です。
次に、②セキュリティエンジニアと危機管理コンサルティングの違いを見てみます。セキュリティエンジニアはサイバーセキュリティの維持・向上に特化したシステムの設計・構築・運用・保守やサイバーインシデントを防止するための調査・改善などを行う職業で、ITやサイバーセキュリティに対する高い知識や技術が求められる職業です。
セキュリティエンジニアは主にハード対策を扱う一方で、危機管理コンサルティングではハード対策とソフト対策の両方を提案するのが相違点として挙げられます。また、多様な分野から抽出した各のリスクに有効な対応を導き出すことで、幅のある対策を講じることができます。
また、事業継続の観点から考えると、危機管理はリスクマネジメント(事前対策)を通して戦略的なクライシスマネジメント(事後対応)と事業継続に貢献できる取り組みであるといえます。上の図は、リスク発現時の企業の動き方を想定したもので、上半分がリスクマネジメントを行っていない場合を、下半分がリスクマネジメントを行っている場合を示しています。
危機管理では、危機発生時の対応は、①リスク発現前〜リスク発現、②発災期、③復旧期、④復興期の4つのフェーズに分かれており、経営と同じように戦略と戦術が存在します。リスク発現時(=危機発生時)を起点として4つのフェーズ別に組織がとることのできる対応を分けると、図のように分類することができます。リスクマネジメントによって平時にリスク発現時の状況を想定してクライシスマネジメントの手法を策定しておくことで、突然のリスク発現に対して戦略をもって計画的な対応を取ることができます。
上記の4つのフェーズはPDCAサイクルにも当てはめることができます。平時に危機管理戦略を構築すること=Plan、リスク発現時に戦略に基づき戦術を実行する=Do、実行した対応について振り返りフィードバックを得る=Check、危機管理戦略を見直し新たな戦略と戦術を構築して次のリスク発現に備える=Actといった流れです。
発災前の事前の備えであるリスクマネジメントを実施することによって、最小人数で効率的に危機管理を行うことができ、中核事業の長期間停止や終了のリスクを最小限にすることができます。
このように、危機管理では多様な分野やリスクを分析することによる多角的な戦略立案を行うこととその見直しにより、持続性のある事業継続を事業者の皆さまへお届けすることができます。また、サニーリスクマネジメントはこれらの取り組みをご提案・伴走支援することで、危機管理の実現に尽力いたします。そして、より多くの事業者のかたが安全に事業の展開や事業継続ができる環境づくりをサポートし、危機管理文化の定着により地域全体に安心を生み出すことを目標として活動してまいります。
もし、少しでも共感いただけましたら、サニーリスクマネジメントのクラウドファンディングページへのご支援及びSNSシェア等のご協力をいただけますと幸いです!
サニーリスクマネジメントでは、今後もこの活動報告ページを通じて私自身や事業及び本プロジェクトについての情報を皆さまと共有してまいります。
どうぞよろしくお願いいたします!