本レポートは、KPMGインターナショナルが2020年に発表した「In turbulent times, trust remains critical」を翻訳したものです。翻訳と英語原文間に齟齬がある場合は、当該英語原文が優先するものとします。
新型コロナウイルス感染症(COVID-19)による混乱が広まる中、各国は何とかして解決策を見出そうと模索しています。世界が回復に向かうためには、公的機関、企業、テクノロジーに対する「信頼」を維持することが重要であると思います。
KPMGはフェイクニュースの悪質さやソーシャルメディア規制について真剣に議論してきましたが、一方で追跡アプリがプライバシーにもたらす影響や、5Gの急速な普及に関する陰謀説にも警戒心を示してきました。また、テクノロジーのサプライチェーンにおける安全保障についても懸念を抱いてきました。
こうした議論の根底にある概念は「信頼」です。人々が古き良き時代のリーダーシップや心地よさ、安心感などを望む中で、「信頼」こそがこれからのテーマとなるでしょう。コロナ禍において組織的なサイバー攻撃が大きな被害をもたらし、それによる不安や疑念が増幅する中で、社会的な信頼が試されることになるのは間違いありません。
ランサムウェアの計り知れないコスト
コロナ禍によって世界経済の安定が脅かされる中、組織的なサイバー犯罪グループは、ランサムウェアのもたらす利益に注目しています。2021年現在、ランサムウェアについては次の3つの脅威があるとKPMGは考えます。どの企業もこれらに対する準備を進めなければなりません。
1つ目は、身代金の要求額が10万ドル単位から100万ドル単位に上がっていることです。リモートワークのインフラがターゲットになるケースが増え、データの復旧に要するコストが大幅に上昇しています。
2つ目は、犯罪グループが企業から盗んだデータをオークションにかけたり公表したりすると脅す「二重の脅迫」が行われるようになっていることです。企業は、犯罪グループに資金を供給することで発生するレピュテーションリスクと、株主の利益を守る義務を果たすこととの間で板挟みになります。そして残念ながら、多くの企業が、業務を継続するために要求された金額を支払う結果となっているのです。
3つ目は、サイバー保険を取り扱う保険会社への影響です。保険請求の負担が大きくなるにつれ、保険料の見直しを行ったり、将来大規模なランサムウェア攻撃を受けるリスクを懸念したりする傾向が強まるでしょう。これに対し、規制当局は犯罪グループに対する制裁措置を科す方向に進むでしょうし、保険会社は、危機に瀕した企業と制裁措置の法的効果の間で、中立的な立場を取ることになると考えられます。
政府、法執行機関、テクノロジー企業が連携を強めて防戦体制を固め、積極的な防衛プログラムを策定することで、犯罪グループを無力化することも可能になるでしょう。
グローバルなサイバー空間における疑念と緊張の高まり
サイバー空間のガバナンスについては、イデオロギーの違いから国によって考え方が異なり、それが緊張を生む結果となっています。2020年には、安全保障とプライバシーに対する不安から、政府がクラウドサービスに干渉し、ローカライゼーションを推し進めようとするケースが多く見られました。さらに、ソーシャルメディアにおける各種チャネルの規制や、自国外のテクノロジーを信頼できないものと考え、その使用を制限する動きもありました。コロナ禍によってこの緊張はさらに深刻なものになり、サイバースパイ行為か内政干渉かを巡って、各国が非難の応酬を続けています。2021年は、国際的な共通認識の欠如とサイバー犯罪の多様化により、各国がそれぞれの考えに基づき自国のサイバー空間に対する統制を強めるものと予想しています。
より複雑さを増す越境プライバシー規制や、国内のセキュリティ要件に対応するために、グローバル企業はデータの取扱いのローカライズを進めざるを得なくなるでしょう。そして、それらの企業は、国ごとにアプローチや考え方が異なることに対してますます声を上げるようになると考えられます。
クラウドへの転換
急速に進化するIT環境を保護するために、CISOとCIOにはますます現実的な対処が求められるようになりました。CISOは、何千ものテレワーク拠点、無数の個人向け端末を効果的に管理し、クラウドへの転換を積極的に推進する必要性に迫られています。2021年は、CISOの役割が決定的に変わり、自社のIT部門保護にとどまらず、より広い観点からエンタープライズセキュリティを考えることが要求されるようになってきています。
急激に変化するビジネスニーズに対応するために、クラウド移行プロジェクトのスケジュールは年単位から数ヵ月単位に短縮されました。大規模なクラウドサービスプロバイダーがさらに支配的になり、セキュリティに注力していく中、2021年は各企業がクラウドセキュリティの真の意味を理解することになるでしょう。特に小売などの分野では急激なビジネスモデルの転換が行われていますが、オンラインリテールプラットフォームが次々に作られ、拡張されていることから、新たな脆弱性を突いた攻撃の懸念が生じています。
こうした状況に適切に対応するために、セキュリティチームには次のことが求められると考えます。
・企業とクラウドサービスプロバイダーとの責任分担に応じて従業員の再教育を行う
・アジャイル開発や新たなデジタルチャネルに適応する
・グローバル求人市場が2021年に求められるクラウドセキュリティ人材の確保を競う中で、優れた人材を集め、上記のイノベーションを実行する
限られた予算の中で、セキュリティとレジリエンスを重視する
あらゆる企業がサイバー脅威にさらされている状況にもかかわらず、セキュリティ対策はコストのかかるオーバーヘッドであると見なされがちです。コロナ禍と戦わなければならない各企業にとって、コスト削減は至上命題ですが、残念ながらセキュリティ対策が削減対象になっている例も多く見られます。
2021年には、様々な部門で合理化が進むと予想されます。企業は長年にわたって実装してきたセキュリティソフトウェアやデバイスの必要性を問い直し、コロナ禍において、クラウドに投資することによるセキュリティの新たな可能性を見極めることになるでしょう。また、セルフサービスなどの自動化が注目される中で、企業においてプロセスの合理化、業務コストの削減、オペレーションへのセキュリティの組込みなどを進める動きが起こることが予想されます。
コロナ禍により、企業のレジリエンスについても厳しい教訓をもたらしました。経営層は2020年に新たなデジタルビジネスモデルの確立を余儀なくされましたが、その経験だけをもって安心するのはまだ早いでしょう。規制当局の動きを受けて、企業はこれまで考えたことのない形でテクノロジーに依存していることを再認識するはずです。それは、長期化するコロナ禍とは異なる受け入れがたい事実となるでしょう。
最後に
テクノロジーに関するセキュリティ上の懸念が膨れ上がる中で、この環境が人に与える影響も見過ごすことができません。勤務形態が変わった従業員もいれば、自宅待機や解雇を命じられた従業員もいます。また企業は再雇用にも慎重になり、これまでの就労モデルからの変化を余儀なくされています。
一方で、人々が新たな仕事の形を見つけ出し、将来の職業選択について考える時間ができたとも言えます。この流動的な状況にあって、雇用主は従業員のロイヤルティを心配し、従業員は逆に雇用主の誠実さに不安を抱くようになりました。雇用に関するこれまでにない混乱の結果、社内の人間による不正行為に対する懸念が高まっています。
とはいえ、2021年は人々が自分を取り戻す年になるとKPMGは信じています。優れた企業は、職場環境を刷新する一方で、社員の家庭、家族、職場をサポートし、安心感を与える工夫をするでしょう。一方で、従業員に対する締め付けを強める企業もあるかもしれません。
2021年を絶望の中で迎えるのは簡単ですが、KPMGはあえて楽観的でいたいと思います。2020年に私たちの適応力が証明され、共同体意識が十分に発揮されたと考えるからです。予期しない変化の中で、新たな種が蒔かれた時期でもありました。信頼は、私たちが経験したことのないこの激変期における最も重要な概念になると、KPMGは考えます。