地政学リスクをIT戦略に組み込む

IT組織は予期せぬ障害に備える計画の立て方を熟知していますが、どれほど綿密に設計された戦略であっても、地政学という変わりゆく風には脆弱です。CIOやテクノロジーリーダーは、自社が地政学的な混乱にどう対応するのかを把握しておく必要があり、シナリオプランニングを優先事項にしなければなりません。

英国のシンクタンク、王立防衛安全保障研究所（Royal United Services Institute）でサイバーおよび国際安全保障を担当するシニア・アソシエイト・フェローのウィリアム・ディクソンは、CIOに対し「チーフ・ジオポリティカル・オフィサー（最高地政学責任者）」のマインドセットを採用し、地政学インテリジェンスをテクノロジーのライフサイクルに統合するよう助言しています。実務的なステップとしては、特定の地域やベンダーへのアクセスを完全に失う状況を模擬するシナリオプランニングや、ベンダー契約に「撤退準備（exit readiness）」を組み込むことなどが挙げられます。

「IT部門は、地政学的な混乱を予期せぬ大惨事ではなく、想定される運用上の変数として扱うことができます。優れ、かつ検証済みのエンタープライズ・リスク管理フレームワーク、政府渉外とのパートナーシップへの投資、そして取締役会との継続的な関与によって、これを管理し備える取り組みを始めるべきです」とディクソンは述べました。

PwC米国のグローバル・サイバーセキュリティ／プライバシー・リーダーであるショーン・ジョイスは、CIOは自社が直面するリスクについてシナリオモデリングを行い、事業部門、セキュリティチーム、CISOとITがどのように連携して、人工知能（AI）のセキュリティを含むセキュリティをゼロから組み込んだ一体的な技術戦略を構築しているかを評価する必要があると述べています。

CIOは、現実的でありながらも将来を見据えた視点で潜在的脅威を捉える机上演習（tabletop exercises）を計画すべきです。ジョイスは次のように問うことを勧めています。これが起きたら、冗長性はあるか？ 私たちは本当にレジリエントな組織なのか？ これが事業運営にとって重要なら、世界の別の地域へどう切り替えるのか、あるいは何をするのか？ 従業員にどう対応し、実際にどのように支援するのか？

計画は変革を遅らせません。とりわけ、AIの迅速な導入とガバナンスのバランスに関しては、パニックを防ぎます。CIOは、事業、サプライヤー、デジタル・サプライチェーンにどの規制が適用されるかを整理しなければなりません。また、依存関係とリスクも把握する必要があります。

AIおよび新興技術のコンサルティング企業The Cantellus Groupの社長であるジョアン・ストーニアは、「その分析を行うことで、どこに圧力があり、どこにリスクがあるのかを理解できます。リスクは地政学だけではなく、競争圧力、コスト、最適化、人材も含まれます」と述べました。

それはすべて、自社ブランドについて明確なビジョンを持つことの一部です。「経営層は、意思決定の拠り所となるビジョン、ミッション、戦略、価値観の核を持つ必要があります。これらすべてにはトレードオフが伴うからです」とストーニアは述べました。「自分たちの『なぜ』を見いだせないなら、風向きが変わり続ける中で、6カ月後の意思決定を理解するのは非常に難しくなると思います。」

価値観を明確にし「自分たちの『なぜ』を知る」ことに加えて、CIOは地政学的な不安定さがサイバーリスクを増幅させ得ることを認識し、堅牢なサイバーセキュリティ基盤を確保する必要があります。「最大のリスクはサイバーリスクです」とストーニアは述べました。「正当なビジネス上の注意が別のところに向いているときこそ、サイバー犯罪者が最も成功しやすいのです。」

その基盤は基本にあります。「古いものが新しくなる。サイバーセキュリティの基礎的側面を忘れてはなりませんし、それらは今、これまで以上に重要になっています」とジョイスは述べました。

チームは、識別とアクセス制御、多要素認証、継続的モニタリング、「継続的防御」に注力し、クラウドプロバイダー、サードパーティベンダー、サプライチェーンといったエコシステムのメンバーと連携して、全体の織り目（ファブリック）が可能な限り安全であることを確保すべきです。またAIに関しては、CIOはAIのセキュリティと、AIをセキュリティのためにどう活用できるかを考える必要があるとジョイスは述べました。

「強さは最も弱いリンク次第です」とジョイスは述べました。「地政学リスクがより顕在化するにつれて、特に強力な軍事力やその他の能力を持たない国々が、サイバーのような手段を活用するのを目にするでしょう。ある国々にとっては、それが活用できる唯一の手段かもしれません。」

物理インフラ、地理、電力供給も、CIOが考慮すべきリスク領域になっています。インフラ戦略は、サステナビリティ、エネルギーの現実、地政学的安定性と整合していなければなりません。

グローバル・エレクトロニクス協会（Global Electronics Association）の最高技術責任者（CTO）兼標準・技術担当副社長であるマット・ケリーは、「私たちが話しているデータの多くはサーバー上にあり、クラウドについてよく語られますが、そのクラウドもいずれは現実のハードウェアになります。実際の物理ハードウェア上にデータが存在しなければ、データは存在しないのです」と述べました。

そのハードウェアを稼働・維持するには相当な電力が必要です。冗長性の必要性を考慮すると、消費電力は増加します。「冗長性における最大の課題は、この冗長なハードウェア群の管理と、世界が対応できていないエネルギー消費です」と彼は述べました。「電力網はその負荷に耐えられません。」

AIは、エネルギー消費から、より多くの半導体を製造するために使われる原材料に至るまで、負荷をさらに増大させます。「これらは、育成し、その後チップセットに組み込むために必要となる、非常に非常に高価な材料基盤です」とケリーは述べました。「私たちがやると言っていることを実現するのに、この地球上には十分な材料がありません。」

あらゆる不測の事態を予測することは不可能ですが、成功するCIOは、混乱に耐えられるよう設計されたシステムを構築し、それを支えるチームを整備できるでしょう。

「どのベンダーが最もリスクが高く、自社のエコシステムや事業運営にとって最も重要なのかを見極め、冗長性や何らかの緩和策を確実に講じるにはどうすればよいか」とジョイスは述べました。「これが起きたとき、障害、侵害、あるいはその他の混乱が発生したときに、企業として事業を継続し機能し続ける能力を持てるのです。」