マルチドメインの混乱に対するテクノロジー・レジリエンスとリスク管理の強化

金融機関はマルチドメインの混乱から免れることはできません。 Risk Live North AmericaでServiceNowと共同で 開催された Risk.netの パネルセッションでは 、専門家がこのような混乱がもたらす結果と、サードパーティのリスクマッピングやシナリオプランニングを含むデジタルレジリエンスを強化するためのベストプラクティス戦略について掘り下げました。

2024年7月に発生したCrowdStrike事件は、サイバーセキュリティと業務回復力における重大なギャップを露呈しました。

このような多層的な脅威環境は、銀行が従来の金融リスクやサイバーセキュリティ、データプライバシー、業務継続性などの新たな課題に対処するために、リスク管理の枠組みを適応させる必要性を強調しています。クラウドストライクの障害は、相互接続されたシステムがサイバー攻撃の影響をいかに増幅させるかを思い起こさせるものでした。

このような混乱がより頻繁に多面的に発生するようになるにつれ、リスク管理を強化し、相互依存関係をマッピングし、ドメイン横断的なインシデント対応プロトコルを強化する必要があります。

今回のRisk.netのパネルディスカッションでは、マルチドメインの混乱などの新たなリスク、そのような混乱がもたらす結果、サードパーティによるリスクマッピングやシナリオプランニングを含むデジタルレジリエンスを強化するための戦略について掘り下げました。

本記事では、このセッションの主なテーマを紹介します。

新たな脆弱性

マルチドメインの混乱は、重大な脅威であると同時に、戦略的リスクを議論するための大きな機会でもあります。このようなディスラプションの可能性が高まっていることを考えると、潜在的な影響を管理するためのより包括的でプロアクティブなアプローチを可能にする、新たなリスクフレームワークに統合する明確な機会があります。

ある米銀のリスク管理担当副頭取は、特にクラウドストライク事件では、単一のテクノロジーへの依存度が高いことが露呈し、レジリエンスの観点からオペレーショナルリスクに影響を及ぼしたと述べています。顧客は、期待された業務ができなくなったのです」。

パネルディスカッションでは、テクノロジーの観点から同様の混乱が発生する可能性、影響を受けたかどうか、影響がどのように現れたか、など、今後に向けて重要な点がいくつか指摘されました。すべてのインシデントを追跡調査することは、万全を期すために不可欠です。

さらに、これらのインシデントがテクノロジーリスクの枠組みを更新・強化するために利用されたかどうかを評価し、オペリスクの観点からギャップを特定することも極めて重要です。レジリエンス（回復力）の観点から、金融機関の内部反省には、顧客が影響を受けたかどうか、今後同様のシナリオが発生しないようにするにはどうすればよいかを含める必要があります。

新たなリスクの観点から、オペリスクのイベントとリスク管理を強化し、新たな脆弱性を明らかにするためにテクノロジー・リスクの失敗を特定することは、企業にとって今、基本的なことです。

テクノロジーを切り離し、単一のプラットフォームやプロバイダーへの依存を減らすことも、バランスを保ち、サイバー災難を回避する上で極めて重要です。「欧州の大手銀行のALMおよびトレジャリー・ファンクション・リーダーは、次のように述べています。

「このような状況は、魅力的なプラットフォームを提供するプロバイダーと契約を結んだときに、故意に、あるいは知らずに生じることがよくあります。時間が経つにつれて、このプラットフォームはビジネスに不可欠なものとなり、当初の目的を超えてその役割を拡大していきます。半年後、1年後には、そのプラットフォームがなくては事業が成り立たなくなるほど不可欠なものになっています。

サードパーティリスクに対する強固なガバナンス

サードパーティリスクの把握とテクノロジーの相互依存関係の特定は最も重要です。サードパーティリスクは、依存関係を理解し、もたらされるリスクを管理する必要があります。組織は、強力な補償コントロールを確保し、少なくともリスクの大きさを理解し、リスク選好度に合わせる必要があります。

「データサプライチェーン全体にわたって強固なガバナンスを確保することが最も重要であり、ロボットによる自動化や人工知能のような新たなテクノロジーソリューションの話になると、その重要性はますます高まります。

レガシー技術と新技術の導入が組み合わさることで、リスクレベルも高まります。パネルディスカッションでは、ソフトウェア開発のすべての段階（計画、構築、テスト、適用、運用）で、影響評価を先行させる必要があることが強調されました。

「変更を導入する際には、その変更がもたらすすべての影響と、その変更に伴うすべてのリスクを理解し、その変更を本番環境に導入する時点まで、強力な代償措置を講じる必要があります」と、グローバル・コンプライアンス・リーダーは述べています。

サイバーリスクについて、グローバル・コンプライアンス・リーダーは、アイデンティティ、アクセス管理、モデル管理、暗号は、グローバル金融機関に影響を与える新たなリスクの一部であると述べました。「どのようなデータが取得され、どのように銀行システムを通過しているのかを正確にマッピングすることは、重要な規制報告書や高リスクモデルに対する引当金の計上に至るまで、ますます不可欠になっています。

集中リスクとシナリオ・プランニング

集中リスクとは、組織が限られた数のベンダーに依存している場合に発生するリスクで、1つのプロバイダーが障害、違反、停電、その他の重大な問題に見舞われた場合に、業務が中断されやすくなります。

銀行は、マルチクラウドやハイブリッドクラウドなどの内部統制フレームワークや戦略を通じて集中リスクを軽減し、耐障害性を確保するとともに、単一のプロバイダーへの依存度を低減することができます。

「私たちは通常、マルチクラウドやハイブリッドクラウドの戦略について考えますが、これは消費者向けバンキングのテクノロジーには有効でも、機関投資家向けバンキングのテクノロジーには有効でない可能性があることを考慮しなければなりません。

集中リスクは、企業が集中リスク、新興リスク、残存リスクをマッピングするシナリオプランニングの必要性を浮き彫りにします。シナリオ分析は複雑ですが、確率と重大性の推定を中心に展開されます。しかし、基本的なポイントは、リスクとリスクのインベントリーに基づき、意味のあるシナリオを積極的にリストアップすることです。

金融と技術の革新は必要不可欠であり、オプションではありません。クラウドへの移行は、ビジネスを維持・継続・成長させ、堅牢なデータソースとアプリケーションのワークロードを維持するために、これまで以上に不可欠なものとなっていますが、企業は、新しいクラウドベンダーの導入方法や、クラウドに移行するワークロードの種類に留意する必要があります。また、特定のクラウドプロバイダーがダウンした場合のリスクと回復力の管理も綿密に行う必要があります。

まとめ

単一のテクノロジーに過度に依存することは、多領域にわたる障害リスクであることに疑いの余地はありません。これらの脆弱性はレジリエンスを損ない、組織を新たな脅威にさらす可能性があります。これらのリスクの点と点を結びつけ、潜在的な混乱に備え、緩和することで、将来的に重大な影響を回避することが極めて重要です。

クラウドの導入は不可避であり有益ですが、クラウド移行によって発生する可能性のあるリスクを軽減するためのシナリオプランニングと規制の枠組み強化は非常に重要です。

スポンサーコンテンツ