気候変動やデジタル化といったメガトレンド、そしてパンデミック(感染症の世界的大流行)や軍事侵攻といった突発的なリスク。そのいずれもが経営の不確実性を増幅させている。そうした時代にあって、企業は不確実性をマネジメントしながら、成長機会を獲得するための活路をいかにして見いだせばいいのか。

デロイト トーマツ グループのリスクアドバイザリービジネスを率いる岩村篤氏とデロイト トーマツ サイバーの桐原祐一郎氏に聞いた。

不確実性を時間軸と発生可能性で分け、マネジメントする

――パンデミックという公衆衛⽣上のリスクとウクライナ危機といった地政学上のリスクや脱炭素化など、複数の不確実性が同時に世界を覆っている現下の状況が、企業経営に与えている影響についてどう捉えるべきでしょうか。

岩村 企業の意思決定層からは、「経営のかじ取りがますます難しくなっている」という悩みをよく聞きます。COVID19(新型コロナウイルス感染症)やウクライナ危機の発生は誰も予想していませんでしたし、気候変動や自然災害の面でも、不確実性が高まる一方です。

 こうした状況下にあって経営者は、不確実性を時間軸と発生可能性によって分けてマネジメントすべきだと思います。例えば、時間軸で分けると、短期としてはさまざまな分野でのデジタルの普及・進展による不確実性があり、デジタル化はすぐに対処しなくてはならない課題です。長期では気候変動が経営の不確実性を高めていますが、2050年の脱炭素化が世界のスタンダードとなっていますので、そこからバックキャストして10年単位で腰を据えて取り組まなくてはならない課題です。

 デジタル化や脱炭素化は発生可能性という点でいうと、確度が高いものです。逆にロシアのウクライナ侵攻などは発生を予測するのが非常に難しかった。企業は一定程度発生が予測できる不確実性について、時間軸で分類しながら適切に対処すべきだと思います。

桐原 時間軸と発生可能性で分類すると、サイバー攻撃はどの企業にとっても短期的に高い確率で発生するものと捉えるべきです。サイバーインシデントについてはいろいろな統計がありますが、例えば、22年3月に発生したサイバー攻撃の回数は1年前の25倍に激増しています。また、日系企業で年1回以上のサイバーインシデントが発生している割合は、5割を超えるという調査結果もあります。

 サイバー空間での脅威が急拡大している背景の一つは、デジタル化です。コロナ禍でリモート会議が一般化したように、ビジネスでも生活でもデジタル依存度は急速に高まっており、その結果、私たちは日常のあらゆる場面でサイバーリスクにさらされています。

 もう一つの背景として挙げられるのが、サイバー空間はフィジカル(物理)空間を映す鏡だということです。オリンピックやサッカーワールドカップのような世界的なイベントが開催されるときにはサイバー犯罪が増えますし、今回のウクライナ侵攻でもそうですが、外交・経済上の国際的な緊張が高まるとサイバー攻撃が激化します。

 ですから、経営者はサイバーインシデントが確実に起こるという前提でマネジメントを考えなくてはなりません。その一丁目一番地は、サイバーの脅威を常時分析する「サイバーインテリジェンス」の強化です。

 サイバーリスクに関する情報を広く収集・分析し、自社にとっての脅威を特定して、それを常時モニタリングすること。同時に、インシデントが発生した場合は即座に対応できる体制を構築する。それが経営者に求められます。