つまり、経営計画や組織資源の脆弱性把握(バルネラビリティ)、そしてその脆弱性の要因を炙り出し、経営者を筆頭とする組織バイアスに揺さぶりをかけるのがレッドチームである。
妥協を抱え込んだ組織は、その思考そのものが、システムとしてレジリンスの原動力ではなく、むしろ脆弱性の要因となり、事業における想定外を連発し後手に回る。とくに規模が大きい組織の場合には、顧客との関係性、組織内政治などの強い慣性力が作用しているために、臨機応変かつ機敏(アジャイル)な軌道修正は容易ではない。
サイバー攻撃を自ら仕掛ける
日本企業にレッドチームなるものを有した企業は著者の知る限りない。それは暗黙裡に組織に内在しているとの反論も容易に想像できるが、それでは読者が所属する組織のリスク管理委員会の実態はどうであろうか。また、防災やBCP・BCMといった危機管理に携わる部門は着実に普及、発展している。
事業継続計画は、あくまでも現在のビジネスの継続をすることを前提とした経営計画であるため、そもそもの中長期の経営計画に対して、悪魔の如く参謀介入するに至っている企業はほとんどないのが現状だろう。空気を読んでいるだけでは、危機管理にならないのだ。
ここでは、ゴールドマン・サックスの事例を紹介しよう。
企業経営を脅かすリスクとして、その地位を急速に上げたのがサイバーリスクである。同社は、重要な情報資産に対して、2社のホワイトハッカー企業との契約をもとに、それぞれ別々に独立した侵入テストを実施している。これにより、情報システムの欠陥や自分たちの事態対処能力の把握、対応が遅れた場合の経営に与えるインパクト把握などの包括的な評価を自らに提示するのだ。
これにより、経営陣に対して、我が社の情報セキュリティは常に脆弱であるという危機認識を植え付けている。また、サイバー攻撃により発生するであろう経済的なコストやレピュテーションリスクを事後的に負うよりも、事前に組織の脆弱性を把握し、打てる手を打つ。そのほうが全体としてのコストは低減できるという論理だ。
その際、何を一番守りたいか、どのような敵が一番脅威か、その敵がどのような情報を欲しているのか等、まるでウォーゲーム(war game)の如く知的討議を行う。
実はこのような取り組みは、フォーチュン500企業のほとんどで行われている。ソフトウエア開発や新商品投入などのプレスリリース前に、外部の侵入テストを行っている。悪意ある攻撃者は、商品開発に関する知的財産情報、重要人物へのアクセスをしてくることを前提としているのだ。情報システムに関するリスク管理を、半ばベンダーに丸投げしている日本企業とは、その意識の差は歴然としている。
ここでは割愛するが、ロイヤル・ダッチ・シェルが2013年に公表した「New Lens Scenarios」は、彼らが、ほぼ1世紀にわたり世界のトップ企業グループにあることの証左がよく分かるシナリオ分析資料だ。世界屈指のエネルギーメジャーであり続るための知の技法や危機管理の経営技術が垣間見れる。