マイク ヨハンセン

• ニュース＆アナリシス

• 2026年01月23日
• マイク ヨハンセン

元CIAベテランが語る地政学リスクに日本企業はどう対応すべきか。

レアアース（希少土）など中国との貿易摩擦や、ベネズエラでの米作戦、グリーンランドを巡る米欧の攻防など、企業や組織は日々、「予測不能な不測事態」に直面している。さらに報道などを見ていてもスパイ活動も各地で確認されている。 多くの予測不能なセキュリティ上の不測事態は、技術的、人為的、物理的の三つに分類され、企業スパイ活動はこのすべてにまたがる。技術的攻撃は、ソフトウェア、インフラ、システム設計の欠陥を突く。人為的脅威は、過失であれ意図的であれ、欺瞞、強要、内部アクセスを利用する。物理的攻撃は施設、設備、環境依存関係を標的とし、統制と境界がより明確なため、管理が最も容易なことが多い。 組織はますます、サイバー攻撃、第三者障害の連鎖、サイバー・フィジカルな混乱といった形で、これらのベクトルが融合した不測事態に直面している。静的で予防一辺倒の統制は、もはや十分ではない。これらが「予測不能」と呼ばれるのは、想像できないからではなく、従来のリスク登録簿や一度きりの施策では想定できない形で、急速かつ複合的に出現するからである。 レジリエンスは、技術・人・物理のリスク信号を個別に管理するのではなく、継続的に相関させることから生まれる。統合的視点は、複合脅威の早期検知、より一貫した対応、インシデント進行中の運用統制の改善を可能にする。 2026年1月14日の全米規模のVerizon通信障害は、この現実を浮き彫りにした。敵対的サイバー攻撃ではなかったが、根底にあるパターンと結果は同じだった。重要プロバイダーにおける技術的・人為的失敗である。意図の有無にかかわらず、顧客にとっての結果は同じであり、混乱と評判への影響を通じて、動機よりもオペレーショナル・レディネスの方が結果を左右することを示した。 現代の不測事態には、乗っ取られたオープンソース部品によるソフトウェア・サプライチェーン侵害、ゼロデイやインフラの大規模悪用、基幹業務を停止させるランサムウェア、侵害された建物・産業システムからのサイバー・フィジカル波及、第三者・クラウド集中リスク、そしてフィッシング、認証情報窃取、AI支援型詐欺、内部不正といった持続的な人為・社会技術的失敗モードが含まれる。 これらのリスクに対処するには、セキュリティを全社的な規律として扱う必要がある。すなわち、事業に整合した継続的リスク管理を採用し、インテリジェンス、監視、演習による動的リスク特定に移行し、セグメンテーションと検証済み復旧によるレジリエンス設計を行い、デジタルおよびベンダーのサプライチェーンを強化・検証し、サイバーと物理セキュリティ運用を統合し、インシデント対応と危機リーダーシップを訓練し、コンプライアンス主導ではなく真にリスク認識のある文化を構築することである。 今後6〜12か月で、組織はIT、OT、クラウド、ベンダーにまたがる重要依存関係をマッピングし、基本的なセグメンテーションとフィッシング耐性認証を導入し、多段階混乱を想定した部門横断演習を少なくとも1回実施すべきである。トリップワイヤーは現実世界の出来事や経済シグナルに結びつけつつ、新興脅威に目を向けた前向きな姿勢を保つ必要がある。 運用上の備えが整った組織にとって、不測のセキュリティ事態は異常ではない。それらはストレス下にある複雑系の予測可能な帰結となり、プレイブックに想定され、実践の中で封じ込められる。完全な安全は非現実的だが、持続的即応文化は手の届く範囲にあり、それは偏執ではなく準備を反映するものである。