コンテンツにスキップ

スティーブ・マクラッケンによるイラスト

カジノサイト 指標と成熟度の考え方

ティム・ウィリアムズ、CPP、トーマス・J・シュルツ著
2016 年 12 月 1 日

印刷問題:2016 年 12 月

目を閉じて、ダーツボードに向かってダーツを投げている自分を想像してください。精度に賭けることはありますか? 

物理的なセキュリティ空間、つまりかつて警備員、門、バッジが統治していた場所では、メトリクスのみを使用してリスクを測定し、企業にとっての価値を提示することは、目隠しをしてダーツを投げることに似ています。サイバーセキュリティは重要ですが、ほとんどの組織にとって戦略的および戦術的なリスク管理には、人や財産の物理的なセキュリティが依然として不可欠です。セキュリティ チームがよく認識していないのは、さまざまな物理セキュリティ ドメインでどの程度成熟したいかを理解し、その成熟度レベルに基づいて企業のセキュリティ リスク管理戦略を構築することが重要であるということです。セキュリティ リスク管理の成熟度や明確に表現された戦略を考慮せずに、指標だけを測定することは、単にアクティビティの完了をカタログ化することになります。成熟度の考え方、明確に定義された戦略、指標の測定という 3 つの要素が効果の基礎となります。

イリノイ州ピオリアに本社を置く Caterpillar Inc. のエンタープライズ セキュリティ リスク管理チームは、Ernst & Young LLP (EY) のセキュリティ専門家と協力して、成熟した考え方を持つことの価値を実証しました。 (プロセスの詳細については、38 ページの「成熟度モデル 101」を参照してください。)これは、Caterpillar 社の従業員、製品、財産、情報、ブランドの保護に役立つだけでなく、セキュリティ チームと戦略が確実に予測可能であり、将来の課題や機会に備えられるようにする上で中心となります。

指標の何が問題ですか?

データを収集することはもちろん価値がありますが、セキュリティ分野での指標の強調は誤った方向に導かれることがあります。セキュリティ チームは、悪いプロセスをうまく実行してしまう可能性があります。メトリクスは優れているように見えますが、未熟なプロセスや壊れたプロセスを測定する場合、実際には尋ねるべき質問には答えていません。たとえば、IT セキュリティ部門は、コンプライアンスに準拠するための取り組みで、システムから 17,000 個のウイルスを駆除したと誇りに思っているかもしれませんが、実際には、不適切なプロセスまたは範囲のために 5,000 個のウイルスを見逃していたかもしれません。プロセスが壊れているため、数字は効果の欠如を示していません。成熟度目標は、望ましい状態を達成するための特定の活動、プログラム、プロジェクトに変換され、指標は成熟度を測定するのに役立つため、自分がどの程度成熟したいかを知ることが違いを生みます。

たとえば、Caterpillar Enterprise Security が初めて EY のサイバーセキュリティ成熟度モデルを使用し始めたとき、進化する防御テクノロジーの観点からはあまり成熟していないとの決定が下されました。その代わりに、チームは検出と対応の成熟度においてクラス最高になり、深刻なネットワーク攻撃を迅速に認識し、リスクを効果的に軽減できるようにしたいと考えていました。その目的は、サイバーセキュリティ プログラムが、率直に言って今日の状況では避けられない攻撃を防ぐために莫大な費用をかけて金儲けの宝庫にならないという合理的な保証を経営陣に与えることでした。経営陣にとってのこの状況は、文字通り千の言葉に値するものでした。取締役会と上級経営陣は、このモデルが、セキュリティ機能がどの時点でどのような状況にあり、どこに行こうとしているのか、また金融サービスや運輸などの他の業界の同業他社とどのように比較されるのかを示す優れたスナップショットとしてこのモデルを評価しています。サイバーセキュリティ成熟度モデルを使用して経営幹部との効果的なコミュニケーションに成功したことは、物理的なセキュリティの専門家がしばしば苦労することであり、人や財産の保護にも同じ取り組みと分析を適用する時期が来たことを示しています。 

なぜ成熟度モデルが優れているのでしょうか?

2013 年 4 月、Caterpillar と EY は、物理的セキュリティに最も関連するドメイン、サブドメイン、定義について合意するために、世界的に有名な企業の CSO 8 名とその他の業界専門家を約 9 か月間にわたって対面および仮想会議に参加させました。グループ内のさまざまな視点やニーズにより、興味深い議論が生まれ、中には他のものよりも複雑なものもありました。例えば、より世界的な活動を行っている人々は、「調査」という用語は世界の一部の地域では異なる意味を持っており、「調査と調査」に変更する必要があると指摘しました。これらの議論からいくつかのサブドメインが生まれ、各領域をより詳細に重み付けし、さまざまな業界や世界の地域でさまざまなセキュリティ組織がどのように運営されているかをより適切に反映できるようになりました。最終的に、グループはサブドメインを含む 9 つのドメインで合意しました。

EY はその後、各分野に関連する数百の質問を含む包括的なアンケートと面接ガイドを開発しました。独立した評価チームは、Caterpillar の主要な関係者の間で 9 つのドメインごとにモデルを実行し、最初の物理セキュリティ成熟度の結果をプロットしました。たとえば、危機管理ドメインを考えてみましょう。面接官は、「危機管理計画は整っていますか?」など、さまざまな質問をします。 「危機管理チームは結成されていますか?」 「経営陣はプログラムを十分に監視していますか?」その後、1 ~ 5 の評価が続きます。 (38 ページの「成熟度レベル」101 を参照してください。)

危機管理プログラムに対するリーダーシップの可視性またはサポートは、明確な (3) 評価を示しますが、幹部からの正式な関与のみが最適化された (5) 評価を獲得します。定義され、年次評価に統合されている指標と報告要件があることは、プログラムが管理されている (4) ことを示しますが、これらが経営幹部に定期的に報告されるまでは、最適化 (5) の評価を達成することはできません。

危機管理チームに関しては、役割と責任、認定資格と訓練、部門を越えたメンバーが含まれるかどうか、および最終的な意思決定権限を誰が持つかによって評価が異なる場合があります。企業の災害復旧計画への統合に関して言えば、統合のためのプロセスがないことは、初期/臨時 (1) の評価に値します。これらの危機計画領域が企業内の他の場所で効果的に処理されている場合、セキュリティ機能には定義済み (3) の成熟度目標で十分である可能性があります。 

その後数年間にわたって、評価チームはアンケートを改良して、各サブドメインの将来の目標を明確に示し、必要に応じてより Caterpillar に特化したものにして、より詳細な全体像を分かりやすく提供しました。 Caterpillar は、さまざまなレベルの成熟度の基準を引き上げ続けており、このツールは、将来の望ましい状態とツールの出力によって示唆されるように、機能とテクノロジー リソースを調整することで、脅威の状況の変化に適応するのにも役立ちます。

Caterpillar の物理セキュリティ成熟度モデルは、物理セキュリティ プログラムの 2 つの側面に注目を集めています。まず、各領域の成熟度レベルは正しいですか、それとも追加の注意が必要な領域はありますか?第二に、追加の資金が必要な分野はあるのか、もし必要な場合、成熟を早めるためにどのように活用できるのか。危機管理の例では、Caterpillar は、この分野の指標を定期的に執行部に報告することにより、成熟度評価を「管理」(4) から「最適化」(5) に移行しました。 To improve its maturity rating in the General Training and Awareness subdomain of Awareness, Caterpillar Enterprise Security budgeted for an annual Security Awareness Week that promotes awareness of both physical and cybersecurity among employees globally to move the maturity needle.

成熟度モデルは、使いやすく視覚的な、経営陣との議論のためのテンプレートを作成しました。これにより、コミュニケーションが明確になります。このツールは、進捗状況を反映したり、追加投資が必要な分野を強調したりするために、経営陣や取締役会とのディスカッションにも使用されます。視覚的な表現 (38 ページの「成熟度モデルの実際の動作」を参照) はストーリーを素早く伝え、経営陣の注意を引き、経営陣がより即座に把握できるレベルのコンテキストを提供します。執行部がエンタープライズ セキュリティの現状を把握すると、その結果から必然的に詳細な議論が行われ、より効果的な意思決定が促進されます。このツールにより、企業全体の人々と財産のセキュリティを提供するためのリスクベースのアプローチに対するセキュリティ チームの重点が強化されました。

付随的な利益はありますか?

興味深いことに、エンタープライズ セキュリティ チームは、成熟度モデルがそのストーリーを伝えるためのプラットフォームも提供し、幹部がエンタープライズ セキュリティ組織の活動をよりよく理解するのに役立つことに気づいています。成熟度モデルが提示されるたびに、チームのサービスとチームが企業にもたらす価値について話す機会が生まれます。一部の CSO にとって、成熟度モデルは、サービスのポートフォリオや責任領域を拡大または増加させる正当な理由を提供するのに役立つ可能性があります。

物理セキュリティ成熟度モデルは、企業全体でセキュリティ リスク管理のコラボレーションを構築するための優れたツールでもあります。これは、セキュリティ チームがどこに重複があるのか​​をよりよく理解し、モデル内のすべてがセキュリティ組織によって所有されているわけではないことを認識するのに役立ちます。これは、施設から従業員の健康と安全、人事、法律に至るまで、セキュリティの所有者に関係なく、セキュリティの機能とニーズの全体像を示します。変化を推進するには、利害関係者が将来の状態に向かって進み、成熟度レベルを達成するために必要なことについて毎年取り組むことに同意する必要があります。

次は何ですか?

Caterpillar と EY は現在も情報を蓄積し、Caterpillar 物理セキュリティ成熟度モデルのアンケートと実装プロセスを進化させており、これがリスク受容、リスク軽減、セキュリティ投資の計算尺となる点でサイバーセキュリティ成熟度モデルと同じ道をたどることを期待しています。これは、イリノイ、アイルランド、インドのいずれにおいても、事業運営のためにどの程度のリスクを許容するかについてビジネスリーダーの間でより迅速な合意を得るために、急速に効果的なツールになりつつあります。このツールを使用して、エンタープライズ セキュリティがどこにあったのか、現在どこにあるのか、そして機能がどこに行こうとしているのかを明確に示すことで、経営陣はどこへの投資が最も大きな影響を与えるかを示すことができます。

Caterpillar のエンタープライズ セキュリティは今後、物理セキュリティと情報セキュリティの両方の成熟度をこれらの議論に組み込む予定です。これにより、経営陣は各分野で行われている意思決定と統合されたエンタープライズ セキュリティ戦略についての視点を得ることができます。長期的には、2 つのモデルを 1 つに統合して、統合されたエンタープライズ セキュリティ リスク管理ロードマップを提示する計画です。また、EY がこのツールを使用して他の企業からデータを収集することで、Caterpillar のセキュリティが競合他社とどのように比較されるかを示し、最終的には業界全体にわたるより広い視野を提供できるようになります。  

--

ティム・ウィリアムズ、CPPは、Caterpillar Inc. の CSO です。彼は カジノサイト International の現メンバーであり、元社長でもあります。 トム・シュルツは Ernst & Young LLP のエグゼクティブ ディレクターです。 

arrow_upward