コンテンツにスキップ
セキュリティは統合されつつありますか

イラスト by iStock;セキュリティ管理

カジノサイト

完全な収束は一般的ではないことが研究で判明

マイケル A. ギプス著、CPP
2020 年 1 月 1 日

印刷問題:2020 年 1 月

E上昇するものはすべて収束するはずです。少なくともそれが、フランスの哲学者、司祭、古生物学者であるピエール・テイヤール・ド・シャルダンがスピリチュアリティについて主張したことです。しかし、企業のセキュリティ部門のより現実的な観点から見ると、コンバージェンスはそれほど避けられないものではありません。実際、米国、ヨーロッパ、インドの組織の約 5 分の 1 のみが、物理セキュリティ、サイバーセキュリティ、ビジネス継続性を完全に統合していると回答しています。そして、まったく収束していない企業のうち 70% は、収束する予定はないと答えています。

これらはからの最初の発見のうちの2つです最近発表された研究AlertEnterprise が後援する カジノサイト 財団から、3 つの主要地域における収束の程度を判断することを目指しています。この研究は、過去 10 年間に広範に取り上げられてきたが、逸話的にのみ扱われてきたテーマに、切実に必要とされているデータを提供します。

1,000 人を超える CSO、CISO、物理セキュリティ ディレクター、サイバーセキュリティ ディレクター、事業継続責任者、危機/災害管理リーダーが、収束の状態、収束の障壁、収束の利点と欠点、および関連トピックに関する質問に回答しました。回答は約 20 件の綿密なインタビューによって補足されました。その結果は、米国、ヨーロッパ、インドの組織で物理セキュリティ、サイバーセキュリティ、事業継続部門がどのように連携しているかを示す、独創的なスナップショットです。

主な調査結果

調査で得られた最も興味深い調査結果には、組織の種類と規模、統合しない理由、統合の利点、統合の欠点、統合された機能の監視、完全な統合がない場合の効果的なコラボレーションと管理のモデルが含まれます。

組織的要因。経済的必要性と、新興企業や小規模企業の「全員がすべてに責任を負う」性質のため、小規模企業はより多くの数に集まる傾向があります。年間収益が 2,500 万ドル未満の組織は、収束率が 31% であると報告しています。この割合は企業規模が大きくなるにつれて減少し、非常に大規模な企業では統合が進むにつれてわずかに増加します。内訳については、48 ページの表を参照してください。

場所も重要な役割を果たします。ヨーロッパとインドの企業はそれぞれ 23% の収束率を報告していますが、米国ではわずか 16% です。

完全な収束の程度は業界によっても異なります。信頼できる結果を生み出すために十分なデータが利用可能な業種のうち、電力会社は 30% が物理的、サイバー的、およびビジネスの継続性が統合されていると報告し、先頭に立っていました。おそらく、調査に回答した電力会社の規模と予算が比較的小規模だったためと考えられます。比較的高いレベルの融合を示している他の業界には、金融サービス、接客業、テクノロジー/ソフトウェアがそれぞれ 19% 含まれています。その対極にあるのは小売業、ヘルスケア、エンジニアリング/建設業で、それぞれ 11% です。

全調査回答者の統合率非統合企業。非収束組織には、どのような要因が収束を妨げているのか、またどのような要因が最終的に収束に導く可能性があるのかについて質問されました。サイバー、物理、事業継続機能を融合する際の困難は、人事の問題とサイバーセキュリティの独特の性質に集中しています。これらの課題には、集中したユニット間の文化やスキルの違いが含まれます (41%)。芝生とサイロを運用する伝統 (41%)。個別のセキュリティ運用が必要であるという考え (26%)。

しかし、企業をコンバージェンスに向けて誘惑しているのは次のとおりです。セキュリティ/リスク管理戦略と企業目標の整合性が向上しています (38%)。物理的およびサイバー技術の統合/セキュリティ オペレーション センターの進歩 (28%)。セキュリティや事業継続性の運用における効率の向上が約束される (27%)。そして明らかなコスト削減の可能性 (21%)。

統合された企業。物理的、サイバー的、およびビジネス継続性を統合した組織は、圧倒的にその統合の利点を挙げています。実際、44 パーセントは、収束はマイナスの結果をもたらさなかったと述べています。

セキュリティ戦略と企業目標の整合性が向上するなど、幅広いメリットがあります (40%)。コミュニケーションと協力の強化 (39%)。物理的セキュリティ、サイバーセキュリティ、事業継続性チーム全体で共通の実践と目標を確立する (35%)。セキュリティスタッフがより多能で多才になることができるようになります (26%)。組織がより効率的なセキュリティ運用を行えるように支援します (25%)。経営幹部や取締役会での可視性と影響力が高まります (23%)。

調査回答者のほぼ半数 (46%) が、コンバージェンスによって全体的なセキュリティ機能が少なくともある程度強化されたと述べ、さらに 30% が「セキュリティが大幅に強化された」と述べています。収束により業務が弱体化したと回答したのはわずか 3 パーセントで、14 パーセントは「変化はなかった」と回答しました。

リーダーシップの重要性

詳細なインタビューによると、業界や地域を超えた組織が、複数のセキュリティ部門が相互に会話しない、または会合を控えめにすることは、従来の境界を無視する脅威の時代には受け入れられないことを認識していることがわかりました。非統合型組織の多くは、セキュリティ部門が頻繁に会合し、共同でプロジェクトに取り組むことを主張していますが、調査回答によると、統合型組織ではコラボレーションが緊密であることが示されています。

ある国際的なエネルギー会社では、新しい CISO を採用し、すぐに統合計画を策定したときに統合への道筋が描かれました。 「彼はサイバーセキュリティと物理セキュリティをより緊密に結び付けたいと考えていました」と同社の物理セキュリティ責任者は語る。 「統合する主な理由は、結合された領域で情報を共有することです。セキュリティは現在、物理情報とサイバーで非常に複雑になっているため、すべての知識を結合することが非常に重要です。」

しかし、調査からは収束によるいくつかのマイナスの影響が明らかになりました。それらには、役割と責任に関する混乱 (29 パーセント)、報告/コミュニケーションの系統に関する混乱 (25 パーセント)、集中するスタッフ間の対立やその他の人事問題 (25 パーセント) が含まれます。

組織の規模と集中力また、統合部門の創設には、それを実現するためのスキルを備えた有能な人材が必要です。そして、多くの組織にとって、予算とコストが依然として問題となっています。

「サイバー人材を探す場合、財務面を考慮する必要があります」と、ヨーロッパのエネルギー会社の CSO は言います。 「物理的なセキュリティ担当者よりもサイバーセキュリティ担当者を雇うには、はるかに多くのお金を支払う必要があります。ここでは誰もがほぼ同じ収入なので、若手のサイバー担当者を雇って訓練する必要があります。」

一人の人間にさまざまなスキルセットがあることは稀です。国際的なテクノロジー企業のエンタープライズ リスク管理およびグローバル セキュリティ担当バイスプレジデントによると、「サイバー、物理、BC (事業継続性) という 3 つのバケットに対処できるスキル セットや能力を 1 人の個人で見つけたわけではありません。欠点は、この人材にはコストがかかるということです。そのため、私たちはチームとしてこれらのリスクに取り組みます。利点は、より多くの目が向けられることです。」

収束によってコストが削減されるという声が絶えず聞こえているにもかかわらず、その結論は数字によって裏付けられていません。統合組織のセキュリティ担当幹部のうち、統合の主な利点としてコスト削減を挙げているのはわずか 7% です。実際、6% はコンバージェンスによって実際にコストが増加したと述べています。

収束関数の監視。統合に対する懸念の 1 つは、CISO が統合機能のリーダーに抜擢された場合に、物理的なセキュリティや事業継続性などによって雇用、影響力、または権限が失われることです。誰が統合された取り組みを主導することになるかは、多くの場合、文化、性格、人間関係、さらには偶然に基づいています。少数の組織は、組織のリスク パレット全体を所有する最高リスク責任者または別の幹部に直属していますが、それ以外の組織では、組織上の取り決めにより、セキュリティ リーダーとスタッフが互いに対立する可能性があります。

あるヨーロッパの通信会社は、優位性をめぐる戦いで課題に直面しています。 「統合への主な障壁は、縄張りとサイロの問題でした」とグループ セキュリティ担当副社長は言います。 「誰もが自分の責任、部下、予算、名声、会社にとっての重要性を守りたいと考えていました。」

収束のないコラボレーション

この調査では、非統合企業でも統合には大きなメリットがあると考えていることが判明しました。非統合組織のほぼ 80% が、統合によって全体的なセキュリティ機能が強化されることを認めています。

インタビューによって裏付けられた重要な所見は、特定の事業分野内の個々の組織のニーズや要求に合わせて統合または統合をカスタマイズする必要があるということです。すべての人に有効な単一のモデルはありません。

米国の大手金融サービス会社の経営を例に考えてみましょう。 CISO はサイバーセキュリティを統括し、CIO に報告します。同氏は物理的セキュリティとは「限定的な関係」を持っており、物理的セキュリティの責任者は人事直属のセキュリティ責任者である。 CISO は次のように述べています。「私たちは月に 1 回会議を開き、システム統合の可能性からセキュリティ センターでの重複に至るまで、あらゆることについて話し合っています。私たちは建物へのアクセスを調整しています。データ センターなどに導入されている管理を理解するには、物理​​的なセキュリティが必要です。また、現場に人がいるかどうかを知る必要があるため、実行についても協力しています。」

この金融サービス会社では、データ セキュリティが不可欠であり、事業継続計画は CISO に報告されています。現在、ある程度の収束は見られますが、完全な収束には至っていません。今のところ、この会社ではカスタマイズがうまく機能しています。 「現時点では収束の計画はありませんが、3 ~ 5 年以内には実現したいと述べました。」と CISO は述べています。

3 つの機能の将来の統合に関する漠然とした計画や不完全なアイデアは、基本的に今日のセキュリティの統合状態を要約しています。 カジノサイト財団のデータとインタビューは、見返りはあるものの、疑問は消えず、組織的な障害も残っていることを示している。おそらく、「上昇するものはすべて収束しなければならない」というピエール テイヤール ド シャルダンの観察は、セキュリティにも当てはまります。企業階層内でセキュリティ機能がまだ十分に高まっていないだけです。

マイケル A. ギプス、CPP は、カジノサイト 財団研究委員会のメンバーであり、カジノサイト インターナショナルの元幹部です。この記事は カジノサイト Foundation のレポートに基づいています米国、ヨーロッパ、インドにおけるセキュリティ コンバージェンスの状況—AlertEnterprise 後援—主著者 David Beck および寄稿者 Beth McFarlandカジノサイト財団ディレクター。

arrow_upward