T第 4 次産業革命が到来しています。私たちは、機械、デバイス、センサー、人々が相互に接続して通信する、相互接続された世界で生活し、働いています。私たちの周囲には、スマートフォン、モノのインターネット (IoT) デバイス、位置検出テクノロジー、高度なヒューマン マシン インターフェイス、サイバー フィジカル システム、クラウド コンピューティング、認証ツール、不正行為検出手段、スマート センサー、高度な分析機能、デジタル顧客プロファイリングが存在します。スマートシティはオンライン化されており、事業者は膨大な情報セットにアクセスしてシステムを管理できるようになります。

これらのテクノロジーは世界の産業環境を変革しており、変化し続けています企業セキュリティ リスク管理 (ESRM)セキュリティ業界がようやく理解し始めた方法です。

41017_41347

結果: 遍在的かつ永続的な監視と高度な分析の組み合わせにより、まったく新しい企業リスク方程式が生まれました。

新しいテクノロジー、新しい可能性

今日のデジタル世界では、情報の膨大なデータプールを収集するデジタルセンサーが飛躍的に増加しており、その多くは個人とその活動に関するものです。堅牢なデータ分析の出現により、この大量の情報を他のデータ ソースによって強化して、リスク軽減やインシデント調査のための貴重なインテリジェンスを作成できます。

このデータの一部は、テクノロジーの使用を通じて個人によってボランティアで提供されたものです。たとえば、Facebook は月間 20 億人を超えるアクティブ ユーザーを誇ります。子会社である Instagram の月間ユーザー数は 8 億人です。そして月間アクティブ ユーザー数は 3 億 3,000 万人以上。これらすべてのユーザーがデータを生成します。

他の例では、テクノロジーやサービスのプロバイダーが消費者やユーザーから個人データを収集します。アドテクセンサーの形をとった監視資本主義は、商業データ消費者に販売されるデータを使用して、ショッピングや購買行動を収集および追跡します。携帯電話ネットワーク、DNA マッピング、ウイルス追跡がこれに加わります。高速かつ高密度の 5G 携帯電話ネットワーク、ユビキタス IoT インフラストラクチャ、車両テレメトリなどの技術の進歩により、個人の動きの正確な三角測量が可能になります。

他のデータは別のチャネル経由で送信されます。 によると、成人アメリカ人の 2 人に 1 人が法執行機関の顔認識ネットワークに参加しています。。米国会計検査院 (GAO) はまた、16 の米国の州が、FBI に顔認識技術を使用して、犯罪容疑者の顔を運転免許証や身分証明書の写真と比較することを許可しました。

これらの大規模なデータレイクは名目上は価値がありますが、実際に役立つようにするにはデータ分析の改善が必要でした。機械学習 (ML) と人工知能 (AI) により、データ セットの集約、アクティビティの相関関係、およびイベントのリアルタイムおよび法医学的暴露が可能になりました。

Fusion テクノロジーは、データ ポイント間のスペースを排除し、かつては接続できたとしてもリンクするのに数日から数週間かかった点を接続することで、データ分析をさらに強化しました。この融合は、公的および独自の記録、ライブセンサーフィード、監視アーカイブを調べてパターンと関連性を特定し、アナリストが事件と個人の間に直接線を引くことを可能にする一連のアルゴリズムによって作成されます。

人々が一日のほとんどをオフラインで過ごすことができた時代は遠い昔に過ぎました。現在では、人々が周囲のセンサーの届かない瞬間を見つけることはほとんどありません。このテクノロジー データの強化が意味するものは、政府や企業のセキュリティ担当者にとって重要です。リスクを特定して軽減するための新しいメカニズムと方法論が利用できるようになりました。

注目すべき例は、2021年1月6日に連邦議会議事堂で起きた暴動に対するFBIの捜査である。連邦請求文書によると、ビデオ監視記録、顔と歩行の認識、ナンバープレートリーダー、携帯電話の追跡、オンライン通信を相互に関連付けることにより、容疑者の特定と起訴に高度な技術が使用されたことが示されている。連邦検察当局は、捜査は「次のようなものになる可能性が高い」と述べた。、起訴された被告の数と証拠の性質と量の両方の点で。」

によると、警察エグゼクティブリサーチフォーラム事務局長、「20年前に事件が起こっていたら、これらの人々を特定するのは100倍難しかったでしょう。しかし今日では、どこかに足跡を残さないことはほぼ不可能です。」

セキュリティ担当者レベルであっても、ビデオ監視フィードのリアルタイム ストリーミングを通じて不審な活動の監視、追跡、報告を可能にする特注のアプリケーションがあります。たとえば、シリコンバレーの企業ナイトスコープは、これをさらに一歩進めて、人感センサーを完全に排除し、自律型セキュリティロボットにナンバープレートリーダー、熱センサー、顔認識機能を装備しています。代わりに、ロボットや自律型センサーからのアラートに応答するのは人間に頼っています。

ほぼまたは実際のリアルタイムの相関関係は大きな変革をもたらしますが、電話、財務、旅行の記録を通じて、何年、何十年にもわたって収集された非構造化データのパターンを見つける、より微妙な詳細調査の実行も同様です。テクノロジーにより、複雑な捜査に費やされる単調な捜査作業が大幅に合理化されています。

政府と企業のセキュリティ リーダーは、ユビキタス センサーと高度な分析を使用したリアルタイムのフォレンジック調査がますます標準となっている複雑な環境に身を置いており、その可能性、注意点、危険性を認識しています。

良いもの

おそらく、リスク管理における最も重要な目標は、有害な事件の発生を防ぐことです。次世代セキュリティ テクノロジーはまさにそれを可能にし、セキュリティをよりスマート、効率的、プロアクティブにする予測分析を提供します。

たとえば、フォレンジックおよび予測セキュリティ手法は、分解されたビデオ監視データ パケットに高度な分析を適用することによって作成されます。エンドポイント コンピューティングの最近の進歩により、自動顔認識、ナンバー プレート認識、パターン、異常をローカルで実行するためのビデオ監視システムに ML および AI 処理を組み込むことが可能になり、完成した分析をセキュリティ オペレーティング センターに送信してアクションを起こすことができます。

テクノロジーのおかげで、治安指導者と警察との協力も合理化されました。先進テクノロジーは、事件への迅速な対応を促進するだけでなく、現在、警察捜査の中核的な要素となっています。顔認識は容疑者の追跡に役立ち、モバイル デバイスの使用を活用した位置追跡により、異常と技術的監視の関連付けが容易になります。

犯罪行為のビデオは多くの場合、目撃者や犯罪者自身によって撮影されており、電話記録、ビデオ監視、個人の供述によって裏付けられる。 の場合がこれに該当します、37歳、彼は2021年1月6日に連邦議会議事堂で自分自身を撮影した詳細で長いソーシャルメディア動画を投稿した。1年以内に彼は議会妨害、法的権限のない立ち入り禁止の建物への立ち入り、秩序を乱す行為の罪で有罪を認めた。 

悪い人

いくつかの欠点のない技術はありません、特に新興技術や進化する技術はそうです。データは、高度な分析は不正確で偏っている可能性があり、ビッグデータはさらに大きなサイバーセキュリティ リスクを引き起こす可能性があります。

改変された写真やディープフェイク動画はよく知られているが、意図的に操作されたデータセットについてはあまり知られていない。これらのデータセットは、多くの場合正体不明となり、調査結果や結論が変更される可能性がある。機械学習と人工知能は、主にトレーニングされる顔認識ツールなど、認識されていないバイアスが含まれている可能性があるサンプル データセットから作成されたアルゴリズムとモデルに基づいて構築されています。有色人種の検出の信頼性は低くなります。

さらに、組織が保存する情報が増えるほど、データ盗難やランサムウェア攻撃の標的となります。データは他者 (クラウド プロバイダー) によって保持されることが多いため、エンド ユーザーはセキュリティとプライバシーの保証を必要とします。エンタープライズ リスク マネージャーは、これについて組織の IT 部門に依存する傾向がありますが、この役割の重要性を考慮すると、これらの関係者の経験と専門知識を理解する価値があります。

技術的なリスクに加えて、人的資源のリスクも存在します。パンデミックに起因するリモートワークは、今後も企業セキュリティの課題の大きな部分を占める可能性があります。ビジネスリーダーが従業員を直接見ることができなくなった時期を経て、多くの組織は生産性を確保するためにデジタル監視に移行しました。しかし、企業が電子メール アカウント、Web ブラウジング、コラボレーション ツール、さらには Web カメラやキーロガーの監視という形でデジタル監視を導入したため、多くの組織では潜在的なプライバシー問題により従業員の離職率が増加しています。

2021 年の VMware 調査で報告されたとおりデバイス監視を導入している企業、または導入を計画している企業の約 40% が、従業員の離職率の増加または大幅な増加を目撃しています。

醜い人

新しい仕事を見つけることでデジタル監視に対応する従業員もいる一方で、シャドー IT を支持して公式の企業ネットワーク、ツール、保護手段を回避する従業員もいます。

監視ツールを回避するための仕事目的での個人用デバイスの使用の増加は、特に時間と労力を節約するための手抜きやポリシーや手順の軽視を伴うことが多いため、リスク管理者にとって当然の懸念事項です。良い例としては、機密データを個人のデバイスまたはアカウントに転送して、より簡単に編集または印刷できるようにすることが挙げられます。そうすることで、その情報は個人のデバイス上に保護されずに保存され、組織の管理外に置かれ、場合によっては従業員の管理外に置かれることもあります。

ESRM のベスト プラクティス

上に示したように、テクノロジーと方法論の進歩により、特に新型コロナウイルス感染症の時代において、私たちの生活様式が劇的に変化しています。しかし、企業のセキュリティとそれを管理する人々にとって、それは何を意味するのでしょうか? ESRM では全体的なセキュリティ リスクを総合的に把握する必要があり、セキュリティ リスク管理の意思決定の責任を資産所有者に負わせることを考えると、多くのことが起こります。

カジノサイト International によるESRM では、この概念は総合的なリスク管理、利害関係者のパートナーシップ、透明性、ガバナンスの 4 つの柱の上にあります。これは、理解できないものは保護できないという概念に基づいてセキュリティ プログラムを管理するためのリスクベースのアプローチです。組織のリスクに対処するには、組織の使命、ニーズ、優先事項を知る必要があります。

次世代セキュリティ技術は、ESRM の原則を達成するために価値があります。これを使用して、資産を特定して優先順位を付け、それらの資産に対するリスクを特定して評価し、それらのリスクを軽減する最適な方法を決定できます。

総合的なリスク管理。あらゆる種類のセキュリティ リスクを考慮する最良の方法の 1 つは、データを有効に活用できるようにすることです。セキュリティ ツールが生成するデータの量は増加しているため、リスク マネージャーにはその役割を変革する明確な利点があります。セキュリティ リーダーは、インシデントが発生する前に問題とセキュリティのギャップを特定することで、インフラストラクチャをより適切に保護できます。データを収集、送信、分析する方法によって、このデータを活用して、組織のバリュー チェーンのより不可欠な部分となることができます。

Fusion テクノロジーにより、リスク マネージャーは新しいセンサー ネットワークを通じて相関エンジンに新しいデータ ソースを追加できるようになり、組織のリスク管理、効率、有効性がさらに向上し、組織の収益に影響を与えることができます。

たとえば、センサーを監視し、警告を発し、潜在的な問題の指標を報告するダッシュボードを構築できます。異種のセキュリティ デバイスを統合し、その非構造化データを 1 つの画面に関連付けて、セキュリティ インフラストラクチャの健全性とパフォーマンスだけでなく、組織全体の健全性とパフォーマンスも監視および報告できます。これらのソフトウェア プラットフォームは、セキュリティ、安全性、生産性のデータを組み合わせて共通の運用状況を作成し、ビジネス インテリジェンスを企業リーダーのコンピューターやモバイル デバイスに直接提供します。これにより、より賢明な意思決定が可能になり、組織間の ESRM パートナーシップが融合され、安全な設備が組織の収益にとって重要であるという事実が強化されます。

利害関係者のパートナーシップ。ESRM フレームワークでは、セキュリティ専門家は、資産所有者にアドバイスし、他の人たちと協力してセキュリティ ポリシーを定義して施行する信頼できるパートナーです。このアプローチには当然、関係者との堅牢なコミュニケーションとデータ共有が必要です。この課題に対する革新的なソリューションは、クラウドを活用することです。

クラウド サービスは、企業のセキュリティ リスク マネージャーに透明性と説明責任を強化する手段を提供します。クラウド サービスを使用すると、分析用に大量のデータ セットをアップロードしたり、リスク関係者とリアルタイムで情報を共有したりできるため、リスク関係者は、適切な権限と管理役割を持っていれば、セキュリティ管理者が指摘しているのと同じ脆弱性、負債、ギャップを確認できるようになります。

上で述べたように、監視データに対して予測分析と機械学習を適用することは、生産性やパフォーマンスの向上など、セキュリティ以外の関係者の目標を達成するのに役立ちます。そうは言っても、従業員監視ツールの導入は、士気を維持し、危険な予期せぬ結果を回避する方法で行われなければなりません。

透明性。クラウド サービスを使用すると、特定されたリスクの性質と、それらを特定し、優先順位を付け、軽減するための取り組みについて、関係者との透明性を確保できます。とはいえ、従業員のプライバシーを保護しながら進歩するテクノロジーを活用するという課題は、決して小さなものではありません。あらゆる種類およびレベルの監視は、従業員が信頼されていないという認識を生み出す可能性があります。したがって、一方で透明性は重要です信頼も同様です。

新型コロナウイルス感染症(COVID-19)の時代により、個人データの収集を強化する動きが加速しました。また、1 つの問題に対して個人の視点がいかに多様であるかを示しました。リスク マネージャーは、必要な高度なセキュリティ テクノロジーとそれを関係者に提示する方法を検討する際に、これらの問題を念頭に置く必要があります。

透明性は、特に組織が複数のサイトにソリューションを導入している場合、導入要件の評価と同様に、賛同を得てプライバシーを保護するために重要です。特にデータガバナンスの規制下にある国では、ある程度の透明性が法的に要求されることがよくあります。高度な分析はビジネス運営を変革し、コンプライアンス、セキュリティを合理化し、有害なイベントを制御できますが、組織内の全員がそのように考えることは考えにくいです。コミュニケーションと支援は不可欠です。

ガバナンス。ESRM ガバナンスは全体的な組織ガバナンスと一致する必要があり、委員会がリスク許容度の議論を主導してトップレベルの決定を下す必要があります。これらの決定には、高度なテクノロジー、従業員のプライバシー権、法的問題などの複雑な問題が含まれることは間違いないため、セキュリティ リーダーが率先して関連問題について関係者チームを教育する必要があるかもしれません。

まず、企業のセキュリティ リスク マネージャーが教育を受け、自ら関与する必要があります。彼らは、リスクの特定、適格性評価、軽減、そして最終的な生産性の観点から、テクノロジーの進歩が組織にもたらす価値とリスクを理解する必要があります。

これらの技術、方法論、文化的規範は複雑であり、急速に進化しているため、これは簡単な作業ではありません。リスク マネージャーは、時間をかけて常に最新の情報を入手することで、十分な役割を果たします。

テクノロジーの ESRM への影響

適切な状況では、テクノロジーは競争上の優位性をもたらします。ビジネスイネーブラーとして、ESRM リーダーは第 4 次産業革命の特定の側面を活用して、組織の使命達成を支援できますし、そうすべきです。それに応じて、いくつかのテーマが際立っています。

データは ESRM をより強化、効率的、効果的にすることができます。よく言われるように、データは新しい石油です。アナリティクスの進化により、ビジネス リーダーはデータに基づいてリーダーシップを発揮し、管理するようになりました。データが正確であれば、情報に基づいた意思決定が可能になります。これは良いことです。

ビジネスを実現するものとして、ESRM は同じアプローチを採用する必要があります。すべてのアクセス制御、火災、およびサイバー物理的侵入センサーはデータを共有し、ますます洗練され構造化されたデータ セットを構築します。この情報は、リアルタイムのリスク軽減を可能にするだけでなく、将来の状況を評価し、プロセスを合理化し、人的労力を削減するためのパターンとプロファイルを特定するのにも非常に価値があります。

クラウド管理の AI を活用したビデオ監視システム、エッジ デバイス、5G ネットワークは、AI チップセットを使用してカメラに直接組み込まれた人間分析、顔認識、行動分析により、従来の監視システムを破壊しています。このエッジ コンピューティングにより、高帯域幅のバックホールとストレージの必要性が軽減され、スケーラビリティと手頃な価格が促進されます。また、ESRM リーダーはより多くのセンサーを配置および維持できるようになり、組織のリスクと生産性の評価により多くのデータが提供されます。

組織のリーダーはこれらの機能を日常生活で目にしており、当然のことながらセキュリティへの応用を期待しています。かつては裕福な企業のみが利用できた高度なテクノロジーが広く入手可能になり、手頃な価格になったことで状況が変わりました。現在、個人データ、高度な分析、顔認識、クラウド コンピューティングは、ライセンス ソフトウェアまたはサービスとして広く利用可能です。

従業員はさまざまなレベルで、技術的な可能性の範囲内にあるものを理解しています。なぜなら、従業員は消費者向けデバイス、Web サイトの追跡、その他のサービスを通じて日常生活の中でそれを目にしており、職場でもそれを見ることを期待しているからです。

収益性を担当する組織のリーダーも同じ視点を持っていますが、より効率とコスト削減に重点を置いています。彼らはリアルタイムの説明責任を期待していますが、高度な技術的基盤がなければそれを達成することはほとんどありません。また、透明性を求め、企業のセキュリティにさらに関与することを望んでおり、ビジネス フローを監視するためにスマートフォン アプリを介して監視カメラからのライブ フィードを受信することさえあります。また、彼らは仕事でクラウド コンピューティングを理解し、使用しているため、求めている洞察と説明責任を手頃な価格で得ることができることを知っています。

これらのテクノロジーの急速な進化と応用に遅れをとらないようにするには、多大な時間と労力を費やす必要があります。気の遠くなるような作業ではありますが、インテリジェントな監視、クラウド サービス、データ相関ドメインにおける最も重要な進歩に、少なくとも高いレベルで遅れをとらないようにすることには価値があります。他のマラソンと同様、一度遅れをとってしまうと追いつくのは困難です。

一例として、リスク管理者は、ビデオ監視テクノロジーの将来には、オンサイトで分析されるデータ、サーバーコストの削減、高帯域幅、高密度の 5G ネットワークによって可能になる機能と効率の向上が含まれることを理解する必要があります。

セキュリティ リスク管理者は、融合技術の法的側面も理解する必要があります。米国には、裁判所命令の取得が必要な情報を生成するためのデータセットの混合を制限する国家レベルの法律はないが、EU のような規制に合わせて変更される可能性がある。。それまでの間、組織は、どのテクノロジーをどのように使用するかというリスクと利益の関係を慎重に検討する必要があります。

これらのテクノロジーをうまく使用するには、効果的なデータ相関関係が不可欠です。第 4 次産業革命により、驚くべきスピードでデータが作成されています。 2021 年、インターネット ユーザーは毎日 2.5 京バイトのデータを作成しました。合計すると、世界中で作成、キャプチャ、コピー、消費されます。これは、2015 年の 15.5 ゼタバイトからの大きな飛躍です。

セキュリティの世界では、幅広い監視および監視システムによって膨大な量のストリーミング データが作成されています。サイバーセキュリティの監視、監視カメラのフィード、アクセス制御、車両レポート、電力使用量/配電、HVAC などのすべてが、中断することなく同時にセキュリティ コントロール センターにアクセスしています。

残念なことに、このデータの多くは標準化されておらず、構造化されていない形式で配信されています。したがって、重要なのは、効果的な分析を行うために接続するために必要な、本当に使用可能なデータ ポイントを見つけることです。

ビデオ監視は、特に関連するメタデータが含まれる場合、セキュリティ データの課題に最も大きく貢献しています。このメタデータにより、アルゴリズムが異常を発見し、人間や多くのコンピューターが単独では発見できない結論を導き出すことができます。企業が気づいていない問題も特定できます。

重要なのは、企業のリスクと運用上のセキュリティに関する洞察のために、このデータをより適切に活用し、理解する方法を見つけることです。

ESRM の人材要件は進化しています。企業リスク管理者に求められる経験と専門知識は、過去 20 年間で急速に進化しました。少なくとも、管理者は、脅威の軽減、セキュリティの効率性、全体的な有効性に適用されるテクノロジーの価値を認識する必要があります。彼らは技術に精通しており、順応性があり、場合によっては、分析のために異種のデータ ソースを融合できるチームを管理できる必要があります。

進歩するテクノロジーを活用する能力は、セキュリティ専門家にとってもはや「あると嬉しい」属性ではありません。今では、それが参入と昇進の賭けとなっています。

その第 4 次産業革命進行中です。企業に利益をもたらすアプリケーションを管理できるかどうかは、セキュリティおよびリスクのリーダーにかかっています。 Newt テクノロジーをいつどのように活用するかを知っているリスク マネージャーは、組織のビッグ データ変革プロセスへの貢献がリスク管理と生産性にプラスの影響を与えるため、リーダーとしての役割を担うことになります。 n

ヴァル・ルテリエは、元米国国務省外交保安部特別捜査官および中央情報局事件担当官です。彼は カジノサイト 国際防衛情報コミュニティおよび首都支部 (NCC) のメンバーです。 LeTellier は、組織が効率、有効性、ミッションの成功をさらに高めるために進歩するテクノロジーを活用できるようにするソリューション指向のコンサルティング会社である 4thGen を率いています。