カジノサイト

収束:物理的セキュリティと事業継続性がその瞬間を迎える

17 年前、2 つのセキュリティ専門組織がセキュリティ コンバージェンスの理念を推進し始めました。 カジノサイト International と Information Systems Audit and Control Association (ISACA) は 2005 年に連携し、セキュリティ コンバージェンスの概念を推進するために Alliance for Enterprise Security Risk Management (AESRM) を設立しました。

2007 年の報告書によれば、彼らにとって、セキュリティ コンバージェンスは、物理セキュリティとサイバーセキュリティを組み合わせたものだけでなく、人事、危機管理、運用上の責任範囲内のセキュリティ責任も含まれていました。コンセプトについて。しかし、調査対象となった回答者の組織のうち、何らかの形で統合を実施しているのはわずか 24% でした。

「セキュリティがどのように認識されているかも、統合の障害となる可能性があります。現在、物理セキュリティと情報セキュリティは、大きな違いがある別個の機能とみなされています」と、デロイトのセキュリティおよびプライバシー サービスのパートナー兼グローバル リーダーであるアデル メレック氏と、当時 AESRM 会長であった CPP のレイ オハラ氏はホワイトペーパーで述べています。 「物理セキュリティ機能と情報セキュリティ機能の統合がセキュリティ リスクの管理方法として受け入れられるようになる前に、認識を変える必要があることにほとんど疑いの余地はありません。統合は直感的かつ論理的ですが、まだ実現していません。」

サイバーセキュリティと物理的セキュリティの専門分野のため、両方の分野で優れた人材を見つけるのは困難です。

しかし、9/11 以降の戦争、テクノロジーの急速な進歩、モノのインターネット デバイスの爆発的増加、サプライ チェーンへの極度のストレス、持続するセキュリティ人材不足、そして新型コロナウイルス感染症のパンデミックは、セキュリティ コンバージェンスの瞬間を到来させる認識の変化をもたらした可能性があります。これは、このテーマに関する最新の研究で判明したことのようです。2022 年 9 月に公開。

カジノサイト 財団は、Justice & Security Strategies, Inc. (JSS) と DTE Consulting が実施した調査を後援し、89 の国と地域の 1,092 人の個人からの収束状況と見解に関する回答を調査、分析しました。研究者らはまた、財団によって実施された別の調査に続き、調査回答をさらに調査するために 21 回のインタビューを実施しました。2019 年は収束に向かいます。

回答者の 60% 以上が、組織のセキュリティ機能が完全または部分的に統合されたと回答しました (29.3% が完了、31.2% が部分的に、39.5% が未統合)。 2007 年の報告書と同様に、基礎コンバージェンス研究では、サイバーセキュリティと物理セキュリティと事業継続計画の融合に焦点を当てました。

「部分的な統合を報告したほとんどの企業は、物理的なセキュリティと事業継続性の実践を統合した」と報告書には記載されています。 「サイバーセキュリティとの融合が物理的セキュリティと事業継続性の融合に比べて遅れているように見える理由の 1 つは、各部門の監督に必要なスキルセットの違いによるものと考えられます。」

調査のフォローアップインタビューで、たとえば、ある回答者は、サイバーセキュリティと物理的セキュリティの専門分野により、両方の分野で優れた人材を見つけるのが難しく、これらの機能を統合する組織の能力を遅らせていると述べました。

Perpetuity Research and Consultancy International のマネージング ディレクターであり、カジノサイト Foundation の副会長である Martin Gill 氏は、この相違の理由の 1 つは、IT の世界から発展した物理セキュリティの専門職とサイバーセキュリティの専門職の歴史的背景が、異なるタイプの個人を惹きつける可能性があることである可能性があると述べています。

これらの個人は非常に多様なスキルセットを持っている可能性があり、サイバー専門家はサイバーセキュリティの脅威と戦術、ハードウェア、ソフトウェアに関するより確かな知識を持っていますが、物理的なセキュリティの専門家は警備員、アクセス制御手段をサポートするテクノロジー、施設管理に精通しています。

「時間の経過とともに、すべてのリスクをリスクとして扱うという、企業セキュリティに対する現代の考え方やアプローチが薄れてきています」とギル氏は言います。 「リスクがある場合には、それをどのように管理するかについてのプロセスがあります。理論的には、これによりサイバーと物理が統合されます。」

統合組織の場合、ほとんどの調査回答者は、CSO (または同等の役職) がエンタープライズ セキュリティ リスク管理機能を担当し、重要な資産の保護を担当する組織のあらゆる側面がその人物に報告されると回答しました。

その組織構造内では、収束へのアプローチは多様であり、機能的なアプローチを取るものもあれば、手続き的なアプローチを取るものもありました。機能的なアプローチには、構造的な変更、セキュリティ トレーニングと意識向上コースの開催、ポリシーの開発、その他の現実世界の変更が含まれます。

回答者の 60% 以上が、組織は現在完全に機能していると回答 または部分的に セキュリティ機能を統合.

「事業継続計画と物理的セキュリティを統合した国際的なセキュリティ会社は、物理的セキュリティ担当者を一時的に事業継続計画関連の職に配置すると同時に、社内の事業継続計画担当者を現場に派遣するトレーニング プログラムを実施しました」と報告書は説明しています。 「このプログラムの目的は、双方の担当者が全体的な観点からセキュリティ手順をより深く理解できるようにすることでした。これにより、組織はポリシーをより適切に遵守し、個人はセキュリティについてより広い視野を得ることができました。」

逆に、収束への手順的なアプローチは、組織の使命とセキュリティ機能の全体的なフレームワークの採用に焦点を当てていました。

「これらの手法は、実行項目やチェックボックスよりも、組織の問題解決アプローチに重点を置いていた」と報告書は説明しています。

さらに、小規模な組織は、大規模な組織よりも収束への取り組みがさらに進んでいる可能性が高くなります。このレポートでは、大企業の 52.5 パーセント、中規模企業の 64.4 パーセントと比較して、中小企業および「零細」企業の回答者の 74 パーセント近くが完全または部分的に統合されていることが明らかになりました。

DTE Consulting の社長であり、このレポートの筆頭著者でもあるダレル ダーネル氏は、小規模な組織がコンバージェンスを主導していることを知って驚いたと述べています。

「大規模な機関は、その評判と、監視下で重大な事件が発生した場合に政府の監視が強化される可能性があるため、より高い割合で収束すると考えていたでしょう。」と彼は説明します。

コンバージェンスのステータスにもかかわらず、回答者の 80% がコンバージェンスによってさまざまなビジネス機能が強化されると回答しました。83% がビジネス継続性に良いと答え、81% が物理的セキュリティが強化され、86% が全体的なセキュリティが強化されたと回答しました。

しかし、異常値もありました。サイバー コンバージェンスに対する熱意は著しく低下していました。回答者のわずか 73% が、コンバージェンスによって組織のサイバーセキュリティが強化されたと回答し、23.7% は全体的なセキュリティ体制に変化はないと回答しました。

これは、サイバー機能が企業内でサイロ化されていることが多く、インシデントが発生するまで、サイバー機能がどのように統合され、物理的なセキュリティとビジネス継続性に影響を与えるかについての理解が不足しているためである可能性があります。植民地時代のパイプライン2021 年のランサムウェア攻撃。

「植民地時代のパイプライン」私たちはパイプラインであり、個別の物理的、サイバー的、および事業継続性のアプローチが彼らにどのような影響を与えるかを実際には理解していないと、そのように考えていました。」とダーネル氏は言います。「彼らは今、その物理的なセキュリティを彼らと統合するために戦っています。」

現時点ではこれが回答かもしれませんが、組織が統合されていないと回答した多くの回答者は、将来的には統合するための措置を講じる予定であると述べています。 2019 年の カジノサイト 財団の以前の調査では、同様の措置を講じる準備ができている回答者はわずか 30 パーセントであったのに対し、44 パーセント近くが将来 2 つ以上のセキュリティ機能を統合すると予想していると回答しました。

この動きの背後にある理由の 1 つは、新型コロナウイルス感染症 (COVID-19) のパンデミックを受けて、より多くのセキュリティ専門家がビジネス継続性を重視すると予想されることである可能性があります。

「あらゆる種類の緊急事態に備えて事業継続計画を立てることの重要性を組織が理解しているのは明らかです」と、JSS の社長兼共同所有者であり、このレポートのもう一人の筆頭著者であるクレイグ ウチダ氏は述べています。 「また、組織、業界、規模、その他の要因によって事業継続計画がどのような意味を持つのかを正確に再評価し始めていると思います。」

回答者はまた、デモや社会不安が組織のセキュリティ対策に対する見方に影響を与えており、これに対応して事業継続計画と収束へのアプローチを変えているとも述べました。
ある回答者は、「これらの出来事により、私たちは24時間365日、世界中でイベントを特定して対応し、資産への影響を理解する準備をする必要が生じました。問題を適切な対応チームに迅速にエスカレーションし、従業員とその安全に連絡して説明し、破壊的なイベントに直面しても回復力のあるサプライチェーンを確保できるようにする必要がありました。」

コンバージェンスされていない組織で働く可能性のあるセキュリティ担当者を支援するために、レポートの作成者は 6 つの推奨事項を作成しました。コンバージェンスとその組織へのメリットを明確に定義すること。必要性を評価し、収束が現実的かどうかを判断します。組織の目標に合ったコンバージェンス戦略を作成および開発します。異なる個性やプロセスを融合することには固有の困難があることを認識する。組織の全体的な目標に沿った証拠に基づくベストプラクティスと戦略を実装する。スタッフ向けの集中トレーニングと教育の機会を実施および提供します。

たとえば、南アフリカの警備会社のオーナーは、顧客に物理的な警備を提供する会社を経営しています。しかし、同社が統合アプローチの一環としてサイバーセキュリティ リスクを確実に考慮するために、セキュリティ担当者は IT チームと協力して、IT チームが行っている作業を理解する必要がありました。

「そして、IT 担当者に物理的なセキュリティ担当者と一緒にツアーを行ってもらい、機器がどのように使用されているかを理解してもらいました。」と Darnell 氏は言い、これは全体的なセキュリティ体制に影響を及ぼす可能性のあるさまざまなリスクや習慣について組織全体を教育する方法だったと付け加えました。

報告書の著者らも次のことを強調しましたリーダーシップ—CEO から社長、その他の幹部に至るまで—は、セキュリティ機能の統合を検討している組織にとって非常に重要です。

「これらの機能と絡み合っている人、場所、テクノロジーがあります」と彼らは書いています。 「戦略計画を策定する必要があります。コミュニケーションと透明性が必要で、なぜ統合が起こっているのか、従業員と組織にとってどのようなメリットがあるのかについて十分な説明が必要です。必要に応じて再トレーニングする機会も含め、あらゆるレベルの従業員に統合プロセスに参加する機会が与えられなければなりません。」

これには、統合は運営の観点から組織の機能に影響を与える一方、従業員にも影響を与えるという認識が必要です。

「従業員にどのような影響を与えるかをCEOが関与して発言する必要がある。 「これは私にどんな影響を与えるのですか？」収束したら、私は職を失うのか、それとも再訓練を受けることになるのでしょうか?ダーネル氏はこう言い、経営陣はうまく収束するために従業員と明確にコミュニケーションをとる必要があると付け加えた。