カジノサイト
アクセス制御システムについて重要なことは何ですか?コンサルタントも意見を聞く
カジノサイト 研究プロジェクトで初めて、セキュリティ コンサルタントには、組織によってセキュリティに直接雇用されているかのように参加するか、別の調査を受けてこのテーマ (この場合はアクセス制御システム) に関するコンサルタントの意見や態度を評価するオプションが与えられました。 70 名以上が代替質問に回答するよう選出されました。
この調査プロジェクトは iLobby によって後援されており、コンサルタントの質問結果の一部が調査の最終レポートに組み込まれました。アクセス制御の要点: 洞察、ベンチマーク、ベスト プラクティス。ただし、この記事はコンサルタントの結果を包括的に考察した唯一の記事です。
アクセス制御は、あらゆる物理セキュリティ ポートフォリオの普遍的な部分です。すべてのセキュリティ管理者、ディレクター、スーパーバイザー、警備員、幹部、つまり物理的なセキュリティに関わるすべての人は、多くの場合、日常的にアクセス制御システムに何らかの形で触れたり、アクセス制御システムの影響を受けたりしています。それでも、企業がアクセス制御ソリューションに十分な注意を払っているかどうかを尋ねると、コンサルタントの 3 分の 2 (68%) が注意していないと答えました。
良いニュースは、アクセス制御システムは概して非常に効果的であるということです。主要な調査では、セキュリティ専門家に、重大または重大なアクセス制御または不正な物理アクセスのインシデントに毎年何件遭遇したかを尋ねました。 70%以上が、そのような事件に遭遇したのは1~5件のみだと回答した。年間 10 件以上の事件を報告した人のほとんどは、大規模な多国籍組織の出身者でした。
アクセス制御システムの全体的な有効性にもかかわらず、セキュリティ専門家は、軽微な問題の発生率がかなり高いと報告しました。例えば、半数以上が、前月以内にあおり運転やおんぶ事件(61%)やドアを突っ張った事故(50%)を経験したと回答した。カードの共有(38%)、訪問者の手続き回避の試み(32%)、スタッフによる故意の手続き回避の試み(32%)などの他の事件も重大な問題でした。企業がアクセス制御を十分に重視していないとコンサルタントが言ったとき、おそらくこれらの種類のインシデントを念頭に置いていたと思われます。こうした軽微な違反が蔓延すると、重大なインシデントが発生する可能性が高くなります。
カジノサイト の研究プロジェクトの開発を支援したセキュリティ コンサルタントである PSP の Don McInnis 氏によれば、「問題は、彼らは基本的に忘れるためにインストールし、戻ってきて物事をやり直すことがないことです。…人々は、ドアを支えて開けたり、ドアを開けたままにすることに慣れてしまい、アクセス制御の目的全体が無効になってしまう可能性があります。」
調査ではコンサルタントに、最も頻繁に見られたアクセス制御の失敗についても尋ねました。テクノロジーの導入が不十分であることがリストのトップにあり、次に従業員の利便性を優先しすぎていることが続きました。セキュリティ意識向上トレーニングの欠如や不適切な訪問者管理システムは、リストのかなり下位にありました。
最後に、コンサルタントが、実務者がアクセス制御データをどの程度うまく利用したかを評価する際、明らかに生ぬるいものでした。 3 分の 1 弱が「最低限の仕事をしている」または「仕事が非常に不十分」と回答しました。また、3 分の 1 弱が良い仕事をしている、または優れた仕事をしていると答え、残りは適切な仕事をしていると答えています。
調査ではコンサルタントに対し、効果的なアクセス制御にとって特定の技術革新と特定のポリシーと手順がどの程度重要であるかを評価するよう依頼しました。
最も高く評価された技術革新は、「アクセス制御システムと監視システムの統合」、「アクセス制御を IT アクセスなどの重要なシステムにリンクする」、および「アクセス制御に多要素認証を使用する」でした。
これらの結果は、セキュリティ専門家による調査結果と非常によく一致しています。ビデオ監視装置は組織の 85% のメインエントランスに、84% の二次エントランスに設置されていました。さらに、回答者の 54% がビデオ監視システムとアクセス制御システムが統合されていると答えており、2 番目に統合されているシステムである訪問者管理システムの 42% を大幅に上回っています。しかし、IT アクセスと物理的アクセスをリンクしている組織ははるかに少なく、わずか 22% です。モバイル デバイスをアクセス資格情報として使用しているのは 14% のみです。
調査では、アクセス制御に対する 3 つの異なるポリシーまたはアプローチの重要性をコンサルタントに尋ねました。すべてのスコアが非常に高かったですが、「全体的なセキュリティ リスク管理計画へのアクセス制御の組み込み」が最も高いスコアを獲得しました。
技術革新と同様に、コンサルタントからのポリシー結果は、調査で指摘されたセキュリティ専門家の意見やアプローチとよく一致しています。セキュリティ専門家の 90% 以上が、アクセス制御は組織のリスク管理またはセキュリティ計画の明示的な部分であると回答しました。また、75% が従業員の新人研修中にアクセス制御ポリシーが重視されていると報告し、61% が定期的にスタッフによってアクセス制御ポリシーが強化されていると回答しています。
最後に、調査ではコンサルタントに自由形式の質問をしました: アクセス制御に関してセキュリティ専門家に与えるアドバイスを 1 つ挙げるとしたら何ですか? 62 人のコンサルタントが質問に答えました。回答の中からいくつかのテーマが浮かび上がりました。アクセス制御システムを他のシステムと統合することはビジネス上の必須事項です。人はアクセス制御システムの最も弱い部分であり、トレーニングに代わるものはありません。そして、アクセス制御システムを、堅牢な多層セキュリティ戦略の重要な部分ではあるものの、まだ一部にすぎないと考える必要性もあります。
コンサルタントからのアドバイスの一部をお読みください。
- アクセス制御は、会社の資産 (資産、人材、情報、業務) を保護するための組織戦略の一部です。そのため、主要な組織パートナーや関係者を活用して取り組みを確立し、サポートを得ることが不可欠です。
- 既存のシステムを維持し、将来の開発への準備を支援しながら既存のシステムを最大限に活用できるインテグレーターと協力してください。
- どのようなシステムを実装する場合でも、意図どおりに実装され効果が持続するように、堅牢なポリシーに支えられ、ユーザーのトレーニングと監査でサポートされなければなりません。
- 顧客のリスクとリスク許容度を知りましょう。
- デバイスに関連する IT 部門と提携する必要があります。物理的セキュリティと IT セキュリティの融合が現実のものとなっています。
- セキュリティ意識向上トレーニングを強調する。アクセス管理のポリシー/手順と開発/実装をリスク評価に組み込むことで、システムの影響を理解できます。
- 物理的セキュリティは、境界から始めて内部の最も重要なゾーンに向かって計画を進める多層アプローチで設計するのが最適です。次に、CPTED、優れた機械ハードウェアを使用した多層アプローチを実装し、次に電子侵入検知、ビデオ監視、電子アクセス制御を実装し、ビジネス全体の能力向上に役立つ分析ソリューションを実装します。
- 人間の問題をテクノロジーで解決できるとは限りません。人間的、手続き的、技術的進歩のバランスをとった統一的なアプローチにより、それぞれの進歩を活用し、全体的なエクスペリエンスを最大限に活用します。
- アクセス制御はセキュリティ フレームワークの基盤です。アクセス制御に失敗すると、すべてが失敗することになります。したがって、専門家は、アプリケーションに最適なアクセス制御を選択する必要があります。用途が機器を決めるとはよく言われます。
- 建物内の認証されたユーザー、システムのピーク使用率、故障率などのリアルタイムのデータ分析情報をセキュリティ オペレータに提供し、セキュリティ オペレータがリスクをより適切に管理し、状況認識を高めることができるソリューションを選択してください。
- 最も緩やかな制御から最も厳しい制御までの制御の階層を使用して実装する必要があります。すべてのレベルの保護に対応する 1 つのソリューションはありません。
- 人々が効果的に使用できる、冗長性を備えたシンプルなシステムを設計します。
- Stop looking at just the cost as the deciding factor.現在だけでなく将来のニーズに合わせて成長および拡張できるシステムを探し、対象分野の専門家として他のセキュリティ専門家やコンサルタントの意見に耳を傾けてください。彼らがあなたに与えたアドバイスを受け入れ、それを実際に活用してください。彼らや自分の過去の失敗から学び、より良いものを作りましょう。 ACS 会社の営業担当者は対象分野の専門家ではなく、製品を販売するために存在します。会社全体の利益のための投資または資本改善として ACS を経営幹部に販売し、より現実的な交換予算を立てます。
- 戦いを選択する必要があります。不適切なセキュリティ対策を間違った場所で使用しないように注意してください。厳しすぎても、カジュアルすぎても、問題が発生する可能性があります。
- 15 年計画の構築に重点を置いて、アクセス制御のニーズを戦略的に分析し、業務の規模が十分に大きい (読者が 100 名を超える) 場合は、必ず PIAM の計画を立ててください。企業の鍵はカードや資格情報ではなく、アイデンティティです。
- 特定エリアへの電子アクセス制御システムの許可を定期的に監査して、アクセスする必要があることが証明されている人だけが立ち入ることができるようにすることは、効果的なアクセス制御の重要な要素です。監査ログをより広範に定期的に確認すると、サイト/エリアに誰がアクセスし、どのようにアクセスしているかに関する豊富な情報が得られます。
- 快適だからといって、いつもと同じことをしないでください。システムを打破する方法については、非常に多くの情報が存在するため、私たちは自分たちの脆弱性と、現時点での最善の軽減方法を常に認識しておく必要があります。
研究の方法論
カジノサイト は、スポンサー iLobby の代表者とともに、少数のメンバー グループを支援して、アクセス制御システムを研究するための調査手段を開発しました。この調査は 2023 年 9 月に主に カジノサイト メンバーを対象に実施されましたが、ソーシャル チャネルを通じて一般に宣伝も行われました。
合計 1,022 人の参加者が少なくともいくつかの質問に回答し、735 人の参加者が最後の質問に答えてアンケートを完了しました。すべての回答は集計に含まれています。ほとんどの質問と分析では、誤差の範囲は 95% 信頼区間で ±4% です。
調査の方法論と人口統計の詳細については、レポートを参照してください。
合計 71 人のコンサルタントが、特にセキュリティ コンサルタントを対象とした代替質問セットに回答するよう選出されました。サンプル サイズが小さいということは、質問から得られたデータには誤差が大きく、統計的に厳密な結果というよりも、調査コンサルタントの態度の大まかな近似値として考慮される必要があることを意味します。
Scott Briscoe は、カジノサイト International のコンテンツ開発ディレクターです。彼は研究のプロジェクトリーダーを務め、結果として得られたレポートの主著者でもありました。
