【セキュリティ侵害の実態】ITセキュリティ専門家とビジネスリスク部門とのギャップは埋められるのか?
業務支援プラットフォームの大部分がWebベースのアプリケーションとなり、あらゆる情報がデジタルデータとして存在するようになると、ビジネスリスクが発生する可能性が高まる。企業では、事業環境や戦略、財務、労務、法務などの部門別、災害、過失をはじめとしたインシデント別にビジネスリスクを想定し、リスク管理者は限定された領域で個別最適化された活動に終始しているのが一般的だ。
近年の顧客情報の流出を例にとると、発覚後直ちに経営層は、ネット上のサービス停止、業務委託先の業務実態把握、被害者への謝罪や慰謝料などわずかな時間で矢継ぎ早に判断を下すことが求められる。対応の核となるIT/セキュリティ担当者やリスク管理者は、複数の専任者と経営層にわかりやすく状況を説明しなければならない。
では、ITセキュリティ(IT運用管理とセキュリティ運用管理)の専門家(セキュリティチーム)と、ビジネスリスクおよびGRCの専門家(リスク管理チーム)は、サイロ化することなく日頃から相互に連携し一気通貫のリスク対応体制を構築しているかのだろうか。より効率的かつ効果的に管理できているかのだろうか。
この疑問を明らかにするために、EMCジャパン株式会社 RSA事業本部が調査を実施。両チーム間に存在する隔たりとその理由を明らかにした。
※2018年の初頭に実施したアンケート調査の175 人の回答者は、金融サービス、公的部門、プロフェッショナル サービス、ヘルスケア、製造業を含む従業員1,000 人以上の北米の企業に勤務する、IT およびITセキュリティの専門家と、ビジネスリスクおよびGRCの専門家
セキュリティ侵害の発生数
過去2年間に発生したセキュリティ侵害の回数は?(出典:ESGの調査、サイバーセキュリティとビジネス リスクに関する調査、2018年3月、n=122)
調査の結果、なんと回答者の70%がセキュリティ侵害を経験していることがわかった。過去2年間に侵害を受けた組織の36%が2回~5回、49%が6回以上の侵害を受けている。また、66%の回答者が検知されるまで数カ月にわたり侵害発生に気づいていなかったという。
セキュリティ侵害に対する組織の認識
経営陣は協力的ですか?(出典:ESGの調査、サイバーセキュリティとビジネス リスクに関する調査、2018年3月、n=175)
回答者が所属する組織の82%は、このようなセキュリティ侵害を単なるITリスクではなく、ビジネスリスクと見なしている様子。その証拠に、経営陣はセキュリティ侵害の防止検知、対応への取り組みに協力的と回答している。それを裏付けるように、18年のセキュリティ予算が増額されると91%が回答した。
用語の相違(出典:ESGの調査、サイバーセキュリティとビジネス リスクに関する調査、2018年3月、n=175)
セキュリティ侵害が認められた場合、セキュリティチームは原因究明、リスク管理チームは事業継続に向けて活動を開始するが、日頃から両者は必ずしも歩調を合わせて協調的に活動しているわけではないことが明らかになった。回答者の73%は、両者は円滑なコミュニケーションが取れていない場合もあり、連携することが難しいと指摘している。
また、一方のチームが作成したデータを、もう一方のチームが使えない状態も判明。セキュリティチームが作成したデータを、リスク管理チームがリスク評価に使えないといった例だ。
チーム間に横たわる隔たりの実態と原因
セキュリティ部門とリスク管理部門の関係を構築する上での主な課題(出典:ESGの調査、サイバーセキュリティとビジネス リスクに関する調査、2018年3月、n=175)
今回のレポートでは、セキュリティチームとリスク管理チームが協力関係を構築するための課題が指摘されている。
最も指摘が多いのは、使用するツールと技術の違いだ(46%)。セキュリティチームはインフラに重点を置き、セキュリティ対策製品や外部情報を活用して検知した脅威を調査、分析して予防、対処する。一方、リスク管理チームはリスクを特定し、組織の戦略、法令やガイドラインに則って管理策を実行し、ビジネスリスク管理ツール、GRCツール、様々なチェックシートを使ってリスクを組織的に管理している。
次に、用語の違い(41%)。セキュリティチームはブロック、アラート、違反など実用的な言葉で表し、リスク管理部門は可能性、潜在的、影響など、推論に基づいた用語を多用する傾向があるという違いがある。
指標(40%)と目標(34%)についても同様の結果となった。成功がどのような状態なのかを理解すること、また、共有の指標(インジケータ)に照らし合わせて測定することは、いかなるビジネスにおいても必要不可欠。目標と指標が異なれば、報告の仕方に違いがあることもうなずける。
改善の方法例
改善策に関するセキュリティ部門とリスク管理部門の合意事項(出典:ESGの調査、サイバーセキュリティとビジネス リスクに関する調査、2018年3月)
チーム間の関係を改善する方法として、「早い段階でリスク管理者をIT セキュリティのイニシアチブに参加させることを優先的に考えている」については、セキュリティチームの47%が肯定しているが、GRC部門はわずか28% 。ビジネスリスクの指標ツールと指標を改善することについても、セキュリティチームの36%が肯定していますが、対するGRC部門は17%のみとなった。
リスク管理チームよりセキュリティチームの方が、ギャップを埋めてビジネスリスクについて検討するための措置を講じることに興味を持っていることが分かった。
まとめ
セキュリティチームとリスク管理チームは、同じ企業に所属しているにも関わらず一枚岩ではなく、組織の成り立ちや業務に端を発した組織文化の違いがあることが明かとなった。そのため両チームは、相違から生じる困難に直面している。
しかし、チームはそれぞれの殻をやぶり、組織全体によるデジタル リスク管理を支援するという共通の目標に向かって、より緊密に協力し始めている傾向があることも分かってきた。
チームは相違を理解したうえで、相互のコミュニケーションを深め、連携していく必要がある。指標を共通化し、ツールを統合し、優先順位を決めて、企業がデジタルリスクをより効率的かつ効果的に管理できるよう取り組む必要があると言えるだろう。
▼参照資料
「困難と進歩」ホワイトペーパー
▼ニュースリリース
ITセキュリティ専門家とビジネスリスク部門とのギャップは埋められるのか?
構成/エンジニアtype編集部
RELATED関連記事
日雇い労働者だった赤髪エンジニアがクックパッド技術部長になるまでのストーリー
組織の中で消耗しているエンジニアへ贈る、元Google人事に聞いた “疲れない働き方”
「ロジカルさよりも大切なものがある」DeNAから学ぶ、データサイエンティストに求められるマインドとは
及川卓也×澤円が語る、エンジニアの成長に必要な条件「ぼんやり生きているオジサンたちは無視して構いません」
MicrosoftとGoogleの最新動向から読み解く、先進テクノロジーのビジネス活用新潮流【及川卓也×日本マイクロソフト澤×KDDI藤井】
RANKING人気記事ランキング
NEW!
ひろゆき×ドワンゴ川上量生が「エンジニアは頭が悪くないと大成しない」と語るワケ
NEW!
登大遊、落合陽一を生んだ、未踏の父・竹内郁雄に聞く「優れたエンジニア」に必要なこと
NEW!
怒鳴り散らして周囲がドン引き、組織崩壊……今だから語れる「若手時代のやらかし」で学んだこと【澤 円、松本勇気、ばんくし他4名】
新NISA普及の壁とは?「日本経済を影で支える」技術屋の働き
AWS認定資格10種類を一覧で解説! 難易度や費用、おすすめの学習方法も
JOB BOARD編集部オススメ求人特集
タグ
そのほかのタグを見る
