【セキュリティ侵害の実態】ITセキュリティ専門家とビジネスリスク部門とのギャップは埋められるのか?
業務支援プラットフォームの大部分がWebベースのアプリケーションとなり、あらゆる情報がデジタルデータとして存在するようになると、ビジネスリスクが発生する可能性が高まる。企業では、事業環境や戦略、財務、労務、法務などの部門別、災害、過失をはじめとしたインシデント別にビジネスリスクを想定し、リスク管理者は限定された領域で個別最適化された活動に終始しているのが一般的だ。
近年の顧客情報の流出を例にとると、発覚後直ちに経営層は、ネット上のサービス停止、業務委託先の業務実態把握、被害者への謝罪や慰謝料などわずかな時間で矢継ぎ早に判断を下すことが求められる。対応の核となるIT/セキュリティ担当者やリスク管理者は、複数の専任者と経営層にわかりやすく状況を説明しなければならない。
では、ITセキュリティ(IT運用管理とセキュリティ運用管理)の専門家(セキュリティチーム)と、ビジネスリスクおよびGRCの専門家(リスク管理チーム)は、サイロ化することなく日頃から相互に連携し一気通貫のリスク対応体制を構築しているかのだろうか。より効率的かつ効果的に管理できているかのだろうか。
この疑問を明らかにするために、EMCジャパン株式会社 RSA事業本部が調査を実施。両チーム間に存在する隔たりとその理由を明らかにした。
※2018年の初頭に実施したアンケート調査の175 人の回答者は、金融サービス、公的部門、プロフェッショナル サービス、ヘルスケア、製造業を含む従業員1,000 人以上の北米の企業に勤務する、IT およびITセキュリティの専門家と、ビジネスリスクおよびGRCの専門家
セキュリティ侵害の発生数
調査の結果、なんと回答者の70%がセキュリティ侵害を経験していることがわかった。過去2年間に侵害を受けた組織の36%が2回~5回、49%が6回以上の侵害を受けている。また、66%の回答者が検知されるまで数カ月にわたり侵害発生に気づいていなかったという。
セキュリティ侵害に対する組織の認識
回答者が所属する組織の82%は、このようなセキュリティ侵害を単なるITリスクではなく、ビジネスリスクと見なしている様子。その証拠に、経営陣はセキュリティ侵害の防止検知、対応への取り組みに協力的と回答している。それを裏付けるように、18年のセキュリティ予算が増額されると91%が回答した。
セキュリティ侵害が認められた場合、セキュリティチームは原因究明、リスク管理チームは事業継続に向けて活動を開始するが、日頃から両者は必ずしも歩調を合わせて協調的に活動しているわけではないことが明らかになった。回答者の73%は、両者は円滑なコミュニケーションが取れていない場合もあり、連携することが難しいと指摘している。
また、一方のチームが作成したデータを、もう一方のチームが使えない状態も判明。セキュリティチームが作成したデータを、リスク管理チームがリスク評価に使えないといった例だ。
チーム間に横たわる隔たりの実態と原因
今回のレポートでは、セキュリティチームとリスク管理チームが協力関係を構築するための課題が指摘されている。
最も指摘が多いのは、使用するツールと技術の違いだ(46%)。セキュリティチームはインフラに重点を置き、セキュリティ対策製品や外部情報を活用して検知した脅威を調査、分析して予防、対処する。一方、リスク管理チームはリスクを特定し、組織の戦略、法令やガイドラインに則って管理策を実行し、ビジネスリスク管理ツール、GRCツール、様々なチェックシートを使ってリスクを組織的に管理している。
次に、用語の違い(41%)。セキュリティチームはブロック、アラート、違反など実用的な言葉で表し、リスク管理部門は可能性、潜在的、影響など、推論に基づいた用語を多用する傾向があるという違いがある。
指標(40%)と目標(34%)についても同様の結果となった。成功がどのような状態なのかを理解すること、また、共有の指標(インジケータ)に照らし合わせて測定することは、いかなるビジネスにおいても必要不可欠。目標と指標が異なれば、報告の仕方に違いがあることもうなずける。
改善の方法例
チーム間の関係を改善する方法として、「早い段階でリスク管理者をIT セキュリティのイニシアチブに参加させることを優先的に考えている」については、セキュリティチームの47%が肯定しているが、GRC部門はわずか28% 。ビジネスリスクの指標ツールと指標を改善することについても、セキュリティチームの36%が肯定していますが、対するGRC部門は17%のみとなった。
リスク管理チームよりセキュリティチームの方が、ギャップを埋めてビジネスリスクについて検討するための措置を講じることに興味を持っていることが分かった。
まとめ
セキュリティチームとリスク管理チームは、同じ企業に所属しているにも関わらず一枚岩ではなく、組織の成り立ちや業務に端を発した組織文化の違いがあることが明かとなった。そのため両チームは、相違から生じる困難に直面している。
しかし、チームはそれぞれの殻をやぶり、組織全体によるデジタル リスク管理を支援するという共通の目標に向かって、より緊密に協力し始めている傾向があることも分かってきた。
チームは相違を理解したうえで、相互のコミュニケーションを深め、連携していく必要がある。指標を共通化し、ツールを統合し、優先順位を決めて、企業がデジタルリスクをより効率的かつ効果的に管理できるよう取り組む必要があると言えるだろう。
▼参照資料
「困難と進歩」ホワイトペーパー
▼ニュースリリース
ITセキュリティ専門家とビジネスリスク部門とのギャップは埋められるのか?
構成/エンジニアtype編集部
RELATED関連記事
RANKING人気記事ランキング
NEW!
ドワンゴ川上量生は“人と競う”を避けてきた?「20代エンジニアは、自分が無双できる会社を選んだもん勝ち」
縦割り排除、役職者を半分に…激動の2年で「全く違う会社に生まれ変わった」日本初のエンジニア採用の裏にあった悲願
ITエンジニア転職2025予測!事業貢献しないならSESに行くべき?二者択一が迫られる一年に
ひろゆきが今20代なら「部下を悪者にする上司がいる会社は選ばない」
AWS認定資格10種類を一覧で解説! 難易度や費用、おすすめの学習方法も
JOB BOARD編集部オススメ求人特集
タグ