TechトレンドVol.717

【セキュリティ侵害の実態】ITセキュリティ専門家とビジネスリスク部門とのギャップは埋められるのか?

taskey

業務支援プラットフォームの大部分がWebベースのアプリケーションとなり、あらゆる情報がデジタルデータとして存在するようになると、ビジネスリスクが発生する可能性が高まる。企業では、事業環境や戦略、財務、労務、法務などの部門別、災害、過失をはじめとしたインシデント別にビジネスリスクを想定し、リスク管理者は限定された領域で個別最適化された活動に終始しているのが一般的だ。

近年の顧客情報の流出を例にとると、発覚後直ちに経営層は、ネット上のサービス停止、業務委託先の業務実態把握、被害者への謝罪や慰謝料などわずかな時間で矢継ぎ早に判断を下すことが求められる。対応の核となるIT/セキュリティ担当者やリスク管理者は、複数の専任者と経営層にわかりやすく状況を説明しなければならない。

では、ITセキュリティ(IT運用管理とセキュリティ運用管理)の専門家(セキュリティチーム)と、ビジネスリスクおよびGRCの専門家(リスク管理チーム)は、サイロ化することなく日頃から相互に連携し一気通貫のリスク対応体制を構築しているかのだろうか。より効率的かつ効果的に管理できているかのだろうか。

この疑問を明らかにするために、EMCジャパン株式会社 RSA事業本部が調査を実施。両チーム間に存在する隔たりとその理由を明らかにした。

※2018年の初頭に実施したアンケート調査の175 人の回答者は、金融サービス、公的部門、プロフェッショナル サービス、ヘルスケア、製造業を含む従業員1,000 人以上の北米の企業に勤務する、IT およびITセキュリティの専門家と、ビジネスリスクおよびGRCの専門家

セキュリティ侵害の発生数

セキュリティ侵害
過去2年間に発生したセキュリティ侵害の回数は?(出典:ESGの調査、サイバーセキュリティとビジネス リスクに関する調査、2018年3月、n=122)

調査の結果、なんと回答者の70%がセキュリティ侵害を経験していることがわかった。過去2年間に侵害を受けた組織の36%が2回~5回、49%が6回以上の侵害を受けている。また、66%の回答者が検知されるまで数カ月にわたり侵害発生に気づいていなかったという。

セキュリティ侵害に対する組織の認識

セキュリティ侵害
経営陣は協力的ですか?(出典:ESGの調査、サイバーセキュリティとビジネス リスクに関する調査、2018年3月、n=175)

回答者が所属する組織の82%は、このようなセキュリティ侵害を単なるITリスクではなく、ビジネスリスクと見なしている様子。その証拠に、経営陣はセキュリティ侵害の防止検知、対応への取り組みに協力的と回答している。それを裏付けるように、18年のセキュリティ予算が増額されると91%が回答した。

セキュリティ侵害
用語の相違(出典:ESGの調査、サイバーセキュリティとビジネス リスクに関する調査、2018年3月、n=175)

セキュリティ侵害が認められた場合、セキュリティチームは原因究明、リスク管理チームは事業継続に向けて活動を開始するが、日頃から両者は必ずしも歩調を合わせて協調的に活動しているわけではないことが明らかになった。回答者の73%は、両者は円滑なコミュニケーションが取れていない場合もあり、連携することが難しいと指摘している。

また、一方のチームが作成したデータを、もう一方のチームが使えない状態も判明。セキュリティチームが作成したデータを、リスク管理チームがリスク評価に使えないといった例だ。

チーム間に横たわる隔たりの実態と原因

セキュリティ侵害
セキュリティ部門とリスク管理部門の関係を構築する上での主な課題(出典:ESGの調査、サイバーセキュリティとビジネス リスクに関する調査、2018年3月、n=175)

今回のレポートでは、セキュリティチームとリスク管理チームが協力関係を構築するための課題が指摘されている。

最も指摘が多いのは、使用するツールと技術の違いだ(46%)。セキュリティチームはインフラに重点を置き、セキュリティ対策製品や外部情報を活用して検知した脅威を調査、分析して予防、対処する。一方、リスク管理チームはリスクを特定し、組織の戦略、法令やガイドラインに則って管理策を実行し、ビジネスリスク管理ツール、GRCツール、様々なチェックシートを使ってリスクを組織的に管理している。

次に、用語の違い(41%)。セキュリティチームはブロック、アラート、違反など実用的な言葉で表し、リスク管理部門は可能性、潜在的、影響など、推論に基づいた用語を多用する傾向があるという違いがある。

指標(40%)と目標(34%)についても同様の結果となった。成功がどのような状態なのかを理解すること、また、共有の指標(インジケータ)に照らし合わせて測定することは、いかなるビジネスにおいても必要不可欠。目標と指標が異なれば、報告の仕方に違いがあることもうなずける。

改善の方法例

セキュリティ侵害
改善策に関するセキュリティ部門とリスク管理部門の合意事項(出典:ESGの調査、サイバーセキュリティとビジネス リスクに関する調査、2018年3月)

チーム間の関係を改善する方法として、「早い段階でリスク管理者をIT セキュリティのイニシアチブに参加させることを優先的に考えている」については、セキュリティチームの47%が肯定しているが、GRC部門はわずか28% 。ビジネスリスクの指標ツールと指標を改善することについても、セキュリティチームの36%が肯定していますが、対するGRC部門は17%のみとなった。
リスク管理チームよりセキュリティチームの方が、ギャップを埋めてビジネスリスクについて検討するための措置を講じることに興味を持っていることが分かった。

まとめ

セキュリティチームとリスク管理チームは、同じ企業に所属しているにも関わらず一枚岩ではなく、組織の成り立ちや業務に端を発した組織文化の違いがあることが明かとなった。そのため両チームは、相違から生じる困難に直面している。

しかし、チームはそれぞれの殻をやぶり、組織全体によるデジタル リスク管理を支援するという共通の目標に向かって、より緊密に協力し始めている傾向があることも分かってきた。

チームは相違を理解したうえで、相互のコミュニケーションを深め、連携していく必要がある。指標を共通化し、ツールを統合し、優先順位を決めて、企業がデジタルリスクをより効率的かつ効果的に管理できるよう取り組む必要があると言えるだろう。

▼参照資料
「困難と進歩」ホワイトペーパー

▼ニュースリリース
ITセキュリティ専門家とビジネスリスク部門とのギャップは埋められるのか?

構成/エンジニアtype編集部

この記事が気に入ったらいいね!しよう

エンジニアtypeの最新情報をお届けします

RELATED POSTS関連記事

JOB BOARD編集部おすすめ求人

この記事に関連する求人・キャリア特集

 株式会社キャリアデザインセンター メディアARP推進局の求人 【編集】エンジニア経験が活かせる編集のシゴトです 東証一部上場/残業少/服装自由
記事検索


チーターデジタル株式会社 テクニカルサポートエンジニア◆10年連続業界…

株式会社エイ・エヌ・エス SE(品質管理・運用管理)■100%自社内勤…

株式会社エヌジーシー ネットワークエンジニア*未経験OK*残業20h以内*…

株式会社スリーケーシー インフラエンジニア*運用から設計へステップUP…

株式会社Lincs ITサポート事務/未経験OK/年休125日/残業月平均20h以下/…

富士通コンポーネント株式会社 品質管理・保障◇月給33万円~◇完全週休2日…

株式会社スタッフサービス エンジニアリング事業本部(リクルートグループ…

富士ゼロックスアドバンストテクノロジー株式会社 ソフトウェアテストエン…

日信工業株式会社【東証一部上場】 機械・機構設計/世界最高峰バイクレース…

サッポロビール株式会社 【生産技術担当】サッポロブランドを生産技術から…

英文メールでよく見る「略語」の意味は? 海外エンジニアに聞い...

SIerって本当にヤバいの? ひろゆきが語る、業界ごと沈まな...

有名技術ブロガー堤修一氏に聞く、「情報発信」からキャリアをデ...

もっと人間らしい生活がしたい……仕事に忙殺されたエンジニアを...

【中島聡×夏野剛】「エンジニアは自虐をやめろ」「逃げるな、ぶ...

【Techトレンド×エンジニア求人特集】 “超”市場価値の高い人材になれる!今、「セキュリティエンジニア」を目指すべき理由 エンジニア転職フェア開催 IT&モノづくりエンジニアを求める優良企業が大集結!