セキュリティの集中化が金融サービス業界にもたらすメリット

集中化、つまり従来別々に扱われていた複数のセキュリティ機能の統合が、現在のセキュリティの重要な課題になっています。ここで取り上げる 2 つの、それぞれ異なる技術の衝突は、金融サービス業界にとって大きな意味を持っています。技術の急激な採用によって、従来の物理的なセキュリティ技術とITセキュリティ技術に境目がなくなり、同時に、セキュリティリスクを理解し、効果的に緩和するのに必要な企業の役割を妨げる「縦割り化」が進行しています。

ここでは、物理的なセキュリティと IT セキュリティを統合することに伴う利点と注意点について説明します。

活発になる動き

セキュリティの集中化を推進する動きは、このところ顕著になってきています。SANS Technology Institute は最近、次のような見解を発表しました。「私たちは、従来はアナログ形式だったネットワーク情報を現在デジタルデータネットワーク上で運用しています。また従来は個別のネットワークデバイスだったものを、特に境界部分で集中化しようとしています。同様に、物理的な、従来型のネットワークセキュリティグループの統合も始まっています。この傾向が弱まることなく続く場合、最終的に多額の費用を節約し、以前に比べてリスクへの実際の対処を大幅に軽減することができます。 この傾向は縦深防御（多層防御）に対する一体型アーキテクチャというアプローチのなかにはっきり表れています」

セキュリティの集中化が SOX 法をはじめとする相次ぐ新しい法的規制から後押しを受けた面もあり、これらの規制は組織が IT セキュリティ技術と物理的なセキュリティ技術の集中化に取り組む現実的な動機となりました。

その間に、Homeland Security Presidential Directive 12 (HSPD-12、国土安全保障に関する大統領指令 12) が 2006 年に発令されたことも、集中化を推進するもう 1 つの主要な要因になりました。HSPD-12 では、官公庁が職員に対して標準の PIV (個人識別検証) カードを発行することを要求しています。HSPD-12 スマートカードによって、官公庁と委託を受けている民間企業では論理的なアクセス（デジタルデータによるアクセス）と物理的なアクセスが結び付けられるものと期待されています。

文化の衝突

これらの進展にもかかわらず、セキュリティの集中化に至る道すじには多くの障害が残っています。集中化が現在組織に激しい議論を引き起こしている、というのは控えめな表現です。 『Security Convergence: Managing Enterprise Security Risk』 (セキュリティの集中化: エンタープライズのセキュリティリスクの管理) の著者である Dave Tyson 氏が述べているように、物理的なセキュリティ部門と IT セキュリティ部門の間に深刻な文化の違いが存在することが原因です。Tyson 氏はセキュリティの集中化にはメリットがあることを強く確信する一方、課題についても避けることなく語っています。

たとえば、IT プロフェッショナルは一般的に新しいシステムを受け入れ、それを自らの作業にどのように適用できるか実験してみることを好みます。一方、物理的なセキュリティの担当者は通常、新しい技術に対して懐疑的です。

そして、トレーニングが実施されます。 物理的なセキュリティの実施担当者は、つねに大量のトレーニングを要求するとはかぎりませんが、IT セキュリティの実施担当者にとっては、定期的な認証の取得は生活の一部にまでなっています。

報酬はもう 1 つの障壁です。 一般的に、IT に関わる従業員は物理的なセキュリティの担当者と比較してかなり高い収入を得ています。

Tyson 氏が述べたように、標準的な IT セキュリティスタッフは PC に潜むトロイの木馬やキーロガーを完全に見分けることができますが、不審者をビルから退出させなければならないときに、彼らには頼まないでしょう。

集中化による具体的なメリット

これら非常に現実的な障害が存在する状況で、金融サービス企業は集中化によってどのようなメリットを期待できるでしょうか。Forrester Research は、ビジネスおよび運用上の 4 つの具体的なメリットを挙げています。

• IT アクセスと物理的なアクセスに対応する認証情報を 1 つのカードに統合。 1 枚のスマートカードを、ビルにアクセスするための ID バッジとして使うと同時に、パスワードやデジタル証明書のような IT 認証情報を記録することもできます。
• ビルへのアクセスと、IT アクセスそれぞれを許可または拒否するプロセスを接続。 職員の IT アクセス権を管理するプロセスを、ビルへのアクセスを管理するプロセスと連携させることにより、職員の生産性を短期間で高め、セキュリティを向上させることができます。
• 物理的な領域と IT 領域の双方にわたってセキュリティイベントを関連付ける。 セキュリティイベント管理システムは、現在は IT 関連のイベントを監視および対処するために使用されていますが、物理的なセキュリティシステムから得られたイベントも取り込む必要があります。たとえば、ある職員がリモートログインを行っていることが VPN によって通知されたときに、バッジシステムではその職員が組織のオフィス内にいることが示されている場合、アラートをトリガする必要があります。
• 物理的な権限と IT の権限、およびイベントに対する監査を統合。 認証プロセスと承認プロセスを評価し、IT の設備と物理的な設備をともに制御することにより、組織は効率とセキュリティを向上させる多くの機会を得ることができます。たとえば、Forrester が監査を行った結果、企業が既存の複数の ID 管理システムを統合することにより、職員と訪問者のバッジプロセスを合理化できる方法が明らかになりました。

しかし、集中化のメリットはそれだけではありません。9.11 以降、セキュリティはコストセンターにすぎないという従来の見解を維持できる企業はほとんど存在しません。そのような見解では、ビジネスの日常的な活動に対するセキュリティの価値を企業が理解することの重要さを認識できなくなります。現在、セキュリティはビジネスを実現するための重要な要素と見なす必要があります。たとえば、論理的または物理的なインシデントが原因でネットワークが利用できない場合は、収益に影響を及ぼす事態となります。統合型のセキュリティ戦略を策定することにより、セキュリティの目標とビジネスの目標をより適切に一致させることができ、その結果、リスクを低減し、コストを削減し、複雑さを緩和し、IT をさらに効率的に運用することができます。

対話の開始

最近、Diebold Security の Richard Baggot 氏と Scott Harroff 氏は、ラスベガスで開催された FSI Executive Summit で、参加者とともにセキュリティの集中化について円卓会議を主催しました。FSI Executive Summit は、銀行、金融市場、保険業界におけるシマンテックの顧客が直面している、セキュリティと情報リスク管理に関する重要な課題に取り組むためのフォーラムです。

エンタープライズ業務とセキュリティ戦略担当副社長である Baggot 氏と、チーフ情報セキュリティアーキテクトである Harroff 氏は、特に以下のような課題の提示をとおして集中化にアプローチすることを参加者に推奨しました。

• 脆弱性の識別。 あなたの組織の中で最も脆弱なのはどの分野でしょうか。
• 評価と優先度付け。 重要な情報資産に対して最大の影響を及ぼすのは、実世界の脅威のうちどれでしょうか。
• 保全。 それらの資産を安全に保つために導入できるソリューションと緩和戦略のうち、最も効率的なものはどれでしょうか。
• 管理。 セキュリティプログラムの保守全体を最も効果的に管理するには、どのような方法がありますか。
• 開示。 自社がリスク低減のために継続的に取り組んでいることをブランド、顧客、パートナー、監督官庁に示すのに活用できるソリューションとツールのうち、最も効率がよいのはどれですか。

Baggot 氏と Harroff 氏によると、「従来のアナログシステムが現在のデジタルセキュリティソリューションに移行しつつあります。 この新しい世界の秩序と、我々がこの秩序を活用する方法によって、セキュリティはつねに進化し続けます」

まとめ

ここまでに明らかになったように、多数の複合的な要因が重なったために物理的なセキュリティと IT セキュリティの統合が最優先の課題になっています。IP ベースの物理アクセスシステムが登場し、特にオープンアプリケーションプラットフォームと Web サービスが採用された結果、本当の意味でのセキュリティの集中化が多くの金融サービス企業にとって手の届く距離になりつつあります。本当の意味でのセキュリティの集中化は、多くの企業にとってはまだ先の話ですが、IT セキュリティの世界と物理的なセキュリティの世界は、互いに統合へと向かっています。