ベストプラクティス

フィジカルセキュリティにおけるリスク管理と調達

効果的なリスク管理と調達戦略を策定し、組織のレジリエンスとパートナーとの連携を維持する方法について学びます。

組織は日頃から、知らず知らずのうちにリスクに直面しています。例えば、会社の入退室コントロールシステムが故障すれば、建物の警備が脆弱になったり、許可のない人が立ち入り禁止区域への入室を試みたりする可能性があります。問題は、潜在的なリスクを特定し、軽減できる対策が備わっているかどうかということです。その最初のステップはリスク管理戦略を導入することです。

ガイド
フィジカルセキュリティロードマップの構築方法 (EN)
 

リスク管理とは?

リスクにはさまざまな形があり、制御できるものもあれば、対応しかできないものもあります。効果的なリスク管理はリーダーシップから始まります。つまり、必要に応じてリスクを削減、緩和、または移転する方法を含む、スマートかつ長期的な意思決定を策定し下すことです。

フィジカルセキュリティにおいてリスク管理が必要な理由

フィジカルセキュリティにおける効果的なリスク管理とは、潜在的な脅威を特定することです。潜在的な脅威がセキュリティ侵害やインシデントに発展する前に予測して、それに備えることを意味します。その目的は、組織の人材と物理的資産を保護し、運用が中断しないように維持することです

リスクを排除することはできませんが、組織の行動、脆弱性、リスク許容範囲に基づいて継続的に評価することはできます。リスク管理を適切に実施できないと、組織は従業員の生活、さらには一般市民を危険にさらす危険あります。従業員、顧客、訪問者を保護することで、安全な環境を育み、組織の信用を高めることができます。

フィジカルセキュリティにおける主なリスクの1つは、保護されていないカメラやIIoTデバイスを使用しているために、データや通信が傍受される危険性があることです。組織に関連するサイバーリスクがあるという十分な裏付けがある場合は、特にそうです。これらのデバイスによって、ネットワークや機器への不正アクセスが許可される危険性があります。優れたサイバーセキュリティ体制を整えても、信用できないソースのデバイスの使用を補うことはできませんが、保護対策をまったく講じないよりは良策であることを覚えておいてください。

堅牢なリスク管理計画を策定すると、混乱を最小限に抑え、悪い事態が発生した場合でもビジネスを継続できます。早期にリスクを軽減することで、高額な損害、法的問題、ビジネス上の損失を防ぎ、組織全体のレジリエンスと安定性を維持できます。

ブログ
信頼できるベンダーを選択するには
 

調達の専門家を利用して組織をサポートするには

組織は単独ですべてをコントロールできるわけではありません。大規模な組織では、ミスは不可避です。リスク管理の専門家の重要な指標は、単に問題が発生した回数ではなく、困難な状況にいかにうまく対応し、問題を解決したかです。

入札と提案依頼書 (RFP) の規則を見直して必要なすべての要素を規則に加えることで、リスク管理戦略を改善するのが調達の専門家です。特にIIoTまたはスマートデバイスを購入する際に重要ですが、それはサプライヤーの信頼性とサイバーセキュリティの履歴の評価が極めて重要だからです 。

継続的な調達プロセスが重要な理由

調達は一度限りの作業ではなく、継続的なプロセスです。フィジカルセキュリティでは、サプライヤーの信用度を考慮せずに価格と品質のみを重視することが調達によく見られる間違いです。これでは、組織が考慮すべき重要な技術的、倫理的、組織の信用、財務上のリスクが見落とされてしまいます。

共に成長できるパートナーを選ぶ

継続的にイノベーションを続け、製品ラインを拡張しているパートナーを選択することが重要です。調達プロセスには、時間の経過とともに製品またはサービスのパフォーマンスを継続的に管理する作業が含まれます。豊かなパートナーエコシステムを維持することで、ハードウェアや機器の交換時期がきた際に、変化するニーズを満たすために必要なオプションを確実に提案してくれます。

継続的な調達プロセスにより、運用の長期的な成功と適応性をサポートする最新のテクノロジーとソリューションに常にアクセスできます。このプロセスの一環として、ベンダーを継続的に再評価し、ベンダーのサービスが組織の進化する標準を満たし続けることができるかを確認する必要があります。

ブログ
最適なパートナーがどのように価値をもたらすかを知る
 

リスク認識の文化を育む

効果的なリスク管理により、調達部門は目先ばかりの決定を下すのではなく、長期的な利益を重視できるようになります。これは多額の投資のように思えるかもしれませんが、可能な限り最大の価値を達成することに重点を置く必要があります。

テクノロジーは企業内のリスクの追跡に役立ちますが、組織内でリスク認識、説明責任、投資の文化を育むことも同様に重要です。セキュリティに対する包括的なアプローチには、環境とデータを安全に保護するために必要な複数の防衛線を組み込む必要があります。

「これはテクノロジーに関するものではなく、組織全体の文化、人材、プロセスに関する防衛線です。調達担当者や役員にとって、すべてはリスクを把握し、責任を受け入れ、それに応じて投資決定を下すことにつながります。」

入念なリスク管理戦略の構築を実現する7つのアクション

堅牢なセキュリティ体制を作るには、組織は不可欠な人による監視を考慮しながら、テクノロジーと包括的なリスク管理を組み合わせることができます。

堅牢なセキュリティ体制は次の方法で構築できます。

  1. ギャップを埋める: ニアミスやインシデントを前向きに見直すことは、学習と改善に不可欠であり、リスク管理戦略の潜在的な弱点を特定し、重大なインシデントが発生する前に是正措置を講じることができます。
  2. 従業員を教育する: 従業員の役割および組織全体に関わる潜在的なリスクを、すべての階級の従業員と共有し、自らの行動や決定が組織の安全性、セキュリティ、運用、信用にどのような影響を与えるかを理解してもらいます。
  3. 手順の確立: 問題が発生した際に、迅速、効果的かつ調整された対応を確実に行うために、堅牢なインシデント対応プロトコルを作成します。
  4. サイバーセキュリティを最優先する: 当初からサイバーセキュリティのベストプラクティスを実装し、製品開発のすべてのステップに多層のセキュリティ戦略を採用します。
  5. リスク管理に投資する: リスクを特定し軽減できる効果的な戦略とツールにリソース (資金、時間、専門知識) を割り当てます。
  6. 説明責任を促す: 個人やチームがリスクの特定、報告、軽減の責任を負うことで、リスク管理プロセスと結果に対するオーナーシップ意識が生まれます。
  7. プロセスを試す: 現実的なシナリオで対応戦略をテストし、その手順を改善し、全体的な準備態勢を強化し、緊急事態や予期せぬ事態に対処できるようにすることで、訓練とシミュレーションを実施し準備態勢を強化します。
 
共有する

関連コンテンツ

長時間持続のためのセキュリティシステム
持続可能なフィジカルセキュリティの設計

フィジカルセキュリティへの投資を保護ためのする戦略やヒント、基準、適切な質問事項を以下にまとめました。

統合、クラウド、分析機能を使って、 ITとフィジカルセキュリティの連携を向上させる方法
ITとセキュリティの連携を強化する3つの機能

IT部門とフィジカルセキュリティ部門の連携を強化したいとお考えですか? 統合、クラウド、分析機能を活用する方法

サイバーセキュリティを念頭に置いてセキュリティベンダーを選択するには

御社のパートナーエコシステムでは、サイバーセキュリティが考慮されているでしょうか。サプライチェーンリスク評価が非常に重要である理由と、信用できるベンダーを選択する方法について見ていきます。