サイバーセキュリティ

 

ますます高度化する IT システムとネットワークを使用して物理セキュリティをサポートすると、機能性が向上し、監視の効率も向上します。しかし、同様に高度化するリモート攻撃者による攻撃を受ける可能性も高まります。

物理セキュリティ システムには、物理セキュリティと制御に関連するデータを処理、保存、送信する IT 環境が含まれます。組織の既存の物理セキュリティ チームは、採用されている制御 (ドア アクセス制御、CCTV、侵入検知など) に非常に精通しているかもしれませんが、それらの制御を提供および管理するために高度な IT システムを使用することの影響に精通している可能性は低く、IT システム自体に必要な制御についてはなおさらです。逆に、組織の IT セキュリティ チームは IT システムのセキュリティ保護に精通している必要がありますが、物理セキュリティをサポートするシステムの詳細に精通していない可能性があります。また、ほとんどの場合、物理セキュリティ システムは組織内の他のネットワークやシステムとは意図的に区別されるため、IT セキュリティ チームが日常的に実装しているセキュリティ対策の多くを活用できません。

従来の物理的セキュリティ対策を破る試みは、特定のカメラ、ドア、またはその他の侵入ポイントなど、局所的である傾向がありますが、物理的セキュリティをサポートする IT システムに対する攻撃は、より広範囲に影響を及ぼし、攻撃者から物理的に離れた領域に影響を及ぼす可能性があります。基盤となる IT をターゲットとする攻撃は、ネットワークを無効にしてセキュリティ監視を妨害するだけの単純なものもあれば、ドアの開閉を制御したり、カメラの位置を変更したり、センサーを無効にしたりできる標的型マルウェアのように高度なものもあります。」

セキュリティは個人データ保護の重要な部分です。これは、一般データ保護規則1 (GDPR) の第 32 条を通じて、すべてのデータ管理者およびデータ処理者に拘束力があります。原則として、各処理操作は、状況に応じて決定される一連のセキュリティ対策、つまり「データの性質と処理によって生じるリスクを考慮した有用な予防措置」の対象とする必要があります (フランスデータ保護法 2 の第 121 条)。GDPR では、個人データの保護には、プライバシーを含む自然人の権利と自由に対する「リスクに適したレベルのセキュリティを確保するための適切な技術的および組織的対策」を講じる必要があると規定されています。実施する対策を評価するには、2 つの補完的なアプローチを展開する必要があります。– 長年にわたる衛生と IT セキュリティの活用から得られた優れたプラクティス (例: 規制、標準、ガイド) を組み込んだセキュリティ ベースの確立。このベースは、最も一般的なリスクに対処することを目的としています。 – 処理に関係する者に対するリスク分析3。処理に特有のリスクを特定し評価することを目的とします。このような分析は、これらのリスクの処理に関する客観的な意思決定と、必要かつ状況に適したmの特定をサポートします。