ガートナー ジャパン
メインメニュー ホーム リサーチ コンサルティング ベンチマーク エグゼクティブ プログラム イベント 会社情報 メインメニュー
SAMPLE RESEARCH

サンプル・リサーチ

イメージ 2013年の展望:クラウドとサービスのセキュリティ
インフラストラクチャ (INF)/INF-13-39
Research Note
R. Wagner   J. Heiser   E. Perkins   M. Nicolet   K. Kavanagh   A. Chuvakin
掲載日:2013年5月28日/発行日:2013年4月19日

本リサーチ分析レポートのテーマに関心をお持ちの方は、2013年7月1日(月)・2日(火)に開催する「ガートナー セキュリティ&リスク・マネジメント サミット 2013 | 今改めて考える、未知の脅威をいかに想定し対策を練るか」 のページを是非ご覧ください。
本サミットでは、クラウドやモバイルに焦点を当て、企業が行うべきセキュリティ対策やリスク・マネジメントを、グローバルのトレンドも見据えつつ提言する。
(イベント終了後も開催実績としてご覧いただけます)

 

セキュリティ機能をクラウドに移行する動きは2013年も続く一方、クラウド・サービスに対するセキュリティの懸念は、依然として残り続けるであろう。

監訳アナリストの視点
クラウドに関連するセキュリティには2つの側面がある。1つは、ファイアウォール、侵入検知システム (IDS)/侵入防御システム (IPS)、セキュア電子メール/Webゲートウェイ、ID管理/アクセス管理などの、セキュリティ機能をクラウドに移行する動きであり、月額/年額あるいは従量制でサービスを購入するようなサービス形態のセキュリティである。これについては、今後も採用する動きが継続あるいは加速するとガートナーでは予測している。もう1つは、ビジネスあるいは社内業務で利用するシステムをクラウド・サービスとして利用するに当たって、そこで懸念されるリスク、という意味でのセキュリティである。これについては、クラウド・サービスの利用は進む一方で、データ漏洩・消失/サービス停止のリスクが依然として残り続けるとガートナーでは捉えている。

(礒田 優一)

要約

主要な所見

    ● 中堅・中小企業は、セキュリティ情報/イベント管理 (SIEM) テクノロジの展開/管理、アラートの評価/対応を、自社でこなせるだけのリソースを持たない。

    ● クラウド・サービス・プロバイダーの標準契約にしばしば見受けられる、言葉足らずで曖昧な文言に対する不満が広がっている。大手のプロバイダーであるほど、契約の文言について実質的な変更に応じる可能性が低い。

    ● 力の結節 (クラウド、インフォメーション [データ]、モバイル、ソーシャルの4つの力の強固な結び付き) が、新旧を問わずアイデンティティ/アクセス管理 (IAM) 環境にかなりの影響を及ぼしている。そのため、IAMのターゲットが、外部アイデンティティへの対応とサポートに移りつつある。

    ● IAMを導入している企業の大半では、未回収の新たな投資が巨額に上っている。例外はあるものの、サービスとしてのアイデンティティ (IDaaS) は、既存のIAM環境を代替するものではなく、拡張するものと見なされている。


推奨事項
    ● セキュリティ監視とSIEM管理に対応するリソースがごく限られている企業は、SIEMに関するユースケースを初めから外部サービスを通じてサポートすることを計画する。ただし、ユースケースを追加する必要に迫られたときに高度なサポートが提供できる十分な専門知識と経験を有したサービス・プロバイダーを探す。

    ● 徹底した要件分析とプロバイダーのリスク評価を完了するまでは、重要なデータを絶対にクラウド・サービス内に置かない。

    ● ITアーキテクチャに関する従来の検討事項を拡大して、IAM向けクラウド・コンピューティングの選択肢を盛り込む。社内のアイデンティティ情報に関する責任とプライバシーをめぐる影響に関しては、法務部門を関与させる。

    ● IAM部門のスタッフ教育計画を改定して、モバイル/クラウド/ソーシャル・メディア分野のテクノロジおよびサービスに関するトレーニングを拡充する。


目次

    戦略的プランニングの仮説事項

    分析
      要旨
      戦略的プランニングの仮説事項
      
    過去の予測


戦略的プランニングの仮説事項

    ● 2015年までに、SIEM環境にサービス・ベースのイベント監視/SIEM管理コンポーネントが盛り込まれるようになる割合は、現時点の5%未満から30%以上に上昇する。

    ● 2016年まで、クラウド・サービス・プロバイダーの契約は、セキュリティとデータのリカバリに関する詳細なサービス・レベル合意 (SLA) を提供しない。

    ● 2017年までに、IAM支出全体に占める、ソーシャル/モバイル/クラウド・ベースの外部アイデンティティ管理をサポートするための支出の割合は、現時点の10%から50%に増加する。

    ● 2015年末までに、IAM環境の50%超が、クラウド・ベースのアプリケーションと企業内ソフトウェア・インフラストラクチャを統合したハイブリッド型になる。


分析

要旨
ガートナーのセキュリティ分野のアナリストは、2013年以降のクラウド/サービスのセキュリティ市場に関して重要な予測を行っている。最高情報セキュリティ責任者 (CISO)、クラウド・サービス・マネージャー、ネットワーク・マネージャーをはじめとする企業の意思決定者は、リソースの割り当てと製品やサービスの選定を行う際に、これらの戦略的プランニングの仮説事項を検討すべきである。

ガートナーのアナリストは、毎年、自身が担当する市場が直面している重要な問題に関する予測を提示している。本リサーチノートでは、2013年のクラウド・ベースのサービスにおけるセキュリティと、企業のセキュリティを強化するサービスにおけるセキュリティに関する戦略的プランニングの仮説事項を提示する。

戦略的プランニングの仮説事項

2015年までに、SIEM環境にサービス・ベースのイベント監視/SIEM管理コンポーネントが盛り込まれるようになる割合は、現時点の5%未満から30%以上に上昇する

分析:Mark Nicolett、Kelly Kavanagh、Anton Chuvakin

主要な所見:

    ● リソースの限られた企業は、SIEMテクノロジの展開/管理、アラートの評価/対応を、自社でこなせるだけのリソースを持たない。

    ● SIEM環境が成熟すると、脅威に対してより高い管理目標が設定されるため、新たなユースケースが登場する可能性が高い。目標の例としては、標的型攻撃の検出と対応の迅速化および正確性の向上や、規制・コンプライアンス要件などがある。新たなユースケースは、SIEMの構成と管理に当たる既存の社内リソースではカバーしきれなくなる可能性がある。

    ● 社内のSIEM環境が成熟しており、監視対象のIT環境が安定している場合は、SIEMの継続的運用要件が十分理解されてルーチン化する可能性がある。セキュリティ部門は、外部サービスを通じてSIEMを運用するようになり、社内のセキュリティ・リソースを再配置して重要性の高い分野に対処させる。

    ● IT環境とセキュリティ監視要件は、モバイル・テクノロジ、BYOD (個人所有デバイスの業務利用)、クラウド・ベースのサービスが組み込まれるために複雑化の一途をたどる。

    ● ITインフラストラクチャが急速に変化するため、データの取得、分析、報告に関するSIEM構成の保守について、社内対応の負荷が増大する。

市場への影響:
2013年には、SIEMサポート・サービスがさまざまなプロバイダー (インフラストラクチャ・アウトソーサー、コンプライアンス・サービス専門企業、マネージド・セキュリティ・サービス・プロバイダー [MSSP]、テクノロジ再販業者、コンサルティング企業、SIEMテクノロジ・ベンダーのサービス部門など) から提供されるようになる。

推奨事項:

    ● セキュリティ監視とSIEM管理に対応するリソースがごく限られている企業は、SIEMに関するユースケースを最初から外部サービスを通じてサポートすることを計画する。ただし、ユースケースを追加する必要に迫られたときに高度なサポートが提供できる十分な専門知識と経験を有したサービス・プロバイダーを探す。

    ● SIEMのユースケースが拡大して、不適切な行動や不正行為に関係するユーザー活動、データ・アクセス、ビジネス取引の監視強化が含まれるようになった場合、CISOはセキュリティ・チーム外の分野別専門スタッフの関与を強化する計画を立て、社内全体で関係を構築する。SIEMの運用をサポートする外部サービス・プロバイダー (ESP) は、自社のプロセスと運営を変更し、企業のセキュリティ・チーム外の分野別専門スタッフが関与することを可能にする。

    ● 標的型攻撃のリスクが高い企業は、SIEMの高度な分析能力に対応できるサービス・プロバイダーを選定し、高度な脅威検出テクノロジをSIEM監視の範囲に含める。

    ● CISOは、SIEMに関してデュー・デリジェンス (事前調査) を行うだけでなく、外部の脅威環境に関する知識を有し、脅威管理のユースケースに価値を付加することのできるSIEMサービス・プロバイダーを探す。

    関連リサーチ:

    ・ 「Magic Quadrant for Security Information and Event Management」
    ・ 「Security Information and Event Management Futures」
    ・ 「How to Evaluate a Security Consulting Firm」
    ・「 北米におけるMSSPのマジック・クアドラント」(INF-12-16、2012年4月20日付)
2016年まで、クラウド・サービス・プロバイダーの契約は、セキュリティとデータのリカバリに関する詳細なSLAを提供しない

分析:Jay Heiser

主要な所見:
    ● ガートナーの顧客の間では、クラウド・サービス・プロバイダーの標準契約にしばしば見受けられる、言葉足らずで曖昧な文言に対する不満が広がっている。

    ● 大手のプロバイダーであるほど、契約の文言について実質的な変更に応じる可能性が低い。努力を要する取り組みについては、「ベスト・プラクティスに従う」といった非常に抽象的な文言で表現されることが多い。

    ● 多くのサービス・プロバイダーは、リスク緩和の形態とレベルに関して具体的な情報を提供していない。つまり、既存顧客と潜在顧客に対し、顧客の情報を十分保護する意向であることを信頼するよう要求するのみで、その旨に関する実質的な保証や根拠をまったく提示していない。

市場への影響:

    ● クラウド・コンピューティングの普及を阻む最大の要因の1つはセキュリティであると長年言われる一方、サービスを購入する企業の現在のジレンマは多少なりとも複雑化している。購入企業は社外でプロビジョニングされたサービスを利用したい意向であるが、サービス・プロバイダー側の法的な動機付けがないにもかかわらず、プロバイダーを信頼することが求められている。

    ● SLA範囲内の活動のセキュリティ、事業継続性、リカバリ・レベルが拡大しているため、従来よりも多くのユースケースについてパブリック・クラウド・サービスの利用拡大が容易になる購入企業が増加する。セキュリティやデータ・リカバリに関して問題が発生した場合、クラウド・サービスの顧客が法務/金銭面で取れる手段は最小限のものしかない。

    ● 保存と処理の対象となるデータに関する契約上の保護が不適切なほど弱い場合、サービス・プロバイダー側で問題が発生した際に自分の仕事がリスクにさらされることを認識している個人 (セキュリティおよび契約部門の専門スタッフを含む) は、クラウド・サービス利用のサポートを明らかに避けたがっている (承認を避けたいと考えるのは、言うまでもない)。

推奨事項:

    ● 情報セキュリティ、事業継続計画 (BCP)/災害復旧 (DR)、プライバシー/コンプライアンス・リスク管理の専門家は、ビジネス部門がサービス・レベル要件を完全に理解していることを確認する。

    ● 調達部門のスタッフは、社外でプロビジョニングされたサービスを購入する前に、必ずリスク関連要件を特定する必要があるとのポリシーを策定して施行する。購入担当者とリスク・マネージャーは、共同で社内標準を作成し、重要性の低いデータをサポートするサービスについては無用なリスク評価に時間を浪費することなく簡単に購入できるようにする。一方で重要性が中程度かまたは特に高いデータについては、徹底した要件分析とプロバイダーのリスク評価を完了するまでは、絶対にクラウド・サービス上にデータを置かないようにする。

    ● クラウド購入チーム (法務部門を含む) は、クラウド・コンピューティングの契約内容が今も進化の途上にあり、現時点でセキュリティとデータのリカバリをめぐるSLAの形態に関して合意がほとんど形成されていないということを念頭に置いておくと、上記の作業が行いやすくなる。

    関連リサーチ:
    ・ 「Survey Analysis: Assessment Practices for Cloud, SaaS and Partner Risks, 2012」
    ・ 「Cloud Sourcing: Lessons Learned From the Early Adopters」
    ・ 「Toolkit: SaaS Contract Negotiation」

2017年までに、IAM支出全体に占める、ソーシャル/モバイル/クラウド・ベースの外部アイデンティティ管理をサポートするための支出の割合は、現時点の10%から50%に増加する

分析:Earl Perkins

主要な所見:

    ● 現時点におけるIAM予算の大半は、特定の企業のアイデンティティ・アクセス、システム管理、ガバナンスに関するニーズへの対処を目的とするものである。一般消費者や住民に関する大規模な要件を抱えている企業や団体もいくつか存在するが、こうした環境ではユーザー数の増加に伴い、大幅なディスカウントが認められることが多い。

    ● 力の結節が、新旧を問わずIAM環境に大きな影響を及ぼしている。結節を構成する力のうち、クラウド、データ、モバイルは外部を向いているか、または外部ソースに由来する例が多い。そのため、IAMに関するアーキテクチャ、プロセス、組織が改めて外部アイデンティティの利用に対応し、サポートするようになっている。

    ● 企業がクラウド・コンピューティングとサービスとしてのソフトウェア (SaaS) を採用すると、ハイブリッドIAMアーキテクチャが進化して、企業の内外で利用できる融合/統合型のアイデンティティという概念をサポートするようになる。そのため、こうした環境をサポートするIAMテクノロジの新規開発と強化が加速する。

    ● IAM部門は、サービスの代替利用手段 (携帯電話、タブレット端末、仮想デスクトップなど) と代替デリバリ手段 (プラットフォーム、インフラストラクチャ、SaaS) から成るハイブリッド環境をサポートすべく進化している最中である。ソーシャル・メディア機能に加え、テクノロジとプロセスが受ける影響が、次には設計/管理/運用に当たるスタッフが備えるべきIAM関連のスキルセットに影響を及ぼす。

市場への影響:

    ● これまでは、IAM関連支出が企業向けIAM製品/サービス市場を形成してきた。IAMプロジェクトのデリバリ (遂行) アプローチは、従来型ソフトウェア価格設定モデルをベースにしているため、ライセンス、カスタマイズ、サポートに巨額の費用が発生する。クラウド・コンピューティングとモバイル・アクセスの拡大により、サービスの利用/デリバリの代替手段に対応する新手のIAM製品/サービス・プロバイダーが登場するため、従来のIAMベンダーが受ける競争圧力が高まっている。

    ● 新旧のIAMベンダーがIT市場の変化に対応すべく競合しているため、今後は顧客のサービス利用、対価の支払い方法も変化する。新たなオプションにより選択肢が増加し、これまで予算の関係で諦めていた顧客がIAMを導入する。こうした顧客の多くは既にモバイル/ソーシャル/クラウド・サービスへの対応を試みているため、自社に対応する効果的な製品とサービスを歓迎する。

    ● 力の結節がもたらすIAM採用状況の新展開を受けて、今後のIAMプロジェクトの多くでは複雑性と規模が増す可能性がある。これは、ハイブリッド環境が存在し、クラウドとソーシャルの力が後押しする社外の要求と、IAMに関する社内の要求 (モバイル化のニーズの有無を問わない) が併存する状況で特に顕著である。これを受けて、ベンダーとプロバイダーがサービスの多様化に順応するため、IAMコンサルティング、システム統合、ホスト型サービスの市場が再び活況を呈する。複雑性が高まり、環境が増加するため、IAMに要するコストがさらに高騰する。

    ● 企業内でハイブリッドIAMに関する要件をサポートする際に必要なスキルを備えるべく、教育とトレーニングの需要が急増する。そのため、IAM専門スタッフとコンサルティング/システム統合スタッフの平均給与が上昇する。

推奨事項:

    ● サービスの利用手段 (モバイル) とデリバリ手段 (クラウド) が拡大する可能性を予算計画に盛り込む。その際は、両手段に適したサービスに関するビジネス部門の要求を踏まえて判断する。

    ● IAM部門のスタッフ教育計画を改定して、モバイル/クラウド/ソーシャル・メディア分野のテクノロジとサービスに関するトレーニングを拡充する。これらの分野におけるIAM関連のリサーチを入手する過程で、アドバイザー役のアナリストをトレーニング計画のサポートに関与させる。

    ● 経営陣とのコミュニケーション・プランを作成し、具体的なビジネス・ニーズに基づいてIAM予算に直ちに加えるべき変更内容と予想されるIAM予算への影響を報告する。

    関連リサーチ:
    ・ 「Gartner's Nexus of Forces and the Future of IAM, 2013-2015」
    ・ 「Best Practices for Justifying Identity and Access Management Initiatives: Aligning IAM with CIO Priorities」
    ・「成長中のIDaaS市場における適切な製品選定のためのガイド」(INF-12-74、2012年12月28日付)

2015年末までに、IAM環境の50%超が、クラウド・ベースのアプリケーションと企業内ソフトウェア・インフラストラクチャを統合したハイブリッド型になる

分析:Earl Perkins

主要な所見:

    ● クラウド・ベースのIAMの市場は成長しつつあり、ソリューション数も増えている。一部の企業は、法務、プライバシー、アーキテクチャに関する懸念により、サービスとしてのIAM (つまりIDaaS) の受け入れを先送りしているが、それ以外の多くの企業は積極的に評価を行っており、購入に至った企業も存在する。

    ● 2012年の時点で商用IAMを社内展開している企業は、全世界の企業の3分の1に達している。IAMの採用率は製品とサービスの成熟に従って伸び続け、大半のIAM製品市場は年々拡大している。IAM製品/サービス市場は、飽和や完全な成熟からはほど遠い。

    ● IAMを導入している企業の大半では、未回収の新たな投資が巨額に上っている。これは投資の大部分が比較的最近のものであるためである。いくつか例外があるものの、現在、IDaaSは既存のIAM環境に代わるものというよりは、拡張するものと見なされている。

    ● 大半の国では、社外に保存するアイデンティティ情報の保護に関する法律、規制上の懸念により、IDaaSが依然として大きな課題に直面している。
市場の影響:
    ● IDaaS市場と従来型のエンタプライズIAM市場は、今後も成長し拡大する。とりわけ顕著な分野は、システム管理、分析、ガバナンスに関するツールである。IDaaSの採用率は、ベンダーがテクノロジを改善し、アイデンティティ・データの保護に関する懸念に対応するに従って、エンタプライズIAMの採用率を次第に上回るようになる。IDaaSの採用ペースが最も速い分野は、アクセス管理 (特にフェデレーション) であり、システム管理と分析がこれに続く。

    ● IDaaS市場の機会が増大した場合に恩恵を受ける主な企業は、正規のIAMの導入がほとんど進んでいない中堅・中小企業と、既存のIAM環境をリプレースするのではなく拡張したいと考える大企業である。既存のIAMコンサルティング/システム・インテグレーション (C&SI) 市場も全世界規模の急成長の恩恵を受ける。これは、IDaaSとエンタプライズ・システムの統合要件により、環境が複雑化するためである。

    ● 法律および規制上の要件により、一部の企業はアイデンティティ情報をエンタプライズ・ネットワーク上に保持する必要に迫られるため、一部のエンタプライズ・ベースIAMコンポーネント (ディレクトリなど) を社内に維持しながらIDaaSで対応することが必要になる。企業のIAM部門は、ハイブリッド型の新環境に対応して、フェデレーション、ベンダー管理、ポートフォリオ管理に関するスキルを既存のスタッフに身に付けさせる。IDaaSプロバイダーが自社のパートナーおよびサービスを利用するケースも増加する可能性があるため、企業は多数のパートナーとの関係のほか、信託契約がもたらす法務面の影響を管理することも求められる。
推奨事項:
    ● ITアーキテクチャに関する従来の検討事項を拡張して、IAM向けクラウド・コンピューティングの選択肢を盛り込む。社内のアイデンティティ情報に関する責任と機密性をめぐる影響の分析に関しては、必要に応じて法務部門を関与させる。

    ● IAM部門のスタッフ教育計画を改定して、クラウド・コンピューティング、フェデレーション、ベンダー/ポートフォリオ管理サービスに関するトレーニングを拡充する。これらの分野におけるIAM関連のリサーチを入手する過程で、アドバイザー役のアナリストをトレーニング計画のサポートに関与させる。

    ● 現時点のIAM製品ポートフォリオをレビューして、IDaaSでリプレースや拡張を行う可能性のある部分を必要に応じて判断する。初期に統合できる可能性のある部分は、シングル・サインオンやフェデレーションなどである。

    関連リサーチ:
    ・ 「Gartner's Nexus of Forces and the Future of IAM, 2013-2015」
    ・ 「成長中のIDaaS市場における適切な製品選定のためのガイド」(INF-12-74、2012年12月28日付)
過去の予測
顧客からの要望に応え、今回ガートナーはこれまでの主要な予測を振り返ることにする。ここでは対極に位置する予測を意図的に選択している。すなわち、完全に (またはおおむね) 実現した予測と、実現しなかった予測である。

実現した予測:2010年の予測

2012年末まで、機密情報を処理し保存するパブリック・クラウド・サービス・プロバイダーは、セキュリティ・コントロールとリスク評価に関する能力の実証に苦心する
2012年末になっても、パブリック・クラウド・コンピューティングのセキュリティとSaaS調達プラクティスを担当するガートナーのアナリストには、クラウド・サービス・プロバイダーが提供するサービスの透明性の欠如に不満を抱く顧客から絶えずインクワイアリが寄せられていた。クラウド・サービスを利用している顧客や、利用を検討している顧客が直面している最大のリスクとまではいかずとも、セキュリティに関する懸念の声は相変わらず多く、このモデルの利用拡大を阻んでいる。仮に、商用クラウド・サービスがプロバイダーの一般的な主張どおり真の意味で安全なものであり、セキュリティ・インシデントの発生頻度が低く、インシデントの規模が比較的小さいものであるならば、市場における採用が伸び悩んでいる原因は、クラウド・サービス・プロバイダーがセキュリティに実際に対応している姿勢ではなく、そうした姿勢を証明する説得力のある有効な証拠を提示できていないことにある。

実現しなかった予測:2012年の予測

2012年末までに、クラウド・ベース・サービスの採用増を受けて、中堅・中小企業による多機能ファイアウォールの展開が倍増する
この予測は楽観的すぎたことが明らかになりつつある。クラウドがこの方向性を推進する大きな構成要素であることは否定しようがないが、SaaS型サービスは専業ベンダーが支配しており、従来のネットワーク・セキュリティ・ベンダーが提供する統合脅威管理 (UTM) 製品に追加するコンポーネントとしては、あまり利用されていない。

上記の予測を行ったアナリストの認識は明確でなかった。クラウド・ベースのセキュリティに向けたトレンドが高まるとのガートナーの予測 (特に、セキュアWebゲートウェイ [SWG] と電子メール向けセキュリティ・ゲートウェイや、一般的なスタンドアロン製品に関するもの) は実現したが、UTMベンダーが販売する製品の大半は依然としてアプライアンス・ベースのものである。ただし、クラウド・ベースのセキュリティ・サービスも増加傾向にある。

大手のセキュリティ・ベンダーの大半は、現行のデリバリ・モデルにかなり固執している。これは、既に顧客が展開し、オンプレミスでコードが稼働しているクラウドのメリットを確保している場合でも同様である。逆に、(セキュリティではなく) 汎用クラウドがUTMの売り上げを拡大している。中堅・中小企業では、クラウド・リソースとの交信が増加しているため、予測を上回るスループットを処理すべく、UTMの更新が必要になっているからである。

    (監訳:礒田 優一)
INF: INF-13-39


※本レポートの無断転載を禁じます。

←INDEXに戻る

 

gartner.com
TOP OF PAGE
Copyright