2021年11月29日
セキュリティ/リスク担当リーダーは、「利用者が悪質な攻撃から物理的被害を受けないようにするにはどうしたらよいか」といった質問を受けることを想定し、将来に向けて備える必要があります。
サイバー・フィジカル・システムには、自律走行車やデジタル・ツインなどのテクノロジのために、サイバー世界と物理世界を融合するシステムが含まれます。このようなサイバー・フィジカル・システムの普及によって、企業には新たなセキュリティ・リスクが生じており、攻撃者がこうしたシステムにどのように狙いを定めるかについては、今後数年間にわたり最も重要な展望の1つとなるでしょう。
ガートナーのアナリストでディレクターのサム・オーヤイー (Sam Olyaei) は、Gartner IT Symposium/Xpo™ 2021のセッションで次のように述べました。「私たちは古い習慣にとらわれており、何でも従来と同じように対処しようとします。このような状況を続けることは不可能です。私たちは、自らの考え方、理念、プログラム、アーキテクチャを確実に進化させる必要があります」
セキュリティ/リスク・マネジメントは、取締役会レベルの重大事項となっています。セキュリティ侵害の件数は増加し、その内容も高度化していることから、消費者を保護するための規制強化に拍車がかかり、セキュリティはビジネス上の意思決定の最重要課題に位置付けられています。
ガートナーのアナリストは、これからの数年間で、分散化、規制、安全性への影響がさらに拡大すると予測しています。今後1年間のロードマップを策定するにあたり参考となる戦略的プランニングの仮説事項を以下に説明します。
一般データ保護規則 (GDPR) は、消費者のプライバシーを守る初めての主要な法律でしたが、その後すぐにブラジルの一般個人データ保護法 (LGPD) や米国のカリフォルニア消費者プライバシー法 (CCPA) などが制定されました。これらの法規制の適用範囲を鑑みると、企業はさまざまな管轄地域で複数のデータ保護法に対処することになり、一方で顧客はどのようなデータが収集され、どのように使用されているのかを把握したいと考えるでしょう。それはつまり、プライバシー管理システムの自動化に注力する必要が生じるということでもあります。GDPRをベースにしてセキュリティ・オペレーションを標準化し、個々の管轄地域に合わせて調整すべきです。
現在、組織はさまざまな場所で多様なテクノロジをサポートしているため、柔軟なセキュリティ・ソリューションが必要になります。サイバーセキュリティ・メッシュは、従来のセキュリティ境界の外側にあるアイデンティティも幅広く網羅でき、組織の包括的な視点をもたらします。また、リモートワークのセキュリティ向上にも役立ちます。こうした需要が、今後2年間における導入を促すでしょう。
組織は最適化と集約に向かっています。セキュリティ担当リーダーは多くの場合、数十種類のツールを管理していますが、10種類未満まで集約しようと計画しています。SaaSが望ましいデリバリ手法となり、集約はハードウェアの導入期間に影響を及ぼすでしょう。
特にベンチャー・キャピタリストなどの投資家は、機会を評価する際の重要な要素として、サイバーセキュリティ・リスクを用いています。また、買収/合併やベンダーとの契約など、ビジネス取引の際にサイバーセキュリティ・リスクを重視する企業が増えています。その結果、質問やセキュリティ評価を通じて、パートナーのサイバーセキュリティ・プログラムのデータを求めるリクエストが増加しています。
現在もランサムウェアの支払いには幅広い規制が適用されている可能性がありますが、セキュリティ・エキスパートは、支払いに対するより積極的な取り締まりを予期すべきです。ほとんど規制されていない暗号通貨市場を利用する場合、身代金の支払いには倫理的、法的、道徳的な影響があり、そのインパクトを考慮することが極めて重要となります。支払いをする (または支払いをしない) という判断は、こうしたすべての懸念に対応できる、部門横断型チームが担うべきです。
今すぐ聴く (英語): Are You Prepared for a Ransomware Attack?
サイバーセキュリティは取締役会の (継続的な) 最重要課題となっていることから、取締役会レベルのサイバーセキュリティ委員会の設置や、より厳格な監督および精査の実施が予想されます。これにより、組織全体のサイバーセキュリティ・リスクの可視性が高まるとともに、取締役会への報告には新たなアプローチが必要となります。報告の詳細は、個々の取締役の経歴や経験に左右される可能性があります。メッセージを伝える際には、価値、リスク、コストに焦点を絞るべきです。
幅広いセキュリティ環境に対応するために、サイバーセキュリティを超えて組織的レジリエンスへと移行する必要があります。デジタル・トランスフォーメーションによって脅威環境が複雑化すると、プロダクトやサービスの生産方法にも影響が及びます。組織的レジリエンスと目標の定義、およびそれらに影響を与えるサイバーリスクの一覧表の作成に取り組むべきです。
マルウェアがITからOTへと広がると、焦点はビジネス・ディスラプションから物理的被害へと移り、最終的には恐らくCEOが法的責任を負うことになります。資産中心型のサイバー・フィジカル・システムに注目し、適切な管理に対応できるチームを確実に配備すべきです。
【海外発の Gartner Articles】
本資料は、ガートナーが海外で発信している記事を一部編集して、和訳したものです。本資料の原文を含め Gartner が英文で発表した記事に関する情報は、以下よりご覧いただけます。
https://www.gartner.com/smarterwithgartner/
ガートナーのサービスをご利用のお客様*にお勧めのレポート (英語):
*契約されているサービスにより本ドキュメントを閲覧いただけない場合もございますので、ご了承ください。
ガートナーのエキスパートから提供する、確かな知見、戦略的アドバイス、実践的ツールにより、ミッション・クリティカルなビジネス課題の解決を支援します。
ガートナーのエキスパートから、さまざまな分野における最新の知見をご紹介
ガートナーのコンファレンスに参加
「Gartner News」はITの各分野を幅広くカバーした「皆様のビジネスとITを成功に導く情報」をお届けいたします。
ご登録のEメールアドレス宛てに、最新リサーチ情報、コンファレンス開催情報などをお届けいたします。
