ガートナー ジャパン株式会社 (所在地:東京都港区、代表取締役社長:日高 信彦) は本日、都内で開催している『ガートナー セキュリティ&リスク・マネジメント サミット 2017』の中で、2017年の日本におけるセキュリティ・アジェンダのトップ10を発表しました。
ガートナー ジャパンのリサーチ部門リサーチ ディレクターで本サミットのチェア・パーソンである礒田 優一は、「組織が対応すべき事象」と「組織が実施すべき対策」を整理し、2017年に組織が議論し取り組むべき重要なセキュリティのアジェンダとして以下の10項目を取り上げ、最新の動向を解説しました。
- アウトサイダーの脅威 (サイバー攻撃)
- インサイダーの脅威
- エンドポイントのセキュリティ
- クラウドのセキュリティ
- アイデンティティ/アクセス管理 (IAM)
- 検知 (Detect:セキュリティ・オペレーション・センター [SOC] の構築・運用など)
- 対応 (Respond:インシデント・レスポンスの強化)
- 法規制/グローバル化とセキュリティ
- セキュリティ・ガバナンス
- デジタル・ビジネスとセキュリティ
1. アウトサイダーの脅威 (サイバー攻撃)
外部に公開されたWebサイトへの攻撃は依然として多発しており、セキュリティをすり抜けて内部に入り込む標的型攻撃や、大きく報道されているランサムウェアなど、この領域には2017年も引き続き高い関心が寄せられています。全体として変化の速い領域ですが、特に、すり抜ける脅威を検知して対応するためのテクノロジやサービスは多種多様です。セキュリティ・リーダーは、最新の動向を継続的に注視していくとともに、現状を踏まえて目標を設定し、計画的に取り組みを進めていく必要があります。
2. インサイダーの脅威
従来の懸念事項である内部の人間による人為的な不正やミスに起因する情報漏洩に加えて、2017年には、ワークスタイルの多様化や働き方改革を背景としたセキュリティに関する問い合わせも増えています。インサイダーの脅威は、テクノロジのみでは対応しきれないという側面を持ちます。多角的 (組織的/人的/技術的など) な対策を進めるとともに、ワークスタイルの多様性に順応したセキュリティの実装のトレンドにも目を向ける必要があります。
3. エンドポイントのセキュリティ
エンドポイントのセキュリティの市場には、ノンシグネチャ・ベースのアンチマルウェアやエンドポイントの脅威検知/対応 (EDR) など、多種多様なベンダー/製品が存在し、2017年には動きがさらに活発化しています。ヒューリスティック、振る舞い、人工知能 (AI) など、さまざまな言葉が多用される領域ですが、マーケットのノイズに惑わされることなく、自社に必要な機能を特定し、冷静に製品を評価/選定しなければなりません。
4. クラウドのセキュリティ
「クラウドのセキュリティ」を漠然と議論する時代は終わりました。単に「クラウド」「セキュリティ」といってもさまざまであり、大きく分類するとマルチテナント・コントロール、サービスとしてのソフトウェア (SaaS) コントロール、サービスとしてのインフラストラクチャ (IaaS) コントロールの3つに整理することができます。それぞれの近年の重要なトレンドを押さえつつ、自社に関係するクラウドのセキュリティについて、個別かつ具体的に議論を進めていくべきです。
5. IAM
クラウド/モバイルの広がりと脅威の高まりを背景に、IAMも大きく変化しています。近年台頭してきたサービスとしてのIAM (IDaaS)、クラウド・アクセス・セキュリティ・ブローカ (CASB)、エンタプライズ・モビリティ管理 (EMM) などは、2017年も引き続き、各ベンダーの動きが活発化している領域です。そうした動向にキャッチアップするとともに、自社におけるクラウド/モバイルとIAMのあるべき姿を描きつつ、現状を分析し、ギャップをどう埋めるのか検討を開始すべきです。
6. および7. 検知と対応 (SOCの構築・運用、インシデント・レスポンスの強化)
近年、迅速な「検知と対応 (Detect and Respond)」が特に重要視されるようになっています。すべてを防御できるとは誰も言い切れない現状がその背景にありますが、今後、企業のセキュリティ予算の半分以上が迅速な検知と対応のために割り当てられると、ガートナーは予測しています。企業におけるセキュリティ体制の強化や、関連したテクノロジやサービスに関する問い合わせが、2017年にもガートナーには多く寄せられています。テクノロジやサービスの概要を全体として理解することはもちろん、人材が深く関わってくる領域であるため、社内においてスキルやリテラシの底上げを図っていく必要もあります。
8. 法規制/グローバル化とセキュリティ
国内では2017年5月に施行された改正個人情報保護法、そして海外では2018年5月に発効予定のEU一般データ保護規則 (GDPR) など、プライバシー関連の法規制がグローバルで転換期を迎えています。法制度で求められるセキュリティ・コントロールは、広範かつ多岐にわたりますが、規制の影響を冷静に評価することが求められます。GDPRに関しては、発効予定の2018年までに、法務部門や法律の専門家を交えて必要な対策を取らねばなりません。
9. セキュリティ・ガバナンス
2017年も、セキュリティへの支出やアウトソーシングが依然として国内外で増加傾向にあります。セキュリティ・リーダーから経営者への説明はますます欠かせないものになっています。その際、セキュリティ・リーダーは、経営陣に対して単に「予算」を求めるのではなく、本質的には「判断」を求める必要があります。デジタル・ビジネスは今後さらに拡大していくため、セキュリティに関する経営陣の責任を明確にし、セキュリティをビジネスの価値として伝え、経営陣からの支援を確実に受けられるような取り組みをさらに進めるべきです。
10. デジタル・ビジネスとセキュリティ
デジタル・ビジネスのトレンドは、セキュリティに関する考え方を抜本的に見直す機会をもたらします。セキュリティとリスク・マネジメントの担当者は、「セキュリティが捉えるべき対象」の完成を待つだけではなく、デジタル・ビジネスのトレンドを継続的かつプロアクティブに捉え、自らがなすべきこと、そしてセキュリティとリスクについての考え方を、デジタル時代に適応したものへと進化させる必要があります。
前述の礒田は次のようにも述べています。「今後デジタル化がさらに進むにつれ、セキュリティとリスク・マネジメントの複雑性はいっそう高まります。ビジネスだけでなく社会全体や人の生命に関わる部分にもデジタル化の影響が及ぶようになるでしょう。デジタル・ビジネスは、セキュリティの考慮や実装なくして実現できません。セキュリティはもはや、『オプション』ではなく『マスト』な対策であると言えます。日本企業は、今回提示した10項目の重要なアジェンダをベースに、自社の取り組みにおいてこれらの重要な論点が漏れていないか確認すべきです。また、その際には、サイバー攻撃やマルウェアといった特定のセキュリティに閉じた議論にとどまらず、IT/テクノロジの変化、さらにはビジネス環境の変化に着目し、同等あるいはそれ以上の注意を払う必要があります」
ガートナーは7月12~14日、『ガートナー セキュリティ&リスク・マネジメント サミット2017』を開催しています。本サミットでは、ガートナーの国内外のアナリストならびにコンサルタントが、ビジネスを中断させることなく、深刻化するサイバーセキュリティ・リスクを管理するための革新的なテクノロジやプラクティスをご紹介します。
本サミットの詳細については下記のWebサイトをご覧ください。 http://www.gartner.co.jp/event/srm/
また、本サミットのニュースと最新情報は、Twitterでご覧いただけます (#GartnerSEC)。
