Newsroom

プレスリリース

2022年3月9日

Gartner、2022年のセキュリティ/リスク・マネジメントのトップ・トレンドを発表

セキュリティ・リーダーは、戦略を進化させて、拡大するデジタル・フットプリントを新たな脅威から保護するべき

ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、セキュリティ/リスク・マネジメントのリーダーが自社のセキュリティの取り組みに反映すべき7つのトップ・トレンドを発表しました (グローバルでは2022年3月7日に発表しています)。これらは、拡大を続ける現代の組織のデジタル・フットプリントを、2022年以降に登場する新たな脅威から守るために押さえておくべきトレンドです。

アナリストでバイス プレジデントのピーター・ファーストブルック (Peter Firstbrook) は次のように述べています。「世界中の企業は、巧妙なランサムウェア、デジタル・サプライチェーンへの攻撃、埋め込まれた脆弱性の脅威に直面しています。新型コロナウイルス感染症のパンデミックによって、ハイブリッド・ワーククラウドへの移行が加速したことで、最高情報セキュリティ責任者 (CISO) は有能なセキュリティ・スタッフの不足に対処しながら、分散化が進む企業を保護するという課題を突き付けられています」

アナリストでバイス プレジデントの礒田 優一は次のように述べています。「以下に示すトレンドは日本においても共通し、業界に広範な影響をもたらします。経済安全保障推進法案の動き、海外拠点や取引先のインシデント増加により日本におけるサプライチェーンのセキュリティ・リスクの重要性が増していることに加えて、デジタル・トレンドの加速を背景とした分散と集約の議論がこれまで以上に重要になっています」

トレンド1:攻撃対象範囲の拡大

企業が攻撃を受ける対象範囲が拡大しています。サイバー・フィジカル・システムやIoT、オープンソース・コード、クラウド・アプリケーション、複雑なデジタル・サプライチェーン、ソーシャル・メディアなどの利用に伴うリスクによって、制御可能な一連の資産の範囲外で企業が攻撃にさらされるようになっています。企業は、セキュリティの監視、検知、対応という従来型のアプローチの先を見据え、より広範囲にわたってセキュリティ・リスクを管理する必要があります。

デジタル・リスク・プロテクション・サービス (DRPS)、エクスターナル・アタック・サーフェス・マネジメント (EASM) テクノロジ、サイバー・アセット・アタック・サーフェス・マネジメント (CAASM) は、CISOが社内外のビジネス・システムを可視化し、セキュリティ対応範囲のすき間を自動で検出できるようサポートします。

トレンド2:デジタル・サプライチェーンのリスク

サイバー犯罪者は、デジタル・サプライチェーンへの攻撃が、高い投資収益率 (ROI) をもたらすことに気付いています。Log4jのような脆弱性がサプライチェーンに広がっていることから、さらなる脅威の出現が予想されます。2025年までに全世界の組織の45%が、ソフトウェア・サプライチェーンに対する攻撃を経験し、その割合は2021年から3倍に増加するとGartnerは予測しています。

デジタル・サプライチェーンのリスクには、新しいリスク軽減アプローチが必要になります。これには、より慎重なリスク・ベースでのベンダー/パートナーのセグメンテーションとスコアリング、セキュリティ・コントロールと安全なベスト・プラクティスの証拠の要求、レジリエンス・ベースの思考へのシフト、今後の法規制を見据えた取り組みなどが含まれます。

トレンド3:アイデンティティ脅威検知/対応の見極め

巧妙な攻撃者は、アイデンティティ/アクセス管理 (IAM) インフラストラクチャを積極的に狙っており、今では認証情報の不正利用が主要な攻撃経路となっています。Gartnerは、アイデンティティ・システムを防御するためのツールやベスト・プラクティスを「アイデンティティ脅威検知/対応」(ITDR) と称しています。

前出のファーストブルックは次のように述べています。「企業はIAM機能の向上に多大な労力を費やしてきましたが、その多くはユーザー認証を改善するテクノロジにフォーカスしたものであり、実際にはサイバーセキュリティ・インフラストラクチャの基礎部分に対する、攻撃対象範囲の拡大を招いています。ITDRツールは、アイデンティティ・システムの保護、セキュリティ侵害の検知、効率的な修復に役立ちます」

トレンド4:意思決定の分散化

企業のサイバーセキュリティのニーズと期待は成熟しつつあり、経営幹部は攻撃対象領域が拡大する中で、よりアジャイルなセキュリティを求めています。デジタル・ビジネスの範囲、規模、複雑さを踏まえると、サイバーセキュリティに関する意思決定、実行責任、説明責任を中央集権的な部門から引き離し、複数の組織単位にわたって分散させることが必要になります。

ファーストブルックは次のように述べています。「CISOの役割は、テクノロジ領域のエキスパートから、エグゼクティブ・リスク・マネージャーの役割へと変化しています。2025年までに、単一の中央集権的なサイバーセキュリティ部門では、デジタル組織のニーズにアジャイルに対応できなくなると思われます。CISOは、責任のマトリクスを改めて概念化し、取締役会、CEOや他のビジネス・リーダーが、十分な情報に基づいてリスクの判断を下せるようにすべきです」

トレンド5:ビヨンド・アウェアネス (セキュリティ意識)

人為的ミスは依然として、数多くのデータ侵害の要因になっており、従来のセキュリティ意識向上トレーニングのアプローチが効果的ではないことを示しています。先駆的な組織は、時代遅れになっているコンプライアンス中心のセキュリティ意識向上キャンペーンではなく、全体的なセキュリティ行動/文化プログラム (SBCP) に投資しています。SBCPは、組織全体によりセキュアな働き方を誘発する目的で、新しい考え方を促し、新しい行動を定着させることにフォーカスします。

トレンド6:ベンダーの集約

セキュリティ・テクノロジの融合は、複雑性の低減、管理コストの削減、有効性の向上といったニーズに後押しされ、加速しています。統合されたソリューションのメリットを増幅しているのが、拡張型の検知/対応 (XDR)、セキュリティ・サービス・エッジ (SSE)、クラウド・ネイティブ・アプリケーション保護プラットフォーム (CNAPP) などの新しいプラットフォーム・アプローチです。

2024年までに、企業の30%はクラウド・デリバリ型セキュアWebゲートウェイ (SWG)、クラウド・アクセス・セキュリティ・ブローカ (CASB)、ゼロトラスト・ネットワーク・アクセス (ZTNA)、ブランチ (拠点) 向けサービスとしてのファイアウォール (FWaaS) の各機能を、同じベンダーから採用するようになるとGartnerは予測しています。セキュリティ機能の集約化により、長期的には総保有コストの削減と運用効率の改善が可能になり、全体的なセキュリティの強化につながります。

トレンド7:サイバーセキュリティ・メッシュ

セキュリティ・プロダクトの集約化というトレンドにより、セキュリティ・アーキテクチャ・コンポーネントの統合が進んでいます。しかし依然として、集約化されたソリューション間で一貫したセキュリティ・ポリシーを定義し、ワークフローを実現し、データを交換する必要があります。サイバーセキュリティ・メッシュ・アーキテクチャ (CSMA) により、オンプレミス、データセンター、クラウドなどの場所に関係なく、すべての資産を保護する共通の統合セキュリティ構造/態勢が得られます。

ファーストブルックは次のように述べています。「Gartnerのサイバーセキュリティのトップ・トレンドはそれぞれが独立して生じているわけではなく、互いに影響しながら形成されます。つまりCISOは、これらのトレンドを認識し、将来のセキュリティ/リスク・マネジメントの課題に対処することで、その役割を進化させ、社内における自らの立場を高めることができるでしょう」

Gartnerのサービスをご利用のお客様は、リサーチノート「Top Trends in Cybersecurity 2022」で詳細をご覧いただけます。2022年におけるセキュリティ・リーダーの優先課題については、「2022年のリーダーシップ・ビジョン:セキュリティ/リスク・マネジメント」をご覧いただけます。

日本で提供しているサービスについては、こちらよりご参照ください。
https://www.gartner.co.jp/ja/products

ガートナー セキュリティ&リスク・マネジメント サミット

ガートナーは、セキュリティおよびリスク・マネジメントのリーダー向けに最新のリサーチからの分析やアドバイスを紹介する「ガートナー セキュリティ&リスク・マネジメント サミット2022」を、米国、メリーランド州ナショナルハーバー (6月7~10日)、豪州、シドニー (6月21~22日)、東京 (7月25~27日)、英国、ロンドン (9月12~14日) にて開催します。コンファレンスのニュースと最新情報は、Twitterでご覧いただけます(#GartnerSEC)。

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのTwitterFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、こちらよりご参照ください。

Gartnerについて

Gartner, Inc. (NYSE: IT) は、経営幹部およびそのチームに対し、実行可能かつ客観的な知見を提供しています。Gartnerの深い専門知識によるガイダンスやツールは、組織のミッション・クリティカルなビジネス課題についてより迅速でスマートな意思決定を下し、より大きな成果を獲得することを可能にします。詳細については下記Webサイトでご覧いただけます。

gartner.com

gartner.co.jp (ガートナージャパン)

報道関係各位からのお問い合わせ先