ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、2023年以降に企業のセキュリティに大きな影響を与え得るサイバーセキュリティに関する主要な仮説を発表しました。仮説によると、(1) 幹部の業績評価でサイバーリスク・マネジメント能力がますます問われるようになる、(2) 国家の約3分の1は、今後3年以内に、ランサムウェアへの対応を規制するようになる、(3) セキュリティ・プラットフォームの集約は、逆境での成功を目指す組織に役立つことになります。
本日から開催しているガートナー セキュリティ&リスク・マネジメント サミット 2022のオープニング基調講演において、アナリストでバイス プレジデントのジエ・ジャン (Jie Zhang) と、ディスティングイッシュト バイス プレジデントのトム・ショルツ (Tom Scholtz) が、セキュリティ/リスク・マネジメントのリーダーがデジタル時代で成功を収めるために押さえておくべき主要な仮説を解説しました。
ショルツは次のように述べています。「サイバーセキュリティに関わる業務は、年々難しくなっています。さまざまなところで発生する脅威に、私たちは常に迅速に対処しなければなりません。不確実な未来を理解し、複雑なリスクに素早く反応し、ビジネス環境のセキュリティを確保していくには、セキュリティへの取り組み方をもっとシンプルにする必要があります」
「セキュリティを『この先10年間』というタイムスパンで見た時、サイバーセキュリティの取り組みにおいて重要視しなければならないシナリオがいくつか挙げられます。セキュリティ脅威は単体のイベントとしてではなく、同時並行で起こります。程度もタイミングも、企業によってさまざまです。サイバーセキュリティはITの問題ではなくビジネスに影響を与える問題であり、地理的な要因により、より大きな影響を及ぼす場合があります」
セキュリティ/リスク・マネジメントのリーダーが、2023年以降に向けたサイバーセキュリティに関して注視すべき主要な仮説は以下の通りです。
2023年末までに、ユーザーのプライバシー権のうち世界の50億人、世界のGDPの70%以上が、政府規制の対象となる
プライバシー規制は拡大の一途をたどっています。Gartnerは、プライバシーに対する理解を深めるとともに、管理に当たっては、「データ主体の権利のリクエスト (Subject Rights Request)」のためのソリューションを活用し、部分的に自動化を進めて、1件当たりの処理コストや非効率な箇所の特定など、複数の評価指標を用いて追跡することを推奨します。
2025年までに、企業の80%は、Web、クラウド・サービス、プライベート・アプリケーションへのアクセスを、単一ベンダーのSSEプラットフォームに集約する戦略を取る
ハイブリッド・ワークが「当たり前」になりつつことを背景に、ベンダーは、一貫性のあるシンプルなWeb/プライベート・アクセス/SaaSアプリケーション・セキュリティを提供する統合型のセキュリティ・サービス・エッジ (SSE) ソリューションを提案しています。単一ベンダーのソリューションは、ベスト・オブ・ブリードのソリューションと比較して、統合の強化、使用するコンソール台数の削減、データの復号化/検査/再暗号化を要する場所の削減など、大幅な運用効率化とセキュリティ効果をもたらします。
2025年までに、組織の60%は、セキュリティの出発点としてゼロトラストを採用する。しかしその半数以上がゼロトラストのメリットを得られず失敗する
「ゼロトラスト」という言葉は、セキュリティ・ベンダーのマーケティングや政府のセキュリティ・ガイダンスにおいて、今では幅広く使われています。ゼロトラストは、心構えとして、暗黙の信頼を、アイデンティティ/コンテキストに基づく信頼へと置き換える、非常に効果的な考え方です。しかし、ゼロトラストはセキュリティの原則であると同時に組織のビジョンでもあるため、そのメリットを享受するには、文化面の転換と、ゼロトラストをビジネス成果と結び付ける明確なコミュニケーションが必要となります。
2025年までに、組織の60%は、サードパーティとの取引やビジネス契約における意思決定要因として、サイバーセキュリティ・リスクを重視するようになる
サードパーティに関連するサイバー攻撃が増えています。しかし、Gartnerのデータによると、サイバーセキュリティのリスクを把握するために、サードパーティをリアルタイムでモニタリングしている企業は全体の23%にすぎません。消費者の懸念が増加すると同時に規制当局の関心も高まるなか、組織は、クリティカルなテクノロジ・サプライヤーのシンプルなモニタリングから、企業の買収・合併のための複雑なデュー・デリジェンスに至るまで、サードパーティとビジネスを行う際の意思決定要因として、サイバーセキュリティ・リスクを重視するようになるとGartnerは予測しています。
2025年末までに、ランサムウェアへの支払い、罰金、交渉を規制する法案を可決する国家の割合は、30%に上昇する (2021年には1%未満)
現在のランサムウェアの犯罪組織は、データを暗号化するだけでなく、データの窃取も行います。身代金を支払うかどうかは、セキュリティではなく、ビジネス・レベルの判断になります。身代金交渉に進む前に、専門のインシデント対応チームや、法執行機関/規制当局を必ず関与させることをGartnerは推奨しています。
2025年までに、攻撃者はオペレーショナル・テクノロジ環境を武器にして、人的被害を与えるようになる
機器、資産、プロセスを監視または制御するハードウェアやソフトウェアであるオペレーショナル・テクノロジ (OT) への攻撃が、より一般的に、そして、より破壊的になっています。セキュリティとリスク・マネジメントのリーダーは、セキュリティの取り組みの範囲をサイバー・フィジカル・システム (CPS)にも広げ、情報の窃取よりも、むしろ人間や運用環境への現実的な危険について、懸念すべきです。
2025年までに、CEOの70%は、サイバー犯罪、異常気象、内紛、政情不安による、同時発生的な脅威を切り抜けるために、組織的レジリエンスを重視する文化を必須とする
COVID-19のパンデミックにより、従来型の事業継続管理 (BCM) 計画では、大規模なディスラプションに十分に対応できないことが明らかになりました。ディスラプションは今後も続く可能性が高いため、Gartnerは、企業としての組織的レジリエンスを戦略上の緊急課題として認識し、スタッフ、ステークホルダー、顧客、サプライヤーも巻き込んだ組織全体のレジリエンス戦略を構築することを推奨しています。
2025年までに、サイバーセキュリティ委員会を取締役が監督する企業の割合は、40%に上昇する (2021年には10%未満)
2026年までに、Cレベルの経営幹部の50%は、リスクに関連する業績要件を雇用契約に組み込んでいる
最近のGartnerの調査によると、大半の取締役は現在、サイバーセキュリティを単なる技術的なITの問題ではなく、ビジネス・リスクとして捉えています。今後、最高情報セキュリティ責任者 (CISO) やコンサルタントなどの経歴や経験を有するメンバーが取締役に加わることにより、セキュリティ委員会のようなトップレベルの組織によって、経営環境におけるセキュリティについて監督や精査をもっと現実的に実行できるようになります。このように取締役会側の変革が進むことで、企業のサイバーリスクに対する明確な説明責任は現場のセキュリティ・リーダーではなく、それよりも一段上の経営幹部が負うようになるとGartnerはみています。
2022年におけるセキュリティとプライバシーのリーダーの優先課題については、eBook「2022年のリーダーシップ・ビジョン:セキュリティ/リスク・マネジメント」でご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products
Gartnerは本日~27日に、ガートナー セキュリティ&リスク・マネジメント サミット 2022 (会場:ヒルトン東京お台場) を開催しています。本サミットでは、セキュリティ戦略の再編、セキュリティ文化の醸成、リスク・オーナーシップの委譲、新たなセキュリティ・アーキテクチャの確立といったさまざまな視点から、CISOおよびセキュリティ・リーダーに向けた実践的な提言を行います。コンファレンスのニュースと最新情報は、Twitterでご覧いただけます (#GartnerSEC)。
日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのTwitterやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、こちらよりご参照ください。
