ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は本日、セキュリティ・リーダーは新たな脅威に立ち向かうために、新たな格闘スタイルの確立を目指すべきであるとの見解を発表しました。
7月25日から開催しているガートナー セキュリティ&リスク・マネジメント サミット 2022の2日目の基調講演において、アナリストでバイス プレジデントの礒田 優一が2022年以降のセキュリティの重要論点と目指すべき指針を解説しました。
高まるサイバーの脅威、グローバルで進行するさまざまなトレンド、関連する法規制の動き、セキュリティのテクノロジや市場の多様化により、セキュリティとプライバシーの領域はカオス化しています。礒田は次のように述べています。「セキュリティ/リスク・マネジメントのリーダーの役割と責任は、かつてないほど高まっており、非常にタフな状況に置かれていると言えます。そうした困難に対し、闘い挑み続けるためには、新たな格闘スタイルを身につける必要があります」
セキュリティ/リスク・マネジメントのリーダーは、日々変化する混沌としたセキュリティ/プライバシー領域に対峙する場合に、「観の目」を持つことが必要不可欠です。その上で、「基礎固め」「アップデート」「拡大」の3つのフェーズで取り組むことを推奨しています。
「基礎固め」のフェーズでは、一般的な脅威に対する基礎を固め、責任ある企業として最低限の説明責任を果たすよう備えることが重要です。セキュリティ・インシデントが実際に起きた場合、責任ある企業として最低限の説明責任を果たせるように備えておく必要がありますが、基本の備えすらできていないことが多くみられます。まずは、自社の基本的なセキュリティ・ガバナンス/戦略/マネジメントを見直すともに、外部からの脅威 (Web攻撃やマルウェア/標的型攻撃など)、内部の脅威 (内部不正やミスなどの情報漏洩など) への対策を進めることが肝要です。特に昨今のランサムウェアの脅威や、本社以外 (海外拠点、取引先、自宅など) からの侵害の増加は、2022年も留まる兆しがないため、優先度を上げる必要があります。
基礎的な取り組みについては既に実施済みであり、セキュリティの取り組みをある程度進めてきた企業は、既存の取り組みを「アップデート」する必要があります。日々変化するセキュリティの世界では、取り組みを実施した後も、継続的にアセスメントを行い、変化に応じたアップデートが重要です。次の一手としては、「敵を知り、己を知る」必要があります。具体的には、「脅威インテリジェンスの活用」「ペネトレーション・テストの採用」「ゼロトラスト」を挙げています。
脅威インテリジェンスの活用の広がり
外部環境の変化や深刻なランサムウェアの被害を含めた脅威の高まり、また脅威インテリジェンスの活用の敷居が下がってきたことを背景に、脅威インテリジェンスの活用が広がりを見せています。
ペネトレーション・テストの採用増
ペネトレーション・テストの実施を検討する組織が増加し、国内でも侵入/攻撃シミュレーション (BAS) ツールの認知度が徐々に高まっています。
「ゼロトラスト」
2020年以降、「ゼロトラスト」への関心が集まりハイプが継続しています。「ゼロトラスト」にはさまざまなテクノロジが関連しているため、何をどこから取り組むべきかについての問い合わせがGartnerに多く寄せられています。
企業がデジタル化に向けて取り組みを「拡大」するフェーズでは、特に以下2つの観点での議論が重要となります。
「クラウドのセキュリティ」
「クラウドのセキュリティ」には、さまざまな課題や論点が存在しています。大きくは、「クラウド・リスク管理」「SaaSセキュリティ」「IaaS (サービスとしてのインフラストラクチャ)/PaaS (サービスとしてのプラットフォーム) セキュリティ」に分けられます。礒田は次のように述べています。「リモートワーク関連のセキュリティへの関心が増えたことから、2020年以降、Gartnerに寄せられる問い合わせは『SaaSセキュリティ』に関するものが最も多い状況ですが、IaaS/PaaSの活用はデジタル化の取り組みに不可欠なため、2022年以降、『IaaS/PaaSセキュリティ』の重要性が高まるでしょう」
「サプライチェーンのセキュリティ・リスク」
世界中でサプライチェーンにおけるセキュリティ・インシデントが増加し、ビジネスへ深刻な影響を与えるようになっています。セキュリティ/リスク・マネジメントのリーダーは、インシデントが発生した際に、本社主導でリーダーシップを発揮し、いかに被害を最小限に抑え、説明責任を果たすことができるかが問われています。まずはサプライチェーンとセキュリティの全貌について整理し、優先順位を付けて自社の取り組みを進めていく必要があります。
礒田は次のように述べています。「ここでも『観の目』が重要になります。広義のサプライチェーンを、本社、系列会社、サードパーティ (委託先等)、サプライヤー (取引先等) の構造として捉えた時に、本社からの距離が遠くなるほど直接的なコントロールは難しくなります。その点が大きな悩みどころですが、逆に言うと、コントロールできることに集中すべきということです」
礒田は次のようにまとめています。「風が吹けば堅い木ほど簡単に折れます。セキュリティ/リスク・マネジメントのリーダーは、完璧を目指すのではなく、トラスト (信頼) とレジリエンス (回復力) の確立をビジョンとして掲げ、アダプティブ・セキュリティ (予測、防御、検知、対応) による一貫した取り組みを『継続的』に推進する必要があります」
Gartnerは7月25~27日に、ガートナー セキュリティ&リスク・マネジメント サミット 2022 (会場:ヒルトン東京お台場) を開催しています。本サミットでは、セキュリティ戦略の再編、セキュリティ文化の醸成、リスク・オーナーシップの委譲、新たなセキュリティ・アーキテクチャの確立といったさまざまな視点から、最高情報セキュリティ責任者 (CISO) およびセキュリティ・リーダーに向けた実践的な提言を行います。コンファレンスのニュースと最新情報は、Twitterでご覧いただけます (#GartnerSEC)。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products
日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのTwitterやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、こちらよりご参照ください。