ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、日本の企業がセキュリティに関して2024年に押さえておくべき10の重要論点を発表しました。
高まるサイバーの脅威、AIやデータ/アナリティクスなどグローバルで進行するデジタル化のトレンドのリスク、関連する法規制の動き、セキュリティのテクノロジや市場の多様化により、セキュリティとプライバシーの領域はますます混沌としたものになってきています。そうした変化への対応のキャッチアップは困難を極めるため、新たなセキュリティの戦略や計画の立案に苦戦する組織が増えています。また立案したとしても、それらが陳腐化するスピードが速まっています。
バイス プレジデント アナリストの礒田 優一は次のように述べています。「昨今、セキュリティの取り組みをステークホルダーに説明する必要性が今まで以上に高まっていますが、戦略不在のままその場しのぎの対応を継続した場合、企業として責任を問われた際に説明に窮する事態に陥る可能性があります。セキュリティ/リスク・マネジメント (SRM) のリーダーは、目の前の課題や仕事のみに振り回されるのを避けるために、少なくとも年に1回は視野を広げ、自社の取り組みを見つめ直す機会を持つべきです。そのためには、セキュリティとプライバシーの領域を俯瞰する視点が必要です」
企業がセキュリティに関して2024年に押さえておくべき10の重要論点は以下の通りです。
論点1:新たなセキュリティ・ガバナンス
社会全体としてセキュリティの取り組みにおける説明責任は増大傾向にあり、国内においても経営者の意識に変化が生まれる状況が増えています。昨今のセキュリティ環境では、サイバー攻撃や内部脅威に加え、クラウド、デジタル、法規制のリスクも絡めた高度かつ複雑な意思決定が必要になり、従来の中央集権的なセキュリティ・ガバナンスに限界を感じる組織が増加しています。
SRMリーダーは、従来存在する情報セキュリティの脅威のみではなく、サイバーセキュリティおよびデジタル・トレンドを踏まえた新しい脅威の変化をファクト・ベースで経営陣、ビジネス・リーダーに伝え、理解を促すことが重要です。セキュリティはITの問題ではなく経営問題であり、組織全体として対応すべき問題であるとの共通理解を得ると共に、分散型意思決定を可能とするプロセスへ移行する必要があります。
論点2:新たな働き方とセキュリティ
ワークプレースは、従来のオフィスなどの「働く場所」を中心としたものから、従業員の「働き方」を中心とした新しいものへと移行しつつあり、そうした働き方のパターンに応じてセキュリティにも多様なパターンが求められるようになってきています。Microsoft Copilot for Microsoft 365のような「日常型AI」の利用が進むことで生じる、新たなセキュリティ・リスクへの対応の必要性が高まっています。
SRMリーダーは、従業員がシステムやデータにどこからアクセスし、どのように使うのか、そうした実態を把握し、ユースケースごとに適切なセキュリティを選択できるような取り組みを推進する必要があります。「日常型AI」の利用が進むことで、ユーザーとして新たに認識すべきリスクも増えるため、2024年は、従業員に対するセキュリティ教育の在り方を見直す必要があります。
論点3:セキュリティ・オペレーションの進化
ゼロトラスト、セキュア・アクセス・サービス・エッジ (SASE) といったトレンドや、急速に変化する環境や脅威に対応するために、企業は脅威対策製品の導入を継続する一方、個々の製品のログへの対処や運用方法、運用負荷の増加などの課題を抱える組織が増えています。加えて、セキュリティ情報/イベント管理 (SIEM) プラットフォームや、拡張型の検知/対応 (XDR) 関連製品、生成AIの活用への期待が高まっています。
SRMリーダーは、脅威対策製品の検知や防御の能力に頼るだけでなく、問題が発生しないような構成を維持する事前対応プロセス (脆弱性への対処や、設定ミスの修正など) をセキュリティ・オペレーションに組み込み、そのサイクルを回していくことが求められます。また、生成AI等の活用については、発展途上にあるため、セキュリティ運用の今後の姿を描き、中長期的な視点で検討していくことが重要です。
論点4:インシデント対応の強化
サイバー攻撃はさらに巧妙化が進んでおり、インシデントの原因究明にはこれまで以上に時間がかかるようになってきています。OT (オペレーショナル・テクノロジ ) やIoT (モノのインターネット) の領域もサイバー攻撃の対象となる現在、企業が担うインシデント対応の範囲は、これまでのIT領域にとどまらず、自社製品あるいは設備などにまで拡大しています。
インシデントが広い範囲に影響する場合、業務停止の時間を極力短くすることが重要になるため、こうした場面ではインシデントの原因究明よりもシステムの暫定復旧が優先されるよう、インシデント対応プロセスを見直す必要があります。曖昧な想定があれば具体的なシナリオとして修正し、インシデント対応組織が複数ある場合には、各々が分断しないよう協働に向けた働きかけも重要です。
論点5:外部からの攻撃への対応
エンドポイントの検知/対応 (EDR) 製品を導入する企業は増えているものの、運用や人材スキルにおける問題を抱える組織が多いです。ビジネス/テクノロジ環境の変化に伴い、企業が攻撃を受ける可能性のある脅威エクスポージャが増加しており、アタック・サーフェス・マネジメント (ASM) への関心が高まっています。
SRMリーダーは、自社の資産や保持している情報を踏まえた想定シナリオの準備や、運用プロセスの見直し、および運用スキル強化に向けた取り組みが必要です。併せて、攻撃リスクを低減するための手段として従来行われている脆弱性マネジメントと、新たに対処が必要になっている脅威エクスポージャの双方に対応するために、継続的な脅威エクスポージャ管理 (CTEM) への取り組みを検討することも必要です。
論点6:内部脅威への対応
内部関係者によるシステムや情報への不正アクセスは後を絶ちません。事前に定めたルールによって内部不正を検知するという従来のアプローチだけでは検知が難しい側面もあります。
内部脅威の対応範囲は広いため、まずはリスクの高いもの、例えば高度な機密情報を扱うユーザー、特権を行使する場面、あるいは退職を予定しているユーザーなど、特定のポイントにフォーカスして取り組みを進めることが重要です。一方、AIを活用した脅威検知への期待が高まっていますが、活用する際は、不正検知に用いられる従業員情報が不適切な用途で使われることのないよう、従業員のプライバシーに配慮することを最優先事項とする必要があります。
論点7:法規制、サードパーティ/サプライチェーンのリスクへの対応
AI、データ/アナリティクス、サイバー・フィジカルなど、社会全体としてデジタル・トレンドが進む中、世界の地域/国の規制当局による新しい法案策定に向けた動きが活発になっています。サードパーティ/サプライチェーンのセキュリティ・リスクの脅威も年々高まっています。
日本はそうした新たなデジタル・トレンドや規制において必ずしも先進的とは言えず、日本の常識のみで判断することはビジネス上のリスクを高めます。SRMリーダーは、デジタル、プライバシー、セキュリティなどの分野における法規制や関連ガイドを含め、国内外の主なトレンドを押さえるとともに、経営陣の認識を高め、関連部門も関与させながら取り組みを推進していく必要があります。
論点8:クラウドのリスクへの対応
マルチクラウドの利用が進み、セキュリティの構成を漏れなく評価し対応することが難しくなっています。また、利用する部門によってセキュリティ意識やルール、スキルにばらつきがあります。
クラウド・ネイティブ・アプリケーションの増加や、マルチクラウド環境に対応したセキュリティとして、クラウド・ネイティブ・アプリケーション保護プラットフォーム (CNAPP)、クラウド・セキュリティ・ポスチャ・マネジメント (CSPM)、SaaSセキュリティ・ポスチャ・マネジメント (SSPM) などの評価、導入も含め、より合理的でセキュアな運用を目指すべきです。また、部門横断的なチームの結成や事業部門側における運用プロセス等も合わせて検討する必要があります。
論点9:データ・アナリティクスのリスクへの対応
セキュリティ・チームと事業部門との分断や、事業部門側のセキュリティやプライバシーに対する認識不足などにより、セキュリティに関する議論が十分に尽くされないまま、大規模なデータ・アナリティクス・プロジェクトが進んでしまうことがあります。
SRMリーダーは、セキュリティの議論の機会を逃すことなく、プロジェクトにおけるセキュリティの確実な取り組みについて事業部門と共に推進すべきです。また、個人情報を扱う場合、セキュリティのみではなくプライバシーへの配慮の取り組みが不可欠となるため、責任ある企業としてプライバシーに取り組む姿勢を明確にし、関係者の責任と役割を明確にすることが求められます。
論点10:AIのリスクへの対応
生成AIを巡るセキュリティの側面の主な議論には、生成AIを従業員が利用する場合の対応、自社用の生成AIを構築する場合の対応、生成AIをセキュリティ・オペレーションに利用する場合の対応、生成AIを使った攻撃への対応、の4つが挙げられます。
生成AIの社内利用を超えて、顧客向け製品/サービスへの組み込みが増加するにつれ、AIのトラスト/リスク/セキュリティ・マネジメント (AI TRiSM) に取り組むなど、自社におけるAIのリスクを検討し、それらに向けた具体的な対応の必要性が高まります。
Gartnerのサービスをご利用のお客様は、リサーチノート「日本におけるセキュリティの重要論点:2024年企業は何をすべきか」で詳細をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products
日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、ニュースルームよりご参照ください。
