ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、2024年のサイバーセキュリティのトップ・トレンドを発表しました。本トップ・トレンドの推進要因には、ジェネレーティブAI (生成AI)、セキュリティ意識の低い従業員の行動、サードパーティのリスク、継続的な脅威エクスポージャ、取締役会でのコミュニケーション・ギャップ、セキュリティに対するアイデンティティ・ファーストなアプローチの6つが挙げられます (グローバルでは2024年2月22日に発表しています)。
シニア ディレクター アナリストのリチャード・アディスコット (Richard Addiscott) は次のように述べています。「生成AIは、対処すべき新たな課題としてセキュリティ・リーダーを悩ませている一方で、生成AIを活用することで、オペレーション・レベルでセキュリティを強化する機会となります。生成AIは考慮すべき不可避の勢力となりましたが、セキュリティ・リーダーには、自分たちがコントロールできない外的要因はほかにもあり、それらにも引き続き対処しなければなりません」
2024年は、組織のレジリエンスやサイバーセキュリティ部門のパフォーマンスを高めることを視野に入れて、幅広いプラクティス、技術的機能、構造改革をセキュリティ・プログラムに取り入れることで、セキュリティ・リーダーがこれらの外的要因による複合的な影響に対処するようになるでしょう。以下の6つのトレンドは、これらの領域にわたり、幅広い影響をもたらします。
バイス プレジデント アナリストの礒田 優一は次のように述べています。「これら6つのトレンドは、日本においても重要な論点になりますが、各トレンドの及ぼす影響や優先順位は各組織で異なります。そこまで成熟度が高くない組織においては、ここに挙げた6つ以外に優先させるべき取り組みが存在する可能性もある点には留意が必要です。一足飛びに高いレベルに到達することは不可能であるため、セキュリティ・リーダーは、各トレンドに対して短中長期的な視点から議論し、戦略的ロードマップに反映させる必要があります」
トレンド1:生成AIに対する短期的な懐疑論と長期的な期待の高まり
ChatGPTやGeminiのような大規模言語モデル (LLM) アプリケーションは、生成AIによるディスラプション (破壊) の始まりにすぎないため、セキュリティ・リーダーは、生成AIの急速な進化に備える必要があります。一方、セキュリティ・リーダーの周囲は、サイバーセキュリティ・オペレーションにおける生産性の向上、スキルギャップの軽減など、良い結果をもたらす機会にあふれているという見方もできます。セキュリティ・リーダーは、ビジネス部門のステークホルダーとの積極的なコラボレーションを通じて生成AIを活用することで、ディスラプションをもたらす生成AIテクノロジを倫理的/安全/セキュアに利用するための基盤をサポートすることができます。
アディスコットは次のように述べています。「これは生成AIの進化の始まりにすぎないことを認識することが重要です。セキュリティ・オペレーションやアプリケーション・セキュリティに生成AI機能が使われている事例の多くは、実際に有効であることを示しています。生成AIには長期的な期待がありますが、現時点では、2桁の生産性の向上よりも、実装による『プロンプト疲れ』を引き起こす可能性のほうが高いでしょう。特に社内のセキュリティ以外のチームには、取り組みを促進し、期待値を調整することが肝要です」
トレンド2:取締役会でのコミュニケーション・ギャップを埋めるサイバーセキュリティ・アウトカム・ドリブン・メトリクス (成果主導型の評価指標)
サイバーセキュリティ・インシデントの発生頻度は高まり、それによる企業への影響も悪化し続けていることで、サイバーセキュリティ戦略に対する取締役や経営幹部の信用も低下しています。アウトカム・ドリブン・メトリクス (ODM:成果主導型の評価指標) は、ステークホルダーがサイバーセキュリティへの投資とそれによって得られる保護レベルを直接結びつけて理解できるため、採用される機会が増えています。
アウトカム・ドリブン・メトリクスは、経営陣やビジネス・リーダーと合意済みの保護レベルを、非IT系の経営陣にも説明できる分かりやすい言葉で表したものであり、妥当性のあるサイバーセキュリティ投資戦略を策定するための中心的な役割を果たします。これにより、保護レベルを変更するための直接的な投資をサポートするリスク選好について、信頼性と妥当性の高い表現が提供されます。
トレンド3:人間によるサイバーセキュリティ・リスクの低減を目的としたセキュリティ行動/文化促進プログラムに対する注目の高まり
セキュリティ・リーダーは、意識向上から行動変化の促進に重点を移すことが、サイバーセキュリティ・リスクの低減に役立つと認識しています。2027年までに、大企業の最高情報セキュリティ責任者 (CISO) の50%が、サイバーセキュリティに起因する摩擦を最小限に抑え、コントロールの採用を最大限に高めるべく、人間中心のセキュリティ設計プラクティスを採用するとGartnerはみています。セキュリティ行動/文化促進プログラム (SBCP) は、従業員の行動に関連するサイバーセキュリティ・インシデントを最小限に抑えるための全社規模のアプローチをまとめたものです。
アディスコットは次のように述べています。「SBCPを採用している組織では、従業員のセキュリティ・コントロール採用率の向上、セキュリティ意識の低い行動の減少、スピードとアジリティの向上、などの成果が出ています。また、従業員がサイバーリスクに関する意思決定を独自に行えるようになるため、サイバーセキュリティ・リソースの有効活用につながっています」
トレンド4:レジリエンス・ドリブンかつリソース効率の高いサードパーティ・サイバーセキュリティ・リスク・マネジメント
サードパーティでサイバーセキュリティ・インシデントが発生することは避けられないため、セキュリティ・リーダーは、レジリエンス指向の投資に重点を置き、契約前のデュー・デリジェンス活動から脱却する必要に迫られています。Gartnerは、自社の最重要資産を継続的に保護するために、サードパーティ・サービスのリスク・マネジメントを強化し、重要な外部パートナーと相互に有益な関係を構築することをセキュリティ・リーダーに推奨しています。
「サイバーセキュリティ・リスクが最も高いサードパーティとの契約については、まずコンティンジェンシー・プランを強化することから始めます。次に、サードパーティ固有のインシデント対応プレイブックを作成し、机上演習を実施し、例えば適時のアクセス権取り消しやデータ消去などを含めた明確なオフボーディング戦略を定義します」(アディスコット)
トレンド5:継続的な脅威エクスポージャ管理 (CTEM) プログラムに対する機運の高まり
継続的な脅威エクスポージャ管理 (CTEM) は、組織がデジタル資産や物理的資産へのアクセス、エクスポージャ、悪用可能性を継続的に評価するために使用できる、実用的かつ体系的なアプローチです。評価と修復の範囲をインフラストラクチャのコンポーネントではなく、脅威のベクトルやビジネス・プロジェクトに合わせることで、脆弱性やパッチ適用不可能な脅威を浮き彫りにします。
2026年までに、継続的な脅威エクスポージャ管理 (CTEM) プログラムに基づいてセキュリティ投資の優先順位を設定している組織は、セキュリティ侵害を3分の2減らせるようになるとGartnerはみています。セキュリティ・リーダーは、ハイブリッド・デジタル環境を継続的に監視し、脆弱性の早期特定と最適な優先順位付けを行うことで、組織のアタック・サーフェス (攻撃対象領域) とそのレジリエンスを強化する必要があります。
トレンド6:サイバーセキュリティの成果向上における役割拡大を支えるアイデンティティ/アクセス管理 (IAM) の進化
より多くの組織がアイデンティティ・ファーストのセキュリティ・アプローチを採用するにつれて、セキュリティの重点は、ネットワーク・セキュリティやその他の従来型コントロールから、アイデンティティ・アクセス管理 (IAM) に移行しています。IAMは、組織のサイバーセキュリティ成果、ひいてはビジネス成果に寄与する重要な要素となっています。Gartnerはセキュリティ・プログラムにおけるIAMの役割が拡大する一方で、基本的なIAMのハイジーン (衛生) とレジリエンス向上に向けたIAMシステムの強化に注力する必要があるとみています。
セキュリティ・リーダーは、アイデンティティ・ファブリックの強化と活用に重点を置き、アイデンティティ脅威検知/対応 (ITDR) を活用して、IAMのケイパビリティがセキュリティ・プログラム全体を幅広くサポートする取り組みを推進することが重要です。
Gartnerのサービスをご利用のお客様は、リサーチノート「Top Trends in Cybersecurity for 2024」(英語) で詳細をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products
ガートナー セキュリティ&リスク・マネジメント サミットについて
2024年7月24~26日にグランドニッコー東京 台場にて開催するガートナー セキュリティ&リスク・マネジメント サミットでは、セキュリティ/リスク・マネジメントのリーダーおよびセキュリティの担当者に向けて最新の知見やアドバイスを提供します。コンファレンスのニュースと最新情報は、Xでご覧いただけます (#GartnerSEC)。
日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、ニュースルームよりご参照ください。
