ガートナー ジャパン
メインメニュー ホーム リサーチ コンサルティング ベンチマーク エグゼクティブ プログラム イベント 会社情報 メインメニュー
SAMPLE RESEARCH

サンプル・リサーチ

2015年の展望:企業はセキュリティやリスクについて何を考えるべきか

インフラストラクチャ (INF) /INF-15-26
Research Note
M. Ishibashi
掲載日:2015年7月6日/発行日:2015年3月5日

本リサーチ分析レポートのテーマに関心をお持ちの方は、2015年7月13(月)〜15日(水)に開催する「セキュリティ & リスク・マネジメント サミット 2015」のページを是非ご覧ください。(イベント終了後も開催実績としてご覧いただけます)


デジタル・ビジネスに向けた動きが日本国内でも始まりつつあるが、日本企業のセキュリティやリスクの分野では、サイバーセキュリティ、ネットワーク保護、アクセス管理などにおいて、いまだ課題が多い。本リサーチノートでは、日本企業のIT部門のリーダーおよびセキュリティやリスクの責任者が考慮すべきトレンドと展望を述べ、提言を行う。


要約


主要な所見

  • セキュリティ/リスク分野の解釈や表現、また外部および内部からの攻撃に対抗するための設計、実装/設定や運用/監視は難しいものであるが、古くから在籍する情報システム部門の要員が「手探りの設定」で運用や監視を行っているのが実情である。すなわち、セキュリティの領域は、日増しにその重要性と複雑性が高まってきているにもかかわらず、専門家不在の状況であり、近年のインシデントに対処できておらず、リスク・コントロールはほとんどの企業において難しいものとなっている。
  • 日本国内において「情報資産の分類・評価」を実施している企業は21%にしか満たず、管理が行き届いていないデータ/デバイスが大量にある。
  • ペネトレーション・テストなどによるサーバ類の診断では、サーバは毎年増えるわけではないことから、一度「5段階の3以上」の評価を獲得すると、次年度も3以上の評価が得られてしまう。さらに、IT部門は、それが全社のシステムの診断結果であるかのように誇示する傾向にある。

推奨事項

  • 内部統制やサイバーセキュリティに関して、IT部門の要員による対策のみでは限界があるため、外部からセキュリティ専門家を登用する。その際、その人材が有効なスキルを有しているかどうかを判断するために、例えば昨今のサイバーセキュリティの動向について明確に分かりやすく説明できるか、「サイバー・キル・チェーン」の手法を習得しているか、さらにCSIRT (シーサート:Computer Security Incident Response Team、コンピュータ・セキュリティにかかわるインシデントに対応するための組織の総称)構築の経験者であるかどうか、といった具体的なことを確認する。
  • 「機密データ」に関するそもそもの定義を見直す。個人の主観として「機密」なのか、あるいは、規定による「機密」なのか。規定が複雑過ぎると、解釈が分かれてしまうこともあり得るため、規定を単純化し、誰でも理解できるものにする。
  • 外部の専門家の診断によって「5段階の1」程度の評価になったとしても、それが自分たちの現状の姿や能力であると真摯に受け止める。コストを掛けて「外向けWebサイト関連の業務テスト」(例えばソースコードの診断)を受け、ソースコードを改修し、その後、再度業務テストを実施し、評価が1から3以上に確実に上がるようにする。


目次



戦略的プランニングの仮説事項

  • 2018年までに、セキュリティやリスク管理部門に新たに専門家を採用した企業の60%は、セ キュリティ製品/サービスの導入後の運用や監視を成功させ、委託先に支払うセキュリティ関連のコストを削減する。
  • 2018年までに、政府/企業の保有する機密データのうち、所有者が不明な機密データ(迷子扱 いのデータ) が40%に達する。
  • 2017年まで、セキュリティ診断を受けるIT部門のうちの70%は、自社に都合の良い評価結果を 出すベンダーの診断を受ける。

分析

近年、セキュリティ対策やリスク管理は、ますます重要かつ複雑になっている。脅威は企業の予想をはるかに超えたものになっているが、多くの企業は、昨今の情勢と照らし合わせて何をすべきかについて、必ずしも有効な指針を持っていない。脅威がもたらす被害は、最悪の場合、企業の存亡にかかわるものとなっており、経営者やITリーダーは、将来に向けたセキュリティ/リスクに関する取り組みを、これまで以上に強化する必要がある。

ガートナーでは、今後「デジタル・ビジネス」が重要になると考えているが、デジタル・ビジネスにおいては、テクノロジがビジネスのあらゆる場面において利用される。この動きは、今後、国内外で時間をかけながら拡大していく。しかし、テクノロジの利用が拡大するということは、同時に、テクノロジがもたらす脅威も拡大することにほかならない。そのことを理解しないままテクノロジの導入を進めると、リスクを増大させる恐れがあり、結果として、デジタル・ビジネスも「絵に描いた餅」になってしまう。

日本企業のIT部門のリーダー(CIO)や最高情報セキュリティ責任者(CISO)などは、まずはこのような変化を自分たちのこととして捉え、大局的な観点で戦略の在り方を再点検すべきである。周りを見渡しても、ビジネス・サイドの変化が早過ぎて、既にセキュリティやリスク関連の決断が後手に回り始めていると感じているIT部門は多い。時として、セキュリティやリスク担当者の決断が、ビジネスを止めることにもなりかねない。ビジネス・サイドにビジネスを「止める」のか「進める」のか、明確な判断を示唆できるようにする必要がある。



要旨


企業のCIOやCISOは、セキュリティとリスクがITに及ぼす影響、および企業リスクを把握し、経営陣に的確に伝える責任がある。テクノロジやアーキテクチャの進化はもとより、大局的な観点でのトレンドに目を向け、粘り強く対処していくことが求められる。



戦略的プランニングの仮説事項


戦略的プランニングの仮説事項:2018年までに、セキュリティやリスク管理部門に新たに専門家を採用した企業の60%は、セキュリティ製品/サービスの導入後の運用や監視を成功させ、委託先に支払うセキュリティ関連のコストを削減する。

分析:石橋 正彦

主要な所見:

  • セキュリティ/リスク分野の解釈や表現、また外部および内部からの攻撃に対抗するための設計、実装/設定や運用/監視は難しいものであるが、古くから在籍する情報システム部門の要員が「手探りの設定」で運用や監視を行っているのが実情である。このような状態ではリスク・コントロールは難しく、専門家不在では近年のインシデントに対処できない。
  • セキュリティ・オペレーション・センター(SOC)経験者や、ベンダー、代理店などにおけるセキュリティに関するインシデント対応の経験者は、どこにも書かれていない設定や監視の手法に精通しており、次に起こり得る被害を予測できる。

市場への影響:

昨今の内部統制やサイバーセキュリティに関して、IT部門の(ほぼ素人同然の)要員が手分けして行う対策には限界が来ている。そもそも、セキュリティやリスクへの対応は、「未知の事象への対策を継続する高度な知的作業」となるという難しさを内在している。肝心な設定や監視のしきい値を分からずに運用しているIT要員は、「手探りの設定」で監視を始める。設定は、導入当時に代理店が設定したままの状態であることが多く、監視をしてもアラートが上がらず、マルウェアの被害が発生する。しかし、SOC経験者や、ベンダー、代理店などにおけるセキュリティに関するインシデント対応の経験者は、どこにも書かれていない設定、監視の手法、次にどのような被害が出るのかを知っている。彼らは、経験からどこにも書かれていないことに精通しているのである。

ガートナーITデマンド・リサーチが2014年5月に実施した調査によると、日本国内では、このような経験者(専門家)を外部から採用することも含め、CSIRTを構築した企業は、5%にも満たない。しかしながら、2018年までに、セキュリティやリスクの管理部門にこのような専門家を新たに採用した企業の60%は、セキュリティ製品/サービスの導入後の運用や監視を成功させ、委託先に支払うセキュリティ関連のコストを削減するであろう。

セキュリティ専門家人材は、この数年ホットな話題であり続けているものの、国内では、サイバーセキュリティ「人材」の転職や採用は活発ではない。特に、ベンダーやシステム・インテグレーター(SI)などから一般企業に転職する人材は少ない。海外のように、IT部門向けの採用が活発な場合には、セキュリティ専門家が一般企業のIT部門に加わることも自然である。

なぜ、日本企業においてセキュリティ専門家の採用が少ないのか。例えば、そこには、IT部門の給与体系の問題がある。サイバーセキュリティ専門家としてヘッドハンティングされた人材は、当然年俸が高い。しかし、「専門家に対し、既存のIT部門要員よりも高い給与を支払うべきか」という日本企業ならではの人事面の問題がある。また、SOC経験者などサイバー関連の解析要員は、専門企業においては力を発揮できるものの、一般企業のIT部門に配属された場合、どのような職務(日々の作業や業務部門との会議)に就かせるべきかをCIOやCISOが決められない。CIOやCISOは、サイバーセキュリティ専門家をマネジメントできないという悩みを抱えているのである。それでもCIOやCISOは、積極的に外部から人材を採用し、外部の知見を活用する必要がある。

推奨事項:

  • 内部統制やサイバーセキュリティに関して、IT部門要員による対策のみでは限界があるため、セキュリティ専門家を外部から登用する。その際、その人材が有効なスキルを有しているかどうかを判断するために、例えば昨今のサイバーセキュリティの動向について明確に分かりやすく説明できるか、「サイバー・キル・チェーン」(「『サイバー・キル・チェーン』を理解する」INF-14-184、2014年12月19日付参照)の手法を習得しているか、さらにCSIRT構築の「経験者」であるかどうか、といった具体的なことを確認する。
  • SOC経験者や、ベンダー、代理店などにおけるセキュリティに関するインシデント対応の経験者の場合、しばしば業務が属人化しがちである。彼らは、通常、自分たちの経験、すなわち、どこにも書かれていない設定、監視の手法、次に起こり得る被害といった自らが持つ知見やノウハウを、プロアクティブに他のIT部門要員に引き継ごうとしない。したがって、一般企業がいわゆる経験者を採用した際は、業務が属人化しないよう、その専門家の分身を意識的に育てる。

関連リサーチ:

「『サイバー・キル・チェーン』を理解する」(INF-14-184、2014年12月19日付)



戦略的プランニングの仮説事項:2018年までに政府/企業の保有する機密データのうち、所有者が不明な機密データ(迷子扱いのデータ)が40%に達する。

分析:石橋 正彦

主要な所見:

  • 企業の中にはデバイスが氾濫している。また、データの所在も、デバイスからサーバ、オンプレミスからクラウドにまで多様化し、セキュリティ上の参照経路も異なる。
  • 日本国内において「情報資産の分類・評価」を実施している企業は、21%にしか満たず、大量のデータ/デバイスに管理が行き届いていない。

市場への影響:

企業において所有者が不明なファイルは、多くの場合、「ファイル・サーバ内の不要ファイル」として扱われる。また、時に、その重要性が不明なことから、「機密風」ファイル(機密かどうか分からないファイルのこと。 備考3参照)という扱いで処理されることもある。不要かどうかは、所有者が分かれば確認できる。しかし、所有者が分からないと、それが分からない。つまり「迷子」の状態にある。

近年のモノのインターネット(IoT)などのトレンドを受け、企業の中にはデバイスが氾濫し、データの所在も、デバイスからサーバ、オンプレミスからクラウドにまで多様化し、セキュリティ上の参照経路も異なる。例えば、ベネッセコーポレーションの個人情報漏洩事件のように、企業が自社デバイスを管理していても、そのデバイスに接続するUSBやスマートフォンまで管理することは容易ではない。氾濫するデバイスの管理をめぐる議論が始まり、2018年には、データ管理の対象範囲が広がり過ぎることによって、管理が行き届かなくなるであろう。さらに、不要かどうかはもとより、機密データなのか、なぜ機密であるのかも分からない、用途や所有者が不明なファイルが全体の40%に達する。

デバイスが増え過ぎた結果、そこに接続されるデバイス(USBやスマートフォンなど)上のファイルにまで管理が行き届かなくなる。さらに、各種フォルダ、ファイル、文書のデータは、一応は「機密風」として扱ったとしても、なぜ機密なのかが分からない。そうしたデータに、IT部門は、四苦八苦する。

ガートナーITデマンド・リサーチが2014年5月に実施した調査では、「情報資産の分類・評価」を実施している日本企業は、21%にしか満たなかった。これは、多くの企業において大量のデータ/デバイスに管理が行き届いていないことを意味している。また、将来的に、IoTやクラウド・ストレージを積極的に採用する上での大きなボトルネックになる可能性がある。現在のIoTブームに乗じて、新たなビジネス成長という光の側面ばかりに目を向けていると、思わぬ落とし穴に陥る可能性がある。実際、多くの場合、新しいトレンド、すなわち、クラウド、モバイル、ビッグ・データ、IoTといった観点において、セキュリティ対策が追い付いていない状況が見られる。特に、デジタル・ビジネスを推進する際のデバイスや多様化したデータに関するセキュリティの対応が、今後、大きく後手に回るリスクがある。複数のデバイスを積極的に採用しようとする企業や、アクセス経路が複数ある企業は、注意が必要である。

推奨事項:

  • 企業のIT部門は、誰が、どのデバイスで、どのデータにアクセスできるのか、マトリクスを構築して管理する「ツールキット:セキュリティ・プロセスの正式導入」SRM-09-05、2009年7月17日付の中の「RACIのマトリクス」を使用し、タスク名をデータやフォルダ、デバイスにして利用することができる)。このマトリクスは、グループ単位(所属部署単位)に構築することが望ましく、まったく経験がない企業は、細か過ぎる定義をしない。
  • 機密データに関するそもそもの定義を見直す。個人の主観として「機密」なのか、あるいは、 規定による「機密」なのか。規定が複雑過ぎると、解釈が分かれてしまうこともあり得るため、規定を単純化し、誰でも理解できるものにする。

関連リサーチ:

「アダプティブ・アクセス・コントロールのテクノロジ概要」(INF-14-164、2014年11月10日付)



戦略的プランニングの仮説事項:2017年までに、セキュリティ診断を受けるIT部門のうちの70%は、自社に都合の良い評価結果を出すベンダーの診断を受ける。

分析:石橋 正彦

主要な所見:

  • IT部門は、価格が低い診断を積極的に受けているが、価格が高い診断(監査類)は、受けていないことが多い。そのため、外部監査を受けた企業は、いまだ30%に満たない。
  • ペネトレーション・テスト(備考1参照)などによるサーバ類の診断では、サーバは毎年増えるわけではないことから、一度「5段階の3以上」を獲得すると、次年度も3以上の評価が得られてしまう。さらに、IT部門は、それが全社のシステムの診断結果であるかのように誇示する傾向にある。

市場への影響:

セキュリティ診断 (備考2参照) は、範囲が広く、安価な「ペネトレーション・テストによるサーバ類の診断」から、コストが掛かる「(外部監査を利用した)IT部門のシステム管理者向け監査」など多岐にわたる。また、人的作業がある程度残り、すべてが機械化されているわけではない。例えば、人的作業で残る作業は「モニタリングとパッチの診断」である。いわゆる、人がある程度、根気強く定常的に判断するものである。これらの診断も、社外的には、あくまで「セキュリティ診断」である。前述の「サーバ類」の診断は、毎年サーバが増えるわけではないため、一度「5段階の3以上」を獲得してしまうと、次年度も「3以上」の評価が得られてしまう。

この結果を経営陣向けの説明に濫用するIT部門が、2017年には、70%に達してしまう。他のコストが掛かる診断では「5段階の1」程度にしかならないことを知っているCIOやCISOは、無難な「3以上」が確実に取れる診断に固執してしまう。

セキュリティ診断の市場は、価格に依存しやすい。すなわち、IT部門側は、安価な診断を積極的に受けているが、価格が高い診断(監査系)を受けていない企業が多い。ガートナーITデマンド・リサーチが2014年5月に実施した調査によると、外部監査を受けた企業は、いまだ30%に満たない。

今後、リスク市場では、「外部の専門家が実施する診断(監査)」が必須となる。つまり、ペネトレーション・テストのような手法で、一度だけ実施するテストで発見できる脆弱性には限りがあるのである。また、外部からサイバー攻撃を受け、ハッキングの被害に遭うような脆弱性は、「外向けWebサイトのソースコード・スキャンや診断」なども必要であるが、この診断は高価であり、初回の診断では「5段階の1」程度の評価しか得られず、高得点は期待できない。無難に3以上の評価が得られる形骸化した診断は、ある意味コスト的にも無駄であることから、新規でサーバ類が増えていない場合は、その年度の診断を見送るなど、メリハリを付けることが必要である。外部の専門家が実施する地味な手作業ベースの診断を、企業は受ける必要がある。

推奨事項:

  • 企業のIT部門は、ペネトレーション・テストによるサーバ類の診断に固執せず、外部の診断(監査)を受ける予算を獲得しておく。また、プラットフォームを対象にしたペネトレーション・テストのみではなく、他のレイヤも対象にした、手作業を含む監査・診断を受ける。
  • コストが掛かる外部の専門家の診断は、「5段階の1」程度の評価しか得られなくてもめげずに、コストを掛けて「外向けWebサイト関連の業務テスト」(例えば、ソースコードの診断)を受け、ソースコードを改修し、その後再度業務テストを実施し、評価が1から3以上に確実に上がるようにする。

関連リサーチ:

「セキュリティ検知をすり抜ける攻撃には、テスト範囲の拡大、モニタリングの改善、慎重なパッチ適用により対抗せよ」(INF-14-72、2014年5月30日付)


備考1
ペネトレーション・テスト

1998年頃に米国ISSが開発したテスト手法。Unix OSのマシンを中心に、ハードウェアの設定の不備や、デフォルトのコンフィギュレーションを、マシン1台単位でスキャンするテスト。後に、Windowsやネットワーク機器も対象とするようになり、最近では、ネットワーク経由のサービスでの診断も加わった。これらのツールには5段階評価という概念がないため、日本では2000年以降、テストを実施するSIが、「診断機器類に対して、総合的にどの程度か」をグラフ化して、5段階評価で報告する場合がある。

備考2
セキュリティ診断

日本国内で、商用としていわゆる「セキュリティ診断」が最初に始まったのは、1980年代の汎用機の「特権IDの払い出し」や入退出管理などにおいてである。その後、1990年代にUnix系の特権IDの診断が始まり、2000年頃になるとオープン系のペネトレーション・テストの診断が始まった。海外では2005年頃に、Webサイトなどのソースコード診断が始まり、2010年頃より、品質管理の一環として、ブラックボックス・テストなど、開発段階(単体テスト、結合テスト、総合テスト)におけるソースコードの診断が始まった。日本でのソースコード診断の利用は、まだ少ない。

一方監査系では、2000年に海外のコンサルティング・ファームによるセキュリティ診断が始まり、日本では2005年の個人情報保護法の施行により、情報セキュリティ・マネジメント・システム (ISMS) (現ISO 27001)を利用した診断が普及した。海外では、ISO 27001の診断はあまり利用されていない。

備考3
「機密風」ファイル

本リサーチノートにおいての用語。機密ファイルなのか否か判別が付かないが、念のために取り扱いを「機密」にするファイルを指す。ファイルは、ファイル名からおおよその機密内容が分かるものの、機密フォルダ内に保存された一般的な内容の文書の場合、どのようにそのファイルを処理すべきか、所有者が分からないために決められない。今後、IoT、クラウド・ストレージなどが普及すると、このようなファイルの後始末が本格的に始まるであろう。また、IT部門が、安全策として付与した暗号を忘れ、復号化できない「迷子」状態の事故ファイルも多く発生するであろう。



INF: INF-15-26
※本レポートの無断転載を禁じます。


←INDEXに戻る

 

gartner.com
TOP OF PAGE
Copyright