2021年6月11日
サイバーセキュリティと規制コンプライアンスは、企業の取締役会にとっての2大懸案事項になりました。中には、セキュリティとリスクの課題の精査を主眼として、サイバーセキュリティの専門家を取締役に直接迎える企業も出てきています。
この傾向は、ガートナーの2021年セキュリティ/リスク・トレンドの 8つのうちの1つに過ぎません。このほかの多くのトレンドは、昨今のセキュリティ侵害や新型コロナウイルス感染症 (COVID-19) によるパンデミックなどに起因して生じています。
ガートナーのアナリストでバイス プレジデントであるピーター・ファーストブルック (Peter Firstbrook) は、次のように述べています。「2020年には、一般的な企業 の『インサイド・アウト (内から外へ)』化が進みました。ニュー・ノーマル (新たな常態) の実体が明らかになるにつれ、すべての組織に、常時接続された防御体制の確立と、リモートユーザーが高めるビジネス・リスクを明確にしてセキュリティを維持することが求められています」
2021年のセキュリティ/リスク・トレンドでは、まだ広く認識されていないものの、業界に広範な影響を及ぼし大きな潜在的破壊力を持つと予測される、セキュリティ・エコシステムの継続的な戦略的シフトを明らかにします。
サイバーセキュリティ・メッシュとは、分散化が進むデジタル資産とユーザーをサポートする必要性が高まっている中で、スケーラビリティ、柔軟性、信頼性の高いサイバーセキュリティ・コントロールに対する最新の分散型アーキテクチャのアプローチです。
COVID-19によってデジタル・ビジネスが加速され、従来の企業内インフラストラクチャの枠外に多くのデジタル資産 (そして従業員も) が置かれるという傾向も加速しました。さらに言うと、サイバーセキュリティ・チームは、数多くの形態のデジタル・トランスフォーメーションのためのテクノロジや他の最新テクノロジに対しセキュリティを確保するよう求められています。このような状況に対応するためには、組織が未来へと安全に向かえるようにする、柔軟性、俊敏性、スケーラビリティ、コンポーザビリティに優れたセキュリティ・オプションが必要となります。
大きな話題となるセキュリティ侵害の増加や、セキュリティ設定の複雑化に伴って、取締役会はサイバーセキュリティに対する警戒を強め、企業にとって甚大なリスクであると認識し、サイバーセキュリティ事案を集中協議する専任の委員会を設置しています。多くの場合、元CISOなど、セキュリティの実務経験がある取締役や第三者のコンサルタントが委員会を牽引しています。
CISOにとっては、セキュリティのためのサポートや人員の増加に加え、精査件数が増え、期待事項が高まると想定することができます。このことからも取締役会からより厳しい質問を受けることが考えられるため、CISOは自らのコミュニケーション能力を高める必要があります。
今日のセキュリティの現実を見ると、セキュリティ・リーダーが使用するツールが多すぎることが分かります。ガートナーの2020年CISO Effectiveness Surveyによると、78%のCISOは自社のサイバーセキュリティ・ベンダー・ポートフォリオにおいて16種類以上のツールを所有しており、12%のCISOに至っては、46種類以上ものツールを持っていると回答しています。セキュリティ・ベンダーの数が多すぎると、セキュリティ業務が複雑になり、セキュリティ要員が増えることになります。
大半の組織は、ベンダーの集約こそがコスト削減とセキュリティ向上の切り札だと認識しており、ベンダーの集約戦略に関心がある組織の割合は80%に上ります。大手セキュリティ・ベンダーは、より統合性に優れたプロダクトによって、このトレンドに対応しています。しかし、集約は決して容易ではなく、本格的な展開には往々にして数年かかります。多くの場合、このトレンドの原動力はコスト削減ですが、より達成可能なのはセキュリティ業務の合理化とリスクの低減です。
昨今の厳しい情勢により、新たな境界としてのアイデンティティに注目が集まっています。COVID-19の影響として生じたリモートワークやテクノロジ/文化面のシフトも、このトレンドを後押ししています。アイデンティティ・ファーストのセキュリティは絶対的な基準だと考えられていた時期もありましたが、より従来型のセキュリティ設定にとどまる組織が多かったため、注力されることはありませんでした。
パンデミックによって完全な (または大部分の) リモート化が迫られているため、このトレンドに対処することが急務になっています。テクノロジ/文化面がこのようにシフトした結果、「アイデンティティ・ファーストのセキュリティ」は今では、業務場所がリモートであるかオフィスであるかを問わず、情報を扱う全従業員をカバーすることが求められています。
デジタル・トランスフォーメーションが進展するにつれ、組織には「非人間」、すなわち「機械 (マシン)」の主体が増えています。換言すれば、マシン・アイデンティティを管理することが、セキュリティ戦略の要になったということです。マシン・アイデンティティ (ヒューマン・アイデンティティの対語) に含まれるのは、 ワークロード (コンテナ、アプリケーション、サービスなど) とデバイス (モバイル・デバイス、デスクトップ・コンピュータ、IoT/OTデバイスなど) があります。
デバイスの数は増加する一方です。そのため、マシン・アイデンティティ/証明書/機密情報を管理する全社的な戦略を確立することで、デジタル・トランスフォーメーションをより安全に実施できるようになります。
ガートナーの2021年CIOサーベイによると、従業員の64%が現在、在宅勤務可能であり、約40%は実際に在宅で働いています。COVID-19の影響により、かつては経営幹部、上級スタッフ、営業担当者に限られていたリモートワークが現在では広く利用されるようになりました。一部の従業員についてはパンデミック後もリモートワークを継続させる計画だとの回答もあります。このためにセキュリティの観点から必要なことは、リスク・ポリシーとツールを全面刷新して、マシンの存在を受け入れ、より良くリスクを軽減することです。
組織のセキュリティ態勢の検証を支援する新しい市場が登場しています。侵害/攻撃シミュレーション (BAS) は、組織のセキュリティ・コントロールを継続的に検証し、その妥当性を確認できるようにするものです。外部の脅威に対する組織の体制を検証するほか、専門的なリスク・アセスメントによって、機密データなどの価値の高い資産にとってのリスクを明らかにします。さらには、セキュリティ組織へのトレーニングも提供します。
これらのツールは、セキュリティ・コントロールの効果、コンフィギュレーションの問題、検出能力についての問題をいち早く特定する上で役立つでしょう。この種のアセスメントを幅広い攻撃手法にわたって継続的に実行できれば、ほぼリアルタイムなセキュリティ・アセスメント能力を向上させることができます。
プライバシー強化コンピュテーション (PEC) は、保管中や移動中のデータではなく、使用中のデータを保護して、信頼できない環境であっても安全にデータの処理、共有、国境を越えた移転、分析をできるようにする発展途上の手法です。
このテクノロジは、学術研究段階から実用化段階へと急速に進み、真の価値をもたらすようになっています。データ侵害によるリスクを減らしながら、新しい形でのデータ計算/共有を可能にします。
【海外発の Gartner Articles】
本資料は、ガートナーが海外で発信している記事を一部編集して、和訳したものです。本資料の原文を含め Gartner が英文で発表した記事に関する情報は、以下よりご覧いただけます。
https://www.gartner.com/smarterwithgartner/
ガートナーのサービスをご利用のお客様*にお勧めのレポート (英語):Top Security and Risk Management Trends 2021 by Peter Firstbrook
*契約されているサービスにより本ドキュメントを閲覧いただけない場合もございますので、ご了承ください。
ガートナーのエキスパートから提供する、確かな知見、戦略的アドバイス、実践的ツールにより、ミッション・クリティカルなビジネス課題の解決を支援します。
ガートナーのエキスパートから、さまざまな分野における最新の知見をご紹介
ガートナーのイベントに出席
ガートナー リサーチノート「2021年のセキュリティ/リスク・マネジメントのトップ・トレンド」をダウンロード
「Gartner News」はITの各分野を幅広くカバーした「皆様のビジネスとITを成功に導く情報」をお届けいたします。
ご登録のEメールアドレス宛てに、最新リサーチ情報、コンファレンス開催情報などをお届けいたします。
