2021～2022年のサイバーセキュリティに関する展望のトップ8

プライバシー規制への対応、ランサムウェア攻撃、サイバー・フィジカル・システム、取締役会レベルの監督および精査は、セキュリティ／リスク担当リーダーにとっての優先課題になりつつあります。

セキュリティ／リスク担当リーダーは、「利用者が悪質な攻撃から物理的被害を受けないようにするにはどうしたらよいか」といった質問を受けることを想定し、将来に向けて備える必要があります。

サイバー・フィジカル・システムには、自律走行車やデジタル・ツインなどのテクノロジのために、サイバー世界と物理世界を融合するシステムが含まれます。このようなサイバー・フィジカル・システムの普及によって、企業には新たなセキュリティ・リスクが生じており、攻撃者がこうしたシステムにどのように狙いを定めるかについては、今後数年間にわたり最も重要な展望の1つとなるでしょう。

ガートナーのアナリストでディレクターのサム・オーヤイー (Sam Olyaei) は、Gartner IT Symposium/Xpo™ 2021のセッションで次のように述べました。「私たちは古い習慣にとらわれており、何でも従来と同じように対処しようとします。このような状況を続けることは不可能です。私たちは、自らの考え方、理念、プログラム、アーキテクチャを確実に進化させる必要があります」

セキュリティ／リスク・マネジメントは、取締役会レベルの重大事項となっています。セキュリティ侵害の件数は増加し、その内容も高度化していることから、消費者を保護するための規制強化に拍車がかかり、セキュリティはビジネス上の意思決定の最重要課題に位置付けられています。

詳細を見る：2021年のセキュリティとリスクのトップ・トレンド

ガートナーのアナリストは、これからの数年間で、分散化、規制、安全性への影響がさらに拡大すると予測しています。今後1年間のロードマップを策定するにあたり参考となる戦略的プランニングの仮説事項を以下に説明します。

1. 2023年末までに、世界人口の75%の個人情報が、最新のプライバシー規制の対象となる。

一般データ保護規則 (GDPR) は、消費者のプライバシーを守る初めての主要な法律でしたが、その後すぐにブラジルの一般個人データ保護法 (LGPD) や米国のカリフォルニア消費者プライバシー法 (CCPA) などが制定されました。これらの法規制の適用範囲を鑑みると、企業はさまざまな管轄地域で複数のデータ保護法に対処することになり、一方で顧客はどのようなデータが収集され、どのように使用されているのかを把握したいと考えるでしょう。それはつまり、プライバシー管理システムの自動化に注力する必要が生じるということでもあります。GDPRをベースにしてセキュリティ・オペレーションを標準化し、個々の管轄地域に合わせて調整すべきです。

2. 2024年までに、サイバーセキュリティ・メッシュ・アーキテクチャを導入する組織は、セキュリティ・インシデントによる財務への影響を平均で90%低減させる。

現在、組織はさまざまな場所で多様なテクノロジをサポートしているため、柔軟なセキュリティ・ソリューションが必要になります。サイバーセキュリティ・メッシュは、従来のセキュリティ境界の外側にあるアイデンティティも幅広く網羅でき、組織の包括的な視点をもたらします。また、リモートワークのセキュリティ向上にも役立ちます。こうした需要が、今後2年間における導入を促すでしょう。

3. 2024年までに、企業の30%は、クラウド・デリバリ型セキュアWebゲートウェイ (SWG)、クラウド・アクセス・セキュリティ・ブローカ (CASB)、ゼロトラスト・ネットワーク・アクセス (ZTNA)、サービスとしてのファイアウォール (FWaaS) の各機能を同じベンダーから採用する。

組織は最適化と集約に向かっています。セキュリティ担当リーダーは多くの場合、数十種類のツールを管理していますが、10種類未満まで集約しようと計画しています。SaaSが望ましいデリバリ手法となり、集約はハードウェアの導入期間に影響を及ぼすでしょう。

4. 2025年までに、組織の60%は、サードパーティとの取引やビジネス契約における主要な決定要因として、サイバーセキュリティ・リスクを用いる。

特にベンチャー・キャピタリストなどの投資家は、機会を評価する際の重要な要素として、サイバーセキュリティ・リスクを用いています。また、買収／合併やベンダーとの契約など、ビジネス取引の際にサイバーセキュリティ・リスクを重視する企業が増えています。その結果、質問やセキュリティ評価を通じて、パートナーのサイバーセキュリティ・プログラムのデータを求めるリクエストが増加しています。

5. 2025年末までに、ランサムウェアへの支払い、罰金、交渉の規制を目的とした法案を可決する国家の割合は、2021年の1%未満から30%に上昇する。

現在もランサムウェアの支払いには幅広い規制が適用されている可能性がありますが、セキュリティ・エキスパートは、支払いに対するより積極的な取り締まりを予期すべきです。ほとんど規制されていない暗号通貨市場を利用する場合、身代金の支払いには倫理的、法的、道徳的な影響があり、そのインパクトを考慮することが極めて重要となります。支払いをする (または支払いをしない) という判断は、こうしたすべての懸念に対応できる、部門横断型チームが担うべきです。

今すぐ聴く (英語)： Are You Prepared for a Ransomware Attack?

6. 2025年までに、取締役会の40%は、適格な取締役が監督する専任のサイバーセキュリティ委員会を設置する。

サイバーセキュリティは取締役会の (継続的な) 最重要課題となっていることから、取締役会レベルのサイバーセキュリティ委員会の設置や、より厳格な監督および精査の実施が予想されます。これにより、組織全体のサイバーセキュリティ・リスクの可視性が高まるとともに、取締役会への報告には新たなアプローチが必要となります。報告の詳細は、個々の取締役の経歴や経験に左右される可能性があります。メッセージを伝える際には、価値、リスク、コストに焦点を絞るべきです。

7. 2025年までに、CEOの70%は、サイバー犯罪、異常気象、市民の不安、政情不安などによる、同時発生的な脅威を切り抜けるために、組織的レジリエンスの文化を必須とする。

幅広いセキュリティ環境に対応するために、サイバーセキュリティを超えて組織的レジリエンスへと移行する必要があります。デジタル・トランスフォーメーションによって脅威環境が複雑化すると、プロダクトやサービスの生産方法にも影響が及びます。組織的レジリエンスと目標の定義、およびそれらに影響を与えるサイバーリスクの一覧表の作成に取り組むべきです。

8. 2025年までに、攻撃者はオペレーショナル・テクノロジ環境を武器にして、人的被害を与えられるようになる。

マルウェアがITからOTへと広がると、焦点はビジネス・ディスラプションから物理的被害へと移り、最終的には恐らくCEOが法的責任を負うことになります。資産中心型のサイバー・フィジカル・システムに注目し、適切な管理に対応できるチームを確実に配備すべきです。

【海外発の Gartner Articles】
本資料は、ガートナーが海外で発信している記事を一部編集して、和訳したものです。本資料の原文を含め Gartner が英文で発表した記事に関する情報は、以下よりご覧いただけます。
https://www.gartner.com/smarterwithgartner/