セキュリティ対策は「なぜ」必要で、「何を」「どこで」「どのように」すべきなのか
そもそも「なぜ」セキュリティ対策が必要なのでしょうか。「脅威/リスク」が存在するためです。サイバー攻撃や災害といった外部からの脅威 (図1では「アウトサイダー」)、従業員によるデータ漏洩や不正といった内部の脅威 (図1では「インサイダー」)、そして、昨今重要性を増している個人データに関する「プライバシー」に関するリスクに分類され、いずれも企業ビジネスを揺るがしかねないインパクトを持っています。
では「何を」すべきなのでしょうか。シンプルには「アダプティブ・セキュリティ」がその答えです。米国国立標準技術研究所 (NIST) のCSF (サイバーセキュリティ・フレームワーク) に沿った取り組みを進める組織が国内外で増えていますが、それも「アダプティブ・セキュリティ」の原則を適用する例と言えます。この原則自体は今後も変わりません。
最後にそうしたセキュリティを「どこで」「どのように」実装すべきでしょうか。ITインフラの構成要素も、サーバやPCのみであった時代から、現在ではクラウドやモバイルが当たり前となり、いわゆる「モード1」と「モード2」の両方のシステムが稼働、さらには「New World」とも呼ぶべき高度なデジタル社会に進もうとしています。企業はそうしたテクノロジの進展を踏まえたセキュリティ課題に対して、非常に高度な判断を求められる状況に直面しています。
前出の礒田は次のようにも述べています。
「企業は、参照モデルを活用することで、高度化する新たなデジタル社会に向けて、自社におけるセキュリティとリスク・マネジメントの重要な論点を洗い出し、それに対する取り組みの方向性を決めるためのディスカッションを開始することが可能となります。例えば、『アダプティブ・セキュリティ』軸で見た場合、Predict (予測) に関して今最も重要になっているのは、セキュリティ組織/人材の再定義です。ではどのように再定義すればよいかというと、『テクノロジの進展』軸、あるいは『脅威/リスク』軸も併せて考えると、その答えに向けた議論をリードすることができます。サイバーセキュリティ人材が不足している、と言われることが多いですが、それだけではないことが理解できると思います。あるいは『テクノロジの進展』軸で見た場合、大半の企業では既にモダンIT (例えばクラウド) への対応は必須となっていますが、これと併せて『脅威/リスク』軸や『アダプティブ・セキュリティ』軸のカットで見ていくと、クラウドに関連したセキュリティについて、さらに具体的かつ現実的な議論が可能になります。議論の結果、識別される2019年の重要論点、取り組み、およびそのプライオリティは、各企業で変わってくるはずです」
ガートナーは来る8月5~7日、ANAインターコンチネンタルホテル東京 (東京都港区) において「ガートナー セキュリティ & リスク・マネジメント サミット 2019」を開催します。本サミットでは、「新たな時代の幕開け~セキュリティのファンダメンタルを確立せよ~」をテーマに、新たな時代に向けて、セキュリティ/リスク・マネジメントのリーダーがどのようにリーダーシップを発揮し、何をすべきなのかについて、実践的な提言を行います。本プレスリリースに関連した内容は、前出の礒田が「日本におけるセキュリティの重要アジェンダ:2019年」(8月6日 9:15~10:00、GK2) で解説します。
ニュースや最新情報は、ガートナーのTwitterでもご覧いただけます。
ガートナーのサービスをご利用のお客様は、ガートナー・レポート「日本におけるセキュリティとリスク・マネジメント分野のリサーチ概要:2019年」(INF-19-21) にて、詳細をご覧いただけます。
