ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、2023年におけるサイバーセキュリティの9つのトップ・トレンドを発表しました。セキュリティ/リスク・マネジメント (SRM) のリーダーがサイバーセキュリティ・プログラムを策定して実施する際には、これらのトレンドを踏まえて、テクノロジの要素と人間中心の要素における投資のバランスを見直す必要があります (グローバルでは2023年4月12日に発表しています)。
シニア ディレクター アナリストのリチャード・アディスコット (Richard Addiscott) は、次のように述べています。「人間中心のアプローチでサイバーセキュリティに取り組むことは、セキュリティ障害を減らすために不可欠です。セキュリティ・コントロールのデザインと実装において、およびビジネス・コミュニケーションやサイバーセキュリティのタレント・マネジメントを通じて人間に焦点を絞ることにより、ビジネス・リスクに関する意思決定や、サイバーセキュリティ・スタッフの定着率を改善できるようになります」
サイバーセキュリティ・リスクに対処し、効果的なサイバーセキュリティ・プログラムを維持するために、SRMリーダーは3つの重要な領域に注力する必要があります。すなわち、(1) セキュリティ・プログラムの成功と持続に不可欠な人材の役割、(2) 組織のデジタル・エコシステム全体にわたって可視性と即応性を向上させるセキュリティの技術能力、(3) セキュリティを損なうことなく俊敏性を高めるセキュリティ機能の運用方法の再構築です。
以下の9つのトレンドは、これらの3つの領域にわたり、SRMリーダーに幅広い影響をもたらします。
トレンド1:人間中心のセキュリティ・デザイン
人間中心のセキュリティ・デザインは、セキュリティ全体で従業員エクスペリエンスを向上させます。2027年までに、大企業の最高情報セキュリティ責任者 (CISO) の50%は、人間中心のセキュリティ・デザイン・プラクティスを採用して、サイバーセキュリティに起因する摩擦を最小限に抑えながら、コントロールを実装できるようになるでしょう。
アディスコットは次のように述べています。「従来のセキュリティ意識啓発プログラムでは、従業員のミスを減らすことができませんでした。CISOは過去のサイバーセキュリティ・インシデントを検証して、サイバーセキュリティに起因する摩擦の主な発生源を特定するとともに、人間中心のセキュリティを通じて従業員の負担の軽減が可能な部分や、リスクの軽減に対し摩擦が大きすぎるコントロールの見直しを判断する必要があります」
トレンド2:セキュリティ・プログラムを持続させるための人材管理の強化
従来、サイバーセキュリティのリーダーは、プログラムをサポートするテクノロジとプロセスの改善に着目しており、そうした変化をもたらす人材にはほとんど目を向けてきませんでした。有能な人材を引き付けて定着させるために、人間中心のアプローチでタレント・マネジメントに取り組んでいるCISOは、機能面および技術面の成熟度を向上させています。2026年までに、組織の60%が、サイバーセキュリティと雇用の体系的な課題に対応するために、外部からの採用を止め、社内人材市場からの「静かな採用」に移行するものとGartnerはみています。
トレンド3:サイバーセキュリティのオペレーティング・モデルを変革して価値の創出をサポート
テクノロジは、中央のIT部門が担うものから、ビジネス部門、コーポレート部門、フュージョン (融合) チーム、そして個々の従業員へと移行しつつあります。Gartnerの調査では、業務において何らかのテクノロジに携わっている従業員は41%に上ることが明らかになっており、この傾向は今後5年間にわたってますます強まるものと思われます。
アディスコットは次のように述べています。「ビジネス部門のリーダーは今では、サイバーセキュリティ・リスクを、解決すべきテクノロジの問題ではなく、管理すべき最重要のビジネス・リスクであると受け止めています。ビジネス成果の達成をサポートし、加速させることは、サイバーセキュリティの中核的な優先課題であり、依然として最重要課題です」
CISOは、サイバーセキュリティのオペレーティング・モデルを修正して、業務の進め方を統合する必要があります。従業員は、サイバーセキュリティ・リスク、財務リスク、レピュテーション (評判) リスク、競合リスク、法的リスクなど、さまざまなリスクのバランスを取る方法を把握すべきです。またサイバーセキュリティは、ビジネスの成果や優先課題に照らして成功を測定し、報告することで、ビジネスの価値へと結び付けることが求められます。
トレンド4:脅威エクスポージャ管理
現代の企業のアタック・サーフェス (攻撃対象範囲) は複雑であり、そのため疲労感を引き起こします。CISOは、継続的な脅威エクスポージャ管理 (CTEM) プログラムを実施することで、脅威にさらされている範囲を理解するための評価プラクティスを進化させる必要があります。2026年までに、CTEMプログラムに基づいてセキュリティ投資の優先順位を設定している組織は、セキュリティ侵害を3分の2減らせるようになるとGartnerは予測しています。
アディスコットは次のように述べています。「CISOは、CTEMアプローチを用いてテクノロジ脆弱性にとどまらずほかの事項も評価することで、脅威の評価プラクティスを絶えず改善し、進化する業務プラクティスに対応する必要があります」
トレンド5:アイデンティティ・ファブリック・イミュニティ
アイデンティティ・ファブリック、つまり、アイデンティティ管理が分散あるいはコンポーザブル型に進化する中で不完全な要素、誤設定された要素、または脆弱な要素が存在すると、その影響はアイデンティティ・インフラストラクチャ全体に広がります。2027年までに、アイデンティティ・ファブリック・イミュニティの原則に従うことで企業は新たな攻撃の85%を防ぎ、それによってセキュリティ侵害が財務にもたらす影響を80%削減できるようになります。
アディスコットは次のように述べています。「アイデンティティ・ファブリック・イミュニティは、アイデンティティ脅威検知/対応 (ITDR) によってファブリック内の既存および新規アイデンティティ/アクセス管理 (IAM) コンポーネントを保護するだけでなく、ファブリックを完成させて適切に構成し、強化します」
トレンド6:サイバーセキュリティ・バリデーション
サイバーセキュリティ・バリデーションは、特定された脅威エクスポージャを潜在的な攻撃者がどのように悪用するか検証するために用いる、技術、プロセス、ツールをまとめたものです。サイバーセキュリティ・バリデーションに必要なツールは、評価における反復可能で予測可能な側面を自動化するために大きく進歩しており、攻撃手法、セキュリティ・コントロール、プロセスを定期的にベンチマーク評価できます。2026年末まで、3分の2の中堅企業を含む組織の40%以上では、統合プラットフォームを活用してサイバーセキュリティ・バリデーション評価を実行するようになるでしょう。
トレンド7:サイバーセキュリティ・プラットフォームの集約
組織がオペレーションの簡素化を目指す中、ベンダーは1つまたは複数の主要サイバーセキュリティ領域を中心として、プラットフォームを集約しつつあります。例えば、アイデンティティ・セキュリティ・サービスは、ガバナンス、特権アクセス、アクセス管理機能を組み合わせた共通のプラットフォームを通じて提供される場合があります。SRMリーダーは、重複する部分を把握して、集約されたプラットフォームの冗長性を減らすために、セキュリティ・コントロールを継続的に棚卸しする必要があります。
トレンド8:コンポーザブル・ビジネスにはコンポーザブル・セキュリティが必要
加速するビジネスの変化に組織が対応するには、モノリシックなシステムへの依存から脱却し、アプリケーションにモジュール型能力を構築する必要があります。コンポーザブル・セキュリティとは、サイバーセキュリティ・コントロールをアーキテクチャ・パターンに統合し、コンポーザブル・テクノロジの実装時にモジュール・レベルで適用するアプローチを指します。2027年までに、コア・ビジネス・アプリケーションの50%以上がコンポーザブル・アーキテクチャで構築されるようになり、それらのアプリケーションのセキュリティ保護には新しいアプローチが必要となるでしょう。
アディスコットは次のように述べています。「コンポーザブル・セキュリティは、コンポーザブル・ビジネスを保護するために設計されています。コンポーザブルなコンポーネントでアプリケーションを構築すると、検出されない依存関係が生じます。CISOにとっては、コンポーネント・ベースの再利用可能なセキュリティ・コントロール・オブジェクトを作成することで、プライバシー・バイ・デザインとセキュリティ・バイ・デザインを実現する重要な機会となります」
トレンド9:取締役会はサイバーセキュリティの監視能力を拡大
取締役会がサイバーセキュリティにますます注目している要因は、ガバナンス活動における取締役の責任を強化するために、サイバーセキュリティに関して明示的レベルの説明責任が課される傾向にあるためです。サイバーセキュリティのリーダーは、サイバーセキュリティ・プログラムが組織の目標や目的にもたらす影響を示したレポートを、取締役会に提供すべきです。
アディスコットは次のように述べています。「SRMリーダーは、サイバーセキュリティに関する意思決定に対して、取締役会が積極的に参加および関与するよう促す必要があります。そして戦略的アドバイザーとして、セキュリティに関する予算やリソースの配分など、取締役会が取るべき行動について提言を行うべきです」
バイス プレジデント アナリストの礒田 優一は次のように述べています。「人や組織に関連した議論は、日本独自の背景や課題を踏まえた分析も必要になりますが、人間中心のセキュリティの重要性については日本においても今後益々高まるため、押さえておく必要があります」
Gartnerのサービスをご利用のお客様は、リサーチノート「Top Trends in Cybersecurity 2023」(英語) で詳細をご覧いただけます。
2023年におけるセキュリティ/リスク・マネジメントのリーダーの最優先課題については、eBook「2023年のリーダーシップ・ビジョン:セキュリティ/リスク・マネジメント」でご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products
ガートナー セキュリティ&リスク・マネジメント サミットについて
2023年7月26~28日にANAインターコンチネンタルホテル東京にて開催するガートナー セキュリティ&リスク・マネジメント サミットでは、セキュリティ/リスク・マネジメントのリーダーおよびセキュリティの担当者が、即応性を持ってセキュリティ状況とそのためのテクノロジを評価し、その力を継続的に向上できるよう、さらなる分析や知見を提供します。コンファレンスのニュースと最新情報は、Twitterでご覧いただけます (#GartnerSEC)。
日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのTwitterやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、こちらよりご参照ください。