Newsroom

ガートナージャパン株式会社 (本社：東京都港区、以下Gartner) は、「日本におけるセキュリティ (インフラ、リスク・マネジメント) のハイプ・サイクル：2023年」を発表しました。本ハイプ・サイクルでは、セキュリティの中でも特にセキュアなインフラとリスク・マネジメントを実現しながら企業のビジネス、サービス、データを保護する29の重要なテクノロジ／手法／概念を取り上げています。

近年、オンプレミス、クラウド、モノのインターネット (IoT)、サードパーティ (外部／関連組織) など、攻撃者から見た攻撃対象が増えています。またアセスメント／管理手法もサイロ化していることを背景に、組織が抱えるリスクを認識することがますます困難になっています。一方、2023年はコロナ禍におけるリモートワーク拡大への対応は一段落したものの、ChatGPTの登場を受け、生成AIについて、そのリスク面も含め世の中の関心が高まっています。

バイス プレジデント アナリストの礒田 優一は次のように述べています。「AIのリスクを軽視する組織は、プロジェクトの失敗やセキュリティ侵害などの不利益を招く傾向が飛躍的に高まります。企業はこうした新しいテクノロジのリスクと機会、およびそれらの市場の動向に着目し、新たな時代に向けてセキュアなインフラとリスク・マネジメント領域における自社の取り組みを進化させていく必要があります」

2023年版では、AI TRiSM (AIのトラスト／リスク／セキュリティ・マネジメント)、サイバーセキュリティ向け生成AI、エクスポージャ管理などのテクノロジやトレンドを新たに追加しています。SASE (セキュア・アクセス・サービス・エッジ) とSSE (セキュリティ・サービス・エッジ) に対する「過度な期待」は既にピークを越えており、今後幻滅期に向かうものとみています (図1参照)。

AI TRiSM (AIのトラスト／リスク／セキュリティ・マネジメント) は、AIのガバナンス、信頼性 (トラスト)、公平性、確実性、堅牢性、有効性、データ保護を確実にするための一連の手法とテクノロジであり、Gartnerの2023年の戦略的テクノロジのトップ・トレンドにも選ばれています。AI TRiSMは、企業がAIモデルやアプリケーションのライフサイクルを管理／コントロールし、ビジネス目標を達成できるよう支援することができます。EUで今後予定されているAI規制法のような規制へのコンプライアンス対応の実務においても有効です。

サイバーセキュリティ向け生成AIは、既存のサイバーセキュリティ関連のデータや、シミュレーション・エージェントを通じて学習し、機能するAIテクノロジです。サイバーセキュリティのテクノロジ・プロバイダーは、生成AIを活用して、既存のワークフローを改善したり、既存のアナリティクスや対応を代理実行させたりすることができます。

アセスメント／管理の手法が、脆弱性スキャン、ペネトレーション・テスト、脅威インテリジェンス・マネジメントなどにサイロ化している中、企業のデジタル資産のアクセシビリティと脆弱性を継続的に検証できるようにする一連のプロセス (継続的なエクスポージャ管理) の必要性が高まっています。エクスポージャ管理 (EM) は、急速に拡大するアタック・サーフェス (攻撃対象領域) に存在する脅威のインベントリ作成、優先順位付け、検証といった労力を軽減させ、従来の脆弱性マネジメント (VM) では不十分であった課題の可視化と対応を容易にします。さまざまなテクノロジが活用され、企業が継続的かつ一貫して効果を得るために、継続的脅威エクスポージャ管理 (CTEM) プログラムによって統括されます。

礒田は次のように述べています。「セキュリティの製品／サービスは、購入するだけですぐにそのメリットがもたらされることはめったにありません。それを使いこなす人材や、適合するプロセスが併せて必要になるという点に留意が必要です。また、個々のテクノロジが成熟するまでの期間や重要度を鑑み、導入のタイミングや取り組みを検討すべきです。例えば、現時点では発展途上にあるため、今後の中長期的な動向に着目しておくことが重要なものもあれば、成熟するまで待ち続けるのではなく着手できる部分から取り組みを開始すべきものもあります。セキュリティへの投資を検討している組織は、急速なデジタル化の進展と脅威の変化に対応するために、取り組みの優先順位を定期的に調整することが重要です」

Gartnerのハイプ・サイクルは、イノベーションが過度にもてはやされる期間を経て幻滅期を迎え、最終的には市場や分野でその重要性や役割が理解され進化する共通のパターンを描いたものです。多くの場合、イノベーションは、過度にもてはやされる期間を経て幻滅期を迎え、最終的には、市場や分野でその重要性や役割が理解されるという段階を踏まえて進化します。CIOやITリーダーをはじめとした企業の担当者が、イノベーションの成熟度と今後の可能性を追跡する支援となるよう、Gartnerは毎年、さまざまな領域で100以上ものハイプ・サイクルを発行しています。なお、ハイプ・サイクルに含まれるテクノロジの導入に際しては、その目的や最適なタイミングは企業によって異なることを認識する必要があります。

Gartnerのサービスをご利用のお客様は、リサーチノート「日本におけるセキュリティ (インフラ、リスク・マネジメント) のハイプ・サイクル：2023年」で詳細をご覧いただけます。セキュリティ分野では、本ハイプ・サイクル以外にも姉妹編として「日本におけるセキュリティ (アプリ、データ、プライバシー) のハイプ・サイクル：2023年」と「日本におけるセキュリティ (ID／アクセス管理、セキュリティ運用) のハイプ・サイクル：2023年」を発行しています。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products

Gartnerは11月13～15日に、Gartner IT Symposium/Xpoをグランドプリンスホテル新高輪 国際館パミールにて開催します。Gartnerが主催するコンファレンスの中で最大かつ最重要コンファレンスであるGartner IT Symposium/Xpo 2023では、「可能性を解き放て」をテーマに、将来の方向性、成功に向けた戦略、重要な実行策の3つのトラックからなるプログラムをご用意しています。主要な15のトピック領域における最新のテクノロジ、戦略、そしてリーダーシップに関する知見を提供し、CIOとリーダーシップ・チームにとっての最重要課題を取り上げます。コンファレンスのニュースと最新情報は、X (旧Twitter) でご覧いただけます (#GartnerSYM)。

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXやFacebookでも案内しています。より詳細な情報や知見については、ニュースルームよりご参照ください。