Gartner、日本のセキュリティ／リスク・マネジメントのリーダーが2024年に押さえておくべき重要な論点を発表

ガートナージャパン株式会社 (本社：東京都港区、以下Gartner) は、日本のセキュリティ／リスク・マネジメント (SRM) のリーダーが2024年に押さえておくべき重要な論点を発表しました。

開催中のガートナー セキュリティ & リスク・マネジメント サミット2日目の基調講演において、バイス プレジデント アナリストの礒田 優一とシニア プリンシパル アナリストの鈴木 弘之が、新たなセキュリティ・ガバナンス、新たな働き方とデータ活用のセキュリティ、セキュリティ・オペレーションの進化の3つの観点から解説しました。

新たなセキュリティ・ガバナンス

Gartnerが世界の取締役を対象に実施した調査では、取締役の84%がサイバーセキュリティを単なるITの問題ではなくビジネス・リスクと見なしていると回答しています。2024年3月に、日本国内のセキュリティ・リーダーを対象に実施した調査でも、8割以上がセキュリティの取り組みを経営に報告していると回答していることから、セキュリティが経営問題として議論される機会が増えていることがうかがえます。一方、同調査でAIやサイバーセキュリティ／プライバシー関連の規制動向への対応について尋ねたところ、十分対応できていると回答した割合は、12.5％のみでした。

礒田は次のように述べています。「法規制も含め、デジタルとリスクのトレンドは、今後ますます経営にとって重要問題になっていきます。SRMリーダーは、セキュリティに関連する最新動向をキャッチアップしながら、経営陣にビジネス・コンテキストで継続的に伝えていく必要があります。また、セキュリティ側の独りよがりの指標ではなく、経営陣の『素朴な疑問に答える』指標を使用すべきです。Gartnerが提唱している成果主導の評価指標 (ODM: Outcome-Driven Metrics) はその一例と言えます」

一方、AI、データ／アナリティクス、アジャイル開発のようなデジタルの取り組みや、ローコード／ノーコード、市民開発のトレンドによる新しい機会とリスクに対して、IT部門もしくはセキュリティ部門のみで管理することが難しくなりつつあります。実際に、Gartnerの国内の調査でも、64%の企業がセキュリティ問題のすべてをIT部門もしくはセキュリティ部門のみで管理することに限界があると回答しています。

礒田は次のように述べています。「これまでのガバナンスを見直し、従来のIT部門もしくはセキュリティ部門による中央集権型の態勢から、自由と責任、リテラシーを前提とした分散型の意思決定を可能とするような態勢へのシフトが急務となっています。私たちが直面するのは単なるITの問題ではありません」

新たな働き方とデータ活用におけるセキュリティ

会社全体でデジタルが進む中で、情報の取り扱い方が新たなものになるに従い、セキュリティの当事者である経営者、ユーザー部門、セキュリティ部門の意識も変わる必要があります。

従業員の働き方の変化、ビジネスにおけるデータ／アナリティクスの拡大や生成AIの活用などの要因から、重要情報を誰もが簡単に入手でき、どこでも使える状況になりつつあります。そのような中で経営が目指すのは、デジタルとセキュリティの「両立」です。生成AIの活用といったものが経営による戦略的意思決定であるにもかかわらず、そのための情報漏洩対策が経営による戦略的意思決定でなければ、いつまでも両立できるものではありません。経営は、社内での生成AIの戦略的活用の前に情報漏洩対策がReadyな状態になっているか、当事者として判断することが求められます。

一方、データを活用するユーザー部門のほうは、自分たちが行使する情報を「使う権利」には、情報を「守る義務」が付属していることを認識する必要があります。鈴木は次のように述べています。「『誰にとってどのように重要なのか?』『この情報にアクセスする必要があるのは誰か?』を判断できるのは、会社でもセキュリティ部門でもなく、個々のユーザー自身です。情報の活用が活発になる時代はなおさら、ビジネスの文脈に沿った保護をビジネスの現場で実施することが重要です」

テクノロジの評価、そしてそれを使うユーザーを支援するのは引き続きセキュリティ部門の役割です。そのためには、セキュリティのルールは従来のような汎用的で抽象的なものではなく、それよりも下位文書となる「ユーザー・マニュアル」といったものを丁寧に整備していくことが重要です。画一的な周知からユーザーの業務にフォーカスした展開が強く求められています (図1参照)。

セキュリティ・オペレーションの進化

鈴木は次のように述べています。「インシデントの対応にはいかに早く検知して、早く対処するかが重要です。しかしながら、現在のビジネス環境の変化により、セキュリティ・インシデントにつながる可能性となる『脅威エクスポージャ』は拡大し続けているため、現実には後追いの対処に追われています。後追いの対処から脱却するには、セキュリティ・オペレーションを進化させる必要があります」

セキュリティ・オペレーションの進化の方向性は、「即座に攻撃を分析する」「未然に防御する」「自動的に防御を強化する」「修復を自動化する」などが挙げられます。Gartnerの「戦略的テクノロジのトップ・トレンド」でも取り上げている「継続的な脅威エクスポージャ管理 (CTEM: Continuous Threat Exposure Management)」は、「未然に防御することを実現する」プログラムです。セキュリティ・リーダーや担当者は、このプログラムを理解して、社内で共有し実践していく必要があります。

一方、AIを利用してセキュリティ・オペレーションを進化させることも検討すべきです。AIを使用した攻撃を知る、AIを検知に利用する、AIをオペレーションに生かす、の3つの観点からセキュリティ・オペレーションの取り組みを進化させることが重要です。セキュリティ・オペレーションにAIを統合することにより、迅速な脅威の検知と対処が可能になります。

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、ニュースルームよりご参照ください。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products