ゼロトラストを採用するも半分が失敗する――2023年以降のサイバーセキュリティを占う「8つの仮説」

ガートナーは、2023年以降に企業のセキュリティに影響を与え得るサイバーセキュリティに関する8つの仮説と対策を発表した。幹部の業績評価におけるサイバーリスクマネジメント能力の重要性など、サイバーセキュリティに関連する変化を同社アナリストはどう見るのか。

[金澤雅子，ITmedia]

　ガートナージャパン（以下、ガートナー）が7月25〜27日に開催する「ガートナー セキュリティ&リスク・マネジメント サミット2022」のオープニング基調講演で、同社アナリスト兼バイスプレジデントのジエ・ジャン （Jie Zhang）氏 と、ディスティングイッシュトバイスプレジデントのトム・ショルツ （Tom Scholtz）氏 は、セキュリティ、リスクマネジメントのリーダーがデジタル時代に成功を収めるために押さえておくべき主要な仮説を解説した。

デジタル時代におけるセキュリティの8つの仮説と指針とは

　デジタル化の進展に伴ってセキュリティリスクは高まり、サイバーセキュリティへの取り組みは厳しさを増している。複雑なリスクに素早く反応し、ビジネス環境のセキュリティを確保するには、サイバーセキュリティの取り組みで重要視しなければならないポイントを明確にする必要がある。

　ガートナーによると、「デジタル時代に企業が成功を収めるには、最高情報セキュリティ責任者（CISO）などのセキュリティ／リスクマネジメントのリーダーは次の8つの仮説を押さえておく必要がある」という。

　ガートナーによる8つの仮説とその対策は次の通りだ。

2023年末までにユーザーのプライバシー権のうち世界の50億人（世界のGDPの70％以上）が、政府規制の対象となる

　プライバシー規制は拡大の一途をたどっている。ガートナーは、企業はプライバシーに対する理解を深めるとともに、管理に当たって「データ主体の権利のリクエスト（Subject Rights Request）」のためのソリューションによって部分的に自動化を進め、1件当たりの処理コストや非効率な箇所の特定といった複数の評価指標を用いて追跡することを推奨する。

2025年までに企業の80％はWebやクラウドサービス、プライベートアプリケーションへのアクセスを、単一ベンダーのSSEプラットフォームに集約する

　ハイブリッドワークが「当たり前」になりつつことを背景に、ベンダーは、一貫性のあるシンプルなWeb／プライベートアクセス／SaaSアプリケーションセキュリティを提供する統合型の「セキュリティサービスエッジ（SSE）」ソリューションを提案している。単一ベンダーのソリューションは、ベスト・オブ・ブリードのソリューションと比較して、「統合の強化」「使用するコンソール台数の削減」「データの暗号化と復号／検査／再暗号化を要する場所の削減」など、大幅な運用効率化とセキュリティ効果をもたらす。

2025年までに組織の60％はセキュリティの出発点としてゼロトラストを採用する。しかしその半数以上がゼロトラストのメリットを得られずに失敗する

　「ゼロトラスト」という言葉は、今ではセキュリティベンダーのマーケティングや政府のセキュリティガイダンスで幅広く使われている。ゼロトラストは、心構えとして、暗黙の信頼を「アイデンティティ／コンテキストに基づく信頼」へと置き換える、非常に効果的な考え方といえる。しかし、ゼロトラストはセキュリティの原則であると同時に組織のビジョンでもあるため、そのメリットを享受するには、「文化面の転換」と「ゼロトラストをビジネス成果と結び付ける明確なコミュニケーション」が必要になる。

2025年までに組織の60％はサードパーティーとの取引やビジネス契約における意思決定要因として、サイバーセキュリティリスクを重視するようになる

　サードパーティーに関連するサイバー攻撃が増えている。しかし、ガートナーのデータによると、サイバーセキュリティのリスクを把握するためにサードパーティーをリアルタイムでモニタリングしている企業は全体の23％にすぎない。消費者の懸念が増加すると同時に規制当局の関心も高まる中、組織は、サードパーティーとビジネスを行う際の意思決定要因として、「クリティカルなテクノロジーサプライヤーのシンプルなモニタリングから、企業の買収、合併のための複雑なデューデリジェンスに至るまで、サイバーセキュリティリスクを重視する」ようになるとガートナーは予測する。

2025年末までにランサムウェアへの支払いや罰金、交渉を規制する法案を可決する国家の割合は30％に上昇する（2021年は1％未満）

　現在のランサムウェアの犯罪組織はデータを暗号化し、それらを窃取する。身代金を支払うかどうかはセキュリティではなく、ビジネスレベルの判断になる。「身代金交渉に進む前に、専門のインシデント対応チームや法執行機関／規制当局を必ず関与させる」ことをガートナーは推奨する。

2025年までに攻撃者はオペレーショナルテクノロジー環境を武器にして、人的被害を与えるようになる

　機器や資産、プロセスを監視または制御するオペレーショナルテクノロジー（OT）への攻撃が、より一般的に、より破壊的になっている。セキュリティ、リスクマネジメントのリーダーは「セキュリティの取り組みの範囲をサイバーフィジカルシステム（CPS）にも広げ、情報の窃取よりも、むしろ人間や運用環境への現実的な危険について懸念すべき」とガートナーは指摘する。

2025年までにCEOの70％はサイバー犯罪や異常気象、内紛、政情不安による同時発生的な脅威を切り抜けるために組織的レジリエンスを重視する文化を必須とする

　新型コロナウイルス感染症（COVID-19）の拡大により、従来型のBCM（事業継続管理）計画では大規模なディスラプション（破壊や崩壊）に十分に対応できないことが明らかになった。ディスラプションは今後も続く可能性が高いため、企業は組織のレジリエンスを戦略上の緊急課題として認識してスタッフやステークホルダー、顧客、サプライヤーを巻き込む戦略を構築することをガートナーは推奨する。

2025年までにサイバーセキュリティ委員会を取締役が監督する企業の割合は40％に上昇する（2021年は10％未満）。また、2026年までにCレベルの経営幹部の50％はリスクに関連する業績要件を雇用契約に組み込む

　2021年11月のガートナーの調査によると、大半の取締役は現在、サイバーセキュリティを単なる技術的なITの問題ではなく、ビジネスリスクとして捉えている。今後、CISOやコンサルタントなどの経歴や経験を有するメンバーが取締役に加わることで、セキュリティ委員会のようなトップレベルの組織によって、経営環境におけるセキュリティの監督や精査をより現実的に実行できるようになる。取締役会側の変革が進むことで、企業のサイバーリスクに対する明確な説明責任は現場のセキュリティリーダーではなく、一段上の経営幹部が負うようになるとガートナーはみる。