ガートナー、2023年版「日本におけるセキュリティのハイプ・サイクル」を発表：セキュリティニュースアラート

ガートナーは「日本におけるセキュリティ（インフラ、リスク・マネジメント）のハイプ・サイクル：2023年」を発表した。今回はAIに関連したテクノロジーも多数登場した。

[田渕聖人，ITmedia]

　ガートナージャパン（以下、ガートナー）は2023年10月18日、「日本におけるセキュリティ（インフラ、リスク・マネジメント）のハイプ・サイクル：2023年」を発表した。イノベーションが過度にもてはやされる期間を経て幻滅期を迎え、最終的には市場や分野でその重要性や役割が理解され進化する共通のパターンを描いたものだ。

　また、セキュリティの中でも特にセキュアなインフラとリスクマネジメントを実現しながらビジネスやサービス、データを保護する29の重要なテクノロジーや手法、概念を取り上げている。

ガートナーは「日本におけるセキュリティ（インフラ、リスク・マネジメント）のハイプ・サイクル：2023年」を発表した（出典：ガートナーのWebサイト）

ハイプサイクルの黎明期に登場したセキュリティテクノロジーとは？

　ガートナーによると、近年、オンプレミスやクラウド、IoT、サードパーティーなど攻撃者から見た攻撃対象領域が広がっている他、アセスメントや管理手法がサイロ化していることを背景に、組織が抱えるリスクを認識することが困難になってきている。また、「ChatGPT」の登場を受けて、生成AI（人工知能）のリスクも含め世の中の関心が高まっている。

　ガートナーはこうした動向を受けて「日本におけるセキュリティ（インフラ、リスク・マネジメント）のハイプ・サイクル：2023年」を発表した。

日本におけるセキュリティ（インフラ、リスク・マネジメント）のハイプ・サイクル：2023年（出典：Gartner（2023年10月））

　2023年版には「AITRiSM」（AIのトラスト／リスク／セキュリティマネジメント）「サイバーセキュリティ向け生成AI」「エクスポージャ管理」などのテクノロジーやトレンドが新たに追加された。SASE（Secure Access Service Edge）とSSE（Security Service Edge）に対する「過度な期待」は既にピークを越え、今後幻滅期に向かうものとみられている。

　AITRiSMは、AIのガバナンスや信頼性、公平性、確実性、堅牢（けんろう）性、有効性、データ保護を確実にするための一連の手法とテクノロジーだ。企業がAIモデルやアプリケーションのライフサイクルを管理、コントロールし、ビジネス目標を達成できるよう支援する。ガートナーによると、欧州連合（EU）で今後予定されるAI規制法のような規制へのコンプライアンス対応の実務においても有効だという。

　サイバーセキュリティ向け生成AIは、既存のサイバーセキュリティ関連のデータや、シミュレーションエージェントを通じて学習し、機能するAIテクノロジーだ。サイバーセキュリティのテクノロジープロバイダーは、生成AIを活用して既存のワークフローを改善したり、既存のアナリティクスや対応を代理実行させたりできるようになる。

　その他、デジタル資産のアクセシビリティーと脆弱（ぜいじゃく）性を継続的に検証できるようにする一連のプロセス（継続的なエクスポージャ管理）の必要性が高まる中、「エクスポージャ管理」も黎明（れいめい）期に移った。

　エクスポージャ管理は、急速に拡大する攻撃対象領域に存在する脅威のインベントリ作成や優先順位付け、検証といった労力を軽減させ、従来の脆弱性マネジメントでは不十分であった課題の可視化と対応を容易にする。さまざまなテクノロジーが活用され、企業が継続的かつ一貫して効果を得るためには、今後、継続的脅威エクスポージャ管理（CTEM）プログラムが必要になる。

　ガートナーの礒田優一氏は「AIのリスクを軽視する組織はプロジェクトの失敗やセキュリティ侵害などの不利益を招く傾向が飛躍的に高まります。企業はこうした新しいテクノロジーのリスクと機会、それらの市場の動向に着目し、新たな時代に向けてセキュアなインフラとリスクマネジメント領域における自社の取り組みを進化させていく必要があります」と話した。