ガートナーは日本企業がセキュリティに関して2024年に押さえておくべき10の重要論点を発表した。クラウドやAI、法規制やサードパーティー、サプライチェーンなどに関連して生じる各種のリスクへの対応を訴えている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ガートナージャパン(以下、ガートナー)は2024年1月11日、日本の企業がセキュリティに関して2024年に押さえておくべき10の重要論点を発表した。
サイバー脅威の高まり、AI(人工知能)やデータアナリティクスなどグローバルで進行する技術トレンドがはらむリスクや関連法規制の動向、市場の多様化によって、セキュリティとプライバシーの在り方は混沌としたものになってきている。
ガートナーによると、こうした変化への対応のキャッチアップは困難を極めるため、新たなセキュリティの戦略や計画の立案に苦戦する組織が増えており、立案したとしてもそれらが陳腐化するスピードが速まっている。
同社はこうした背景から、「自社の取り組みを見つめ直す機会を持つために、セキュリティとプライバシーの領域を俯瞰(ふかん)する視点が必要になっている」と指摘し、セキュリティに関して2024年に押さえておくべき10の重要論点を示した。
ガートナーによると、社会全体としてセキュリティの取り組みにおける説明責任は増大傾向にあり、国内においても経営者の意識に変化が生まれる状況が増えている。昨今のセキュリティ環境では、サイバー攻撃や内部脅威に加え、クラウドやデジタル、法規制のリスクも絡めた高度かつ複雑な意思決定が必要になり、従来型のセキュリティガバナンスに限界を感じる組織が増加しているという。
そのためセキュリティリーダーは、従来存在する情報セキュリティの脅威だけでなく、セキュリティおよびデジタルトレンドを踏まえた新しい脅威の変化をファクトベースで経営陣やビジネスリーダーに伝えて理解を促すことが重要になる。
ガートナーは「セキュリティはITの問題ではなく経営問題であり、組織全体として対応すべき問題であるという共通理解を得るとともに、分散型意思決定を可能とするプロセスに移行する必要がある」と指摘した。
ワークプレースは、従来のオフィスなどの「働く場所」を中心としたものから、従業員の「働き方」を中心とした新しいものへと移行しつつあり、そうした働き方のパターンに応じてセキュリティにも多様なパターンが求められるようになってきている。生成AIの利用が広がることで生じる、新たなセキュリティリスクへの対処はその一例だ。
セキュリティリーダーは従業員がシステムやデータにどこからアクセスし、どのように使うのか、実態を把握し、ユースケースごとに適切なセキュリティを選択できるような取り組みを推進する必要がある。生成AIの利用が進むことで、ユーザーとして新たに認識すべきリスクも増えるため、2024年は従業員に対するセキュリティ教育の見直しが求められる。
ゼロトラストセキュリティや「SASE」(Secure Access Service Edge)といったトレンドおよび急速に変化する環境・脅威への対策製品の導入を継続しているが、個々の製品の運用負荷に課題を抱える組織が増加している。この他、SIEM(Security Information and Event Management)、やXDR(Extended Detection and Response)関連製品、生成AIの活用への期待が高まっている。
ガートナーによると、セキュリティリーダーは、脅威対策製品の検知や防御の能力に頼るだけでなく、問題が発生しないような構成を維持する事前対応プロセスをセキュリティオペレーションに組み込み、サイクルを回していくことが求められる。また、生成AIの活用については発展途上にあるため、セキュリティ運用の今後の姿を描き、中長期的な視点で検討する必要がある。
サイバー攻撃はさらに巧妙化し、インシデントの原因究明にはこれまで以上に時間がかかる。OTやIoTの領域もサイバー攻撃の対象となる今、企業が担うインシデント対応の範囲は、これまでのIT領域にとどまらず、自社製品あるいは設備などにまで拡大している。
インシデントが広い範囲に影響する場合、業務停止の時間を極力短くすることが重要になるため、こうした場面ではインシデントの原因究明よりもシステムの暫定復旧が優先されるよう、インシデント対応プロセスを見直す必要がある。曖昧な想定があれば具体的なシナリオとして修正し、インシデント対応組織が複数ある場合、各自が分断しないよう協働に向けた働きかけも必要になる。
EDR(Endpoint Detection and Response)製品を導入する企業は増加傾向にあるが、運用や人材スキルにおける問題を抱える組織が多く発生している。ビジネスやテクノロジー環境の変化に伴い、企業が攻撃を受ける可能性のある脅威エクスポージャが増加しており、ASM(攻撃対象領域管理)への関心が高まっている。
セキュリティリーダーは、自社の資産や保持している情報を踏まえた想定シナリオの準備や運用プロセスの見直し、運用スキル強化に向けた取り組みが必要となる。脆弱(ぜいじゃく)性マネジメントと脅威エクスポージャの双方に対応するために、継続的脅威エクスポージャ管理(CTEM)への取り組みも検討すべきだ。
事前に定めたルールによって内部不正を検知するという従来のアプローチだけでは検知が難しい側面がある。
内部脅威の対応範囲が拡大する今、高度な機密情報を扱うユーザーや特権を行使する場面、あるいは退職を予定しているユーザーなど、リスクが高い特定のポイントにフォーカスして取り組みを進めることが重要になる。
AIを活用した脅威検知への期待が高まっているが、活用する際には不正検知に必要な従業員情報が不適切な用途で使われることのないように、従業員のプライバシーに配慮することを最優先事項とすべきだ。
AIやデータアナリティクス、サイバーフィジカルシステムなど、社会全体としてデジタルトレンドが進む中、世界の地域や国の規制当局による新しい法案策定に向けた動きが活発化している。これに伴いサードパーティーやサプライチェーンのセキュリティリスクの脅威も年々高まっている。
ガートナーによると、日本は新たなデジタルトレンドや規制において必ずしも先進的とはいえず、日本の常識のみで判断することはビジネスリスクを高める可能性がある。セキュリティリーダーはデジタルやプライバシー、セキュリティなどの分野における法規制や関連ガイドラインを含め、国内外の主なトレンドを押さえるとともに、経営陣の認識を高め、関連部門も関与させながら取り組みを推進する必要がある。
ガートナーによると、マルチクラウドの利用が進みセキュリティ構成を漏れなく評価して対応することが難しくなっている。また、利用する部門によってセキュリティ意識やルール、スキルにばらつきがあるのが実態だ。
クラウドネイティブアプリケーションの増加やマルチクラウドに対応したセキュリティとして、クラウドネイティブアプリケーションプロテクションプラットフォーム(CNAPP)やクラウドセキュリティポスチャ管理(CSPM)、SaaSセキュリティポスチャ管理(SSPM)などの評価や導入も含めて、より合理的でセキュアな運用を目指すべきだ。さらに部門横断的なチームの結成や事業部門側における運用プロセスなども合わせて検討する必要がある。
セキュリティチームと事業部門との分断や事業部門側のセキュリティおよびプライバシーに対する認識不足などによって、議論が十分に尽くされないまま大規模なデータアナリティクスプロジェクトが進んでしまうケースがある。
セキュリティリーダーは、セキュリティの議論の機会を逃すことなく、プロジェクトにおけるセキュリティの確実な取り組みについて事業部門と共に推進すべきだ。個人情報を扱う場合、セキュリティだけでなくプライバシーへの配慮の取り組みが不可欠となるため、責任ある企業としてプライバシーに取り組む姿勢を明確にし、関係者の責任と役割を明確にすることが求められる。
生成AIを巡るセキュリティ面での主な議論には、生成AIを従業員が利用する場合の対応、自社用の生成AIを構築する場合の対応、生成AIをセキュリティオペレーションに利用する場合の対応、生成AIを使った攻撃への対応、の4つが挙げられる。
生成AIの社内利用を超えて顧客向け製品やサービスへの組み込みが増加するにつれて、「AI TRiSM」(AIのトラスト、リスク、セキュリティマネジメント)に取り組むなど自社におけるAIのリスクを検討し、それらに向けた具体的な対応の必要性が高まるという。
Copyright © ITmedia, Inc. All Rights Reserved.