ニュース
2025年に日本企業が取り組むべき「12のセキュリティ課題」 ガートナー発表:セキュリティニュースアラート
ガートナージャパンは2025年に日本企業が取り組むべき12のセキュリティ課題を発表した。生成AIやクラウド環境の普及が新たなリスクを生む中、企業にはどのような対応が求められるのだろうか。
ガートナージャパン(以下、ガートナー)は2025年1月8日、日本企業が2025年に取り組むべきセキュリティおよびプライバシーに関する12の重要論点を発表した。AIの進化やグローバルの規制の変化を背景に、企業が直面するリスクと機会について包括的に捉えている。
近年、AIの進展は企業活動における大きな推進力となっている。一方でAIを活用した攻撃の巧妙化やセキュリティガバナンスの変革など、新たな課題も浮上している。ガートナーはこうした状況を踏まえて12の論点を提示している。
2025年に日本企業が備えるべき「12の重要なセキュリティ論点」
- 新たなセキュリティガバナンス: 経営の責任を明確化し、リーダーシップを促進する法規制の制定が世界的に進行している。一方でクラウドやAIなどの技術を含むリスクが増加し、従来の中央集権型のセキュリティガバナンスの限界が顕在化している。新たな意思決定能力とセキュリティ人材の強化が重要な課題となっている
- 新たなデジタルワークプレースとセキュリティ: 各所に分散した働き方が進む中で使用するアプリケーションが多様化し、情報漏えいリスクが増加している。生成AIを活用する際には、情報過剰共有の抑制とセキュリティ文化の醸成が課題となる
- セキュリティオペレーションの進化: ゼロトラストやSASE(Secure Access Service Edge)の取り組みで部分的な最適化や運用面での課題、円安による費用増加などが指摘されている。SOC運用ではアウトソーシングが検討される一方、インシデント時の判断や責任に対する自社意識が低い傾向がある。また、AIの導入においては、自社の課題解決に資するかを見極め、選択的に導入する必要がある
- インシデント対応の強化: 攻撃手法の多様化に伴い、事業継続計画(BCP)や危機管理の観点からセキュリティ体制を再構築する動きが進んでいる
- 外部公開アプリケーションに対する攻撃への対応: IaaS/PaaSによるWebアプリケーションのセキュリティ課題が増加しており、クラウドネイティブアプリケーションプロテクションプラットフォーム(CNAPP)市場の動向を注視する必要がある
- マルウェアおよび標的型攻撃への対応: AIを悪用した攻撃が巧妙化し、脅威エクスポージャが拡大している。脅威の攻撃となり得る資産を把握、管理する取り組み(ASM)や継続的なエクスポージャー管理(CTEM)の重要性が強調されている
- 内部脅威への対策: 内部不正の兆候を見逃すケースが多く、AIを活用した検知に期待が高まっている。ただし基本的な認証や権限管理が不十分な場合、AIツールの導入効果は限定的とみられている
- 法規制やサードパーティー、サプライチェーンのリスク対応: 新たな法規制への対応に戸惑う企業が増えている。日本企業はデジタル規制で後れを取る傾向があり、国内の常識に依存した判断がリスクを高めている
- クラウドのリスク対応: マルチクラウドの導入が進む中、セキュリティ管理が複雑化することで設定ミスや漏れが課題となっている。従来の中央集権的なコントロール一辺倒ではなく、各事業部門がセキュリティ対応能力を持つ必要がある
- サイバーフィジカルシステム(CPS)のリスク対応: CPSセキュリティの侵害は社会インフラへの影響が大きく、IT部門と事業部門が協力して対策を講じる必要がある
- データ/アナリティクスのリスクへの対応: 生成AIの普及によって情報漏えいリスクが高まっている。セキュリティリーダーとデータ管理責任者のさらなる連携強化が求められている
- AIリスクへの対応: 生成AIアプリケーションの利用拡大に伴い、セキュリティガイドラインやトレーニングの整備が進む一方で、アタックサーフェスが拡大している。「AI TRiSM」(AIの信頼性、リスク、セキュリティマネジメント)の重要性が高まる中、日本では対応が未成熟とされている
ガートナーの礒田優一氏(バイスプレジデント アナリスト)は「セキュリティとリスクマネジメントのリーダーは、新しいリスクや脅威、環境の変化、法規制の動き、セキュリティのテクノロジーや市場の多様化など、ますます混沌とするセキュリティとプライバシーの領域を俯瞰(ふかん)し、次なる一手を打ち出していく必要がある。昨今では、経営者自らがリスクマネジメントやセキュリティの取り組みをステークホルダーに説明する必要性が高まっている。戦略不在のままその場しのぎの対応を継続した場合、企業として責任を問われることにもなりかねない」とコメントした。
企業はガートナーの発表したトレンドを踏まえ、積極的に新たなセキュリティ技術を導入しつつ、自社に適した課題解決策を見極めることが望まれる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
注目はパスキーだけじゃない 2025年こそ流行ってほしい3つのセキュリティ技術
2025年が始まりました。相変わらずサイバー攻撃は収まる気配はないので、防御側もしっかりと対策を講じなければなりません。今回は新年1回目ということで、2025年こそ流行ってほしい3つのセキュリティ技術を紹介します。
“ランサムウェア戦国時代”到来? 2つの事件から見る攻撃者ビジネスの変化
RaaSをはじめとしたランサムウェアの高度化は大きな問題だ。2024年にランサムウェアのエコシステムに起きた“象徴的な2つの事件”を取り上げ、攻撃者たちのビジネスモデルや意識がどのように変化したかを解説しよう。
OAuthを悪用した高度な攻撃「同意フィッシング」に注意 SaaS乗っ取りのリスク
正規のOAuthプロバイダーを悪用し、ユーザーに悪意のあるアプリへの権限付与を促す高度なサイバー攻撃「同意フィッシング」が確認された。SaaSの乗っ取りやChrome拡張機能の改ざんなど企業や個人に深刻な被害をもたらす可能性がある。
2024年は大事件続きで世間のセキュリティ意識が変化? 編集部が選ぶ主要トピック
2024年には世間を大きく騒がせたランサムウェア被害やIT障害が発生しました。年の瀬恒例、「ITmedia エンタープライズ」編集部が特に印象的だと感じたセキュリティトピックを振り返ります。