SecurityInsight | セキュリティインサイト

ガートナー、2017年の日本におけるセキュリティ・アジェンダのトップ10を発表

ガートナー ジャパンは7月13日、都内で開催している「ガートナー セキュリティ&リスク・マネジメント サミット 2017」の中で、2017年の日本におけるセキュリティ・アジェンダのトップ10を発表した。

1.アウトサイダーの脅威(サイバー攻撃)
外部に公開されたWebサイトへの攻撃は依然として多発しており、セキュリティをすり抜けて内部に入り込む標的型攻撃や、大きく報道されているランサムウェアなど、この領域には2017年も引き続き高い関心が寄せられている。全体として変化の速い領域だが、特に、すり抜ける脅威を検知して対応するためのテクノロジーやサービスは多種多様。セキュリティ・リーダーは、最新の動向を継続的に注視していくとともに、現状を踏まえて目標を設定し、計画的に取り組みを進めていく必要がある。

2.インサイダーの脅威
従来の懸念事項である内部の人間による人為的な不正やミスに起因する情報漏洩に加え、2017年にはワークスタイルの多様化や働き方改革を背景としたセキュリティに関する問い合わせも増えている。インサイダーの脅威はテクノロジーのみでは対応しきれないという側面を持つ。多角的(組織的/人的/技術的など)な対策を進めるとともに、ワークスタイルの多様性に順応したセキュリティの実装のトレンドにも目を向ける必要がある。

3.エンドポイントのセキュリティ
エンドポイントのセキュリティの市場には、ノンシグネチャ・ベースのアンチマルウェアやエンドポイントの脅威検知/対応(EDR)など、多種多様なベンダー/製品が存在し、2017年には動きがさらに活発化している。ヒューリスティック、振る舞い、AIなど、さまざまな言葉が多用される領域だが、マーケットのノイズに惑わされることなく、自社に必要な機能を特定し、冷静に製品を評価/選定しなければならない。

4.クラウドのセキュリティ
「クラウドのセキュリティ」を漠然と議論する時代は終わった。単に「クラウド」「セキュリティ」といってもさまざまであり、大きく分類するとマルチテナント・コントロール、サービスとしてのソフトウェア(SaaS)コントロール、サービスとしてのインフラストラクチャ(IaaS)コントロールの3つに整理することができる。それぞれの近年の重要なトレンドを押さえつつ、自社に関係するクラウドのセキュリティについて、個別かつ具体的に議論を進めていくべきである。

5.IAM
クラウド/モバイルの広がりと脅威の高まりを背景に、IAMも大きく変化している。近年台頭してきたサービスとしてのIAM(IDaaS)、クラウド・アクセス・セキュリティ・ブローカー(CASB)、エンタプライズ・モビリティ管理(EMM)などは、2017年も引き続き各ベンダーの動きが活発化している領域である。そうした動向にキャッチアップするとともに、自社におけるクラウド/モバイルとIAMのあるべき姿を描きつつ、現状を分析し、ギャップをどう埋めるのか検討を開始すべきである。

6および7.検知と対応(SOCの構築・運用、インシデント・レスポンスの強化)
近年、迅速な「検知と対応(Detect and Respond)」が特に重要視されるようになっている。すべてを防御できるとは誰も言い切れない現状がその背景にあるが、今後、企業のセキュリティ予算の半分以上が迅速な検知と対応のために割り当てられると、ガートナーは予測している。企業におけるセキュリティ体制の強化や、関連したテクノロジーやサービスに関する問い合わせが、2017年にもガートナーには多く寄せられている。テクノロジーやサービスの概要を全体として理解することはもちろん、人材が深く関わってくる領域であるため、社内においてスキルやリテラシーの底上げを図っていく必要もある。

8.法規制/グローバル化とセキュリティ
国内では2017年5月に施行された改正個人情報保護法、そして海外では2018年5月に発効予定のEU一般データ保護規則(GDPR)など、プライバシー関連の法規制がグローバルで転換期を迎えている。法制度で求められるセキュリティ・コントロールは、広範かつ多岐にわたるが、規制の影響を冷静に評価することが求められる。GDPRに関しては、発効予定の2018年までに、法務部門や法律の専門家を交えて必要な対策を取らねばならない。

9.セキュリティ・ガバナンス
2017年も、セキュリティへの支出やアウトソーシングが依然として国内外で増加傾向にある。セキュリティ・リーダーから経営者への説明はますます欠かせないものになっている。その際セキュリティ・リーダーは、経営陣に対して単に「予算」を求めるのではなく、本質的には「判断」を求める必要がある。デジタル・ビジネスは今後さらに拡大していくため、セキュリティに関する経営陣の責任を明確にし、セキュリティをビジネスの価値として伝え、経営陣からの支援を確実に受けられるような取り組みをさらに進めるべきである。

10.デジタル・ビジネスとセキュリティ
デジタル・ビジネスのトレンドは、セキュリティに関する考え方を抜本的に見直す機会をもたらす。セキュリティとリスク・マネジメントの担当者は「セキュリティが捉えるべき対象」の完成を待つだけではなく、デジタル・ビジネスのトレンドを継続的かつプロアクティブに捉え、自らがなすべきこと、そしてセキュリティとリスクについての考え方を、デジタル時代に適応したものへと進化させる必要がある。
 

関連リンク

プレスリリース