ガートナー、2018年のセキュリティ・プロジェクトのトップ10を発表

ガートナージャパンは7月10日、米ガートナーが6月6日に現地で開催した「ガートナーセキュリティ&リスク・マネジメントサミット2018」で発表した2018年のセキュリティ・プロジェクトのトップ10の和訳を公表した。

最高情報セキュリティ責任者(CISO)が注目すべきセキュリティ・プロジェクトのトップ10は以下のとおりとなっている。

1.特権アカウント管理
このプロジェクトは、攻撃者による特権アカウントへのアクセスをより困難にするとともに、異常なアクセスの挙動をセキュリティ・チームが監視することを意図している。CISOは、最低限すべての管理者に必須の多要素認証(MFA)を設定する必要がある。また外部委託先などの第三者によるアクセスについても、MFAを使用することをガートナーは推奨している。

2.CARTAに基づく脆弱性管理
ガートナーの「継続的でアダプティブなリスク/トラストのアセスメント」(CARTA)アプローチにインスピレーションを受けたプロジェクトは、脆弱性管理への対応として優れた方法であるとともに、大幅なリスク軽減の潜在性を有している。パッチの適用処理が機能せず、IT部門が数多くの脆弱性に対処しきれない場合に、このようなアセスメントの実施を検討する。すべてにパッチを適用することはできないが、リスク・マネジメントの活動に優先順位を付けて実行することで、大幅にリスクを軽減させることができる。

3.アクティブ・アンチフィッシング
従業員が継続的にフィッシング攻撃の被害に遭っている企業向けのプロジェクト。これにはテクニカル・コントロール、エンドユーザー・コントロール、プロセス再設計という3本柱の戦略が必要となる。テクニカル・コントロールでは、可能な限り多くのフィッシング攻撃をブロックする。ただし、この防衛戦略の中では、ユーザー自身も積極的な役割を果たすようにしなければならない。

4.サーバー・ワークロードのためのアプリケーション・コントロール
このプロジェクトは、サーバー・ワークロードのために「DefaultDeny(デフォルトで拒否)」やゼロ・トラストを実施しようと考えている企業が検討すべきオプション。ほとんどのマルウェアはホワイトリストに登録されていないため、このプロジェクトではアプリケーション・コントロールによってマルウェアの大部分をブロックする。アプリケーション・コントロールは包括的なメモリー保護と共に使用。IoTおよびベンダー・サポートが終了しているシステムにとって、非常に有用なプロジェクトとなる。

5.マイクロセグメンテーションおよびフローの可視性
このプロジェクトは、データセンターのトラフィック・フローへの可視性とコントロールを求める、フラットなネットワーク・トポロジを採用している企業に適している(オンプレミスとサービスとしてのインフラストラクチャ[IaaS]の両方)。このプロジェクトの目標は、データセンターへの攻撃が横方向に拡散することを阻止するところにある。まず可視性をセグメンテーションの出発点にする。ただし、セグメンテーションをしすぎないようにしなければならない。基幹アプリケーションから始め、ベンダーにはネイティブなセグメンテーションのサポートを要求する。

6.検知/対応
セキュリティ侵害は不可避であるという認識に基づき、エンドポイント、ネットワーク、ユーザー・ベースのいずれかのアプローチによって高度な脅威の検知、調査、対応能力を実装したいと考えている企業向けのプロジェクト。3つの選択肢がある。■エンドポイント保護プラットフォーム(EPP)+エンドポイントの検知/対応(EDR) ■ユーザー/エンティティ挙動分析(UEBA) ■偽装テクノロジー(Deception)EPPベンダーにはEDRを提供することを、そしてセキュリティ情報/イベント管理(SIEM)ベンダーにはUEBA機能を提供することを強く要求すべきである。マネージド検知/対応(MDR)サービスの「軽量版」をベンダーから直接調達することを検討する。最後の「偽装テクノロジー」は、高い信頼性が求められるイベントにおいて脅威を検知する仕組みを強化する綿密な方法を探している企業にとって、小規模ではありながらも新しい、理想的なオプションとなっている。

7.クラウド・セキュリティの態勢管理(CSPM)
既存のIaaSおよびサービスとしてのプラットフォーム(PaaS)のクラウド・セキュリティ態勢を包括的かつ自動的に評価して、リスクが過度に高い領域を明らかにしたいと考えている企業が検討すべきプロジェクト。クラウド・アクセス・セキュリティ・ブローカー(CASB)をはじめ、複数のベンダーから選択できる。使用しているIaaSが1つだけの企業の場合、まずAmazonかMicrosoftを検討するのがよい。CASBベンダーに対して、これを必須要件とする。

8.自動セキュリティ・スキャニング
DevOps形式のワークフローにセキュリティ・コントロールを統合したいと考える企業向けのプロジェクト。まずオープンソース・ソフトウェア・コンポジション分析から始めて、テストをDevSecOpsワークフローのシームレスな一部として統合する(コンテナも含む)。開発者がツールを切り替えないようにし、自動化に向けて完全なAPI対応を必須にすることがポイントになる。

9.クラウド・アクセス・セキュリティ・ブローカー(CASB)
マルチエンタプライズ、クラウド・ベース・サービスの可視性とポリシー・ベースの管理のためのコントロール・ポイントを探しているモバイル・ワークフォースを有する企業向けのプロジェクト。まず「発見」から始めて、プロジェクトの正当性を証明する。2018年および2019年は、ウェイト・センシティブなデータの「発見」と「モニタリング」が重要なユースケースとなる。

10.ソフトウェア・デファインド・ペリメーター
デジタル・システムと情報へのアクセスを認める対象を、指定の社外パートナー、リモート・ワーカー、外注先のみに制限することで攻撃範囲を狭めたいと考えている企業向けのプロジェクト。現在使用しているVPNベースのアクセスに伴うリスクを改めて確認することから着手すべき。
 

関連リンク

プレスリリース(PDF)