ガートナーが、CISO(最高情報セキュリティ責任者)が注目すべきだとしたセキュリティ・プロジェクトのトップ10は次のとおり。
1. 特権アカウント管理
このプロジェクトは、攻撃者による特権アカウントへのアクセスをより困難にするとともに、異常なアクセスの挙動をセキュリティ・チームが監視することを意図している。CISOは、最低限すべての管理者に必須の多要素認証(MFA)を設定する必要がある。また、外部委託先などの第三者によるアクセスについても、MFAを使用することをガートナーは推奨する。
2. CARTAに基づく脆弱性管理
ガートナーの「継続的でアダプティブなリスク/トラストのアセスメント(Continuous Adaptive Risk and Trust Assessment:CARTA)」アプローチにインスピレーションを受けたプロジェクトは、脆弱性管理への対応として優れた方法であるとともに、大幅なリスク軽減の潜在性を有している。パッチの適用処理が機能せず、IT部門が数多くの脆弱性に対処しきれない場合に、このようなアセスメントの実施を検討する。すべてにパッチを適用することはできないが、リスク・マネジメントの活動に優先順位を付けて実行することで、大幅にリスクを軽減させることができる。
3. アクティブ・アンチフィッシング
従業員が継続的にフィッシング攻撃の被害に遭っている企業向けのプロジェクト。これにはテクニカル・コントロール、エンドユーザー・コントロール、プロセス再設計という3本柱の戦略が必要だ。テクニカル・コントロールでは、可能な限り多くのフィッシング攻撃をブロックする。ただし、この防衛戦略の中では、ユーザー自身も積極的な役割を果たすようにしなければならない。
4. サーバ・ワークロードのためのアプリケーション・コントロール
このプロジェクトは、サーバ・ワークロードのために「Default Deny(デフォルトで拒否)」やゼロ・トラストを実施しようと考えている企業が検討すべきオプション。ほとんどのマルウェアはホワイトリストに登録されていないため、このプロジェクトではアプリケーション・コントロールによってマルウェアの大部分をブロックする。
5. マイクロセグメンテーションおよびフローの可視性
このプロジェクトは、データセンターのトラフィック・フローへの可視性とコントロールを求める、フラットなネットワーク・トポロジを採用している企業に適している (オンプレミスとサービスとしてのインフラストラクチャ [IaaS] の両方)。このプロジェクトの目標は、データセンターへの攻撃が横方向に拡散することを阻止するところにある。
6. 検知/対応
セキュリティ侵害は不可避であるという認識に基づき、エンドポイント、ネットワーク、ユー ザー・ベースのいずれかのアプローチによって高度な脅威の検知、調査、対応能力を実装したいと考えている企業向けのプロジェクト。次の3つの選択肢がある。
- エンドポイント保護プラットフォーム(EPP)+エンドポイントの検知/対応(EDR)
- ユーザー/エンティティ挙動分析(UEBA)
- 偽装テクノロジ(Deception)
EPPベンダーにはEDRを提供することを、そしてセキュリティ情報/イベント管理(SIEM)ベンダーにはUEBA機能を提供することを強く要求すべきだ。マネージド検知/対応(MDR)サービスの「軽量版」をベンダーから直接調達することを検討する。最後の「偽装テクノロジ」は、高い信頼性が求められるイベントにおいて脅威を検知する仕組みを強化する綿密な方法を探している企業にとって、小規模ではありながらも新しい、理想的なオプションとなっている。
7. クラウド・セキュリティの態勢管理(CSPM)
既存のIaaSおよびサービスとしてのプラットフォーム(PaaS)のクラウド・セキュリティ態勢を包括的かつ自動的に評価して、リスクが過度に高い領域を明らかにしたいと考えている企業が検討すべきプロジェクト。クラウド・アクセス・セキュリティ・ブローカ(CASB)をはじめ、 複数のベンダーから選択できる。使用しているIaaSが1つだけの企業の場合、まずAmazonかMicrosoftを検討するのがよい。CASBベンダーに対して、これを必須要件とする。
8. 自動セキュリティ・スキャニング
DevOps形式のワークフローにセキュリティ・コントロールを統合したいと考える企業向けのプロジェクト。まず、オープンソース・ソフトウェア・コンポジション分析から始めて、テストをDevSecOpsワークフローのシームレスな一部として統合する(コンテナも含む)。開発者がツールを切り替えないようにし、自動化に向けて完全なAPI対応を必須にすることがポイントになる。
9. クラウド・アクセス・セキュリティ・ブローカ(CASB)
マルチエンタプライズ、クラウド・ベース・サービスの可視性とポリシー・ベースの管理のためのコントロール・ポイントを探しているモバイル・ワークフォースを有する企業向けのプロジェクト。まず「発見」から始めて、プロジェクトの正当性を証明する。2018年および2019年は、ウェイト・センシティブなデータの「発見」と「モニタリング」が重要なユースケースとなる。
10. ソフトウェア・デファインド・ペリメータ
デジタル・システムと情報へのアクセスを認める対象を、指定の社外パートナー、リモート・ ワーカー、外注先のみに制限することで攻撃範囲を狭めたいと考えている企業向けのプロジェクト。現在使用しているVPNベースのアクセスに伴うリスクを改めて確認することから着手すべき。
なお、ガートナーでは「ガートナー セキュリティ&リスク・マネジメント サミット2018」を、ナショナル・ハーバーに続いて、東京で7月24~26日に開催する。このリリースの内容については、会期中に「2018年セキュリティ・プロジェクトのトップ10」(7月25日 11:15~12:00、22A)のセッションで解説される。
