ガートナージャパン(以下、Gartner)は、2023年のサイバーセキュリティにおける9つのトップトレンドを発表した。
サイバーセキュリティ・リスクに対処し、効果的なサイバーセキュリティ・プログラムを維持するために、セキュリティ/リスク・マネジメント(以下、SRM)リーダーは、3つの重要な領域に注力する必要があるという。
具体的には、1. セキュリティ・プログラムの成功と持続に不可欠な人材の役割、2. 組織のデジタル・エコシステム全体にわたって可視性と即応性を向上させるセキュリティの技術能力、3. セキュリティを損なうことなく俊敏性を高めるセキュリティ機能の運用方法の再構築だとしている。
以下9つのトレンドは、これらの3つの領域にわたり、SRMリーダーに影響をもたらすという。
1. 人間中心のセキュリティ・デザイン
人間中心のセキュリティ・デザインは、セキュリティ全体で従業員エクスペリエンスを向上させるとのこと。2027年までに、大企業の最高情報セキュリティ責任者(以下、CISO)の50%は、人間中心のセキュリティ・デザイン・プラクティスを採用して、サイバーセキュリティに起因する摩擦を最小限に抑えながら、コントロールを実装できるようになるとしている。
2. セキュリティ・プログラムを持続させるための人材管理の強化
有能な人材を引き付けて定着させるためにタレント・マネジメントに取り組んでいるCISOは、機能面および技術面の成熟度を向上させているとのこと。2026年までに、組織の60%が、サイバーセキュリティと雇用の体系的な課題に対応するために、外部からの採用を止め、社内人材市場からの「静かな採用」に移行するという。
3. サイバーセキュリティのオペレーティング・モデルを変革して価値の創出をサポート
テクノロジーは、IT部門が担うものから、ビジネス部門、コーポレート部門、フュージョン(融合)チーム、そして個々の従業員へと移行しつつある。Gartnerの調査では、業務において何らかのテクノロジーに携わっている従業員は41%に上ることが明らかになっており、この傾向は今後5年間にわたってますます強まるとしている。
CISOは、サイバーセキュリティのオペレーティング・モデルを修正して、業務の進め方を統合する必要があり、従業員は、サイバーセキュリティ・リスク、財務リスク、レピュテーション(評判)リスク、競合リスク、法的リスクなど、様々なリスクのバランスを取る方法を把握すべきとのこと。またサイバーセキュリティは、ビジネスの成果や優先課題に照らして成功を測定し、報告することで、ビジネスの価値へと結び付けることが求められるという。
4. 脅威エクスポージャー管理
CISOは、継続的な脅威エクスポージャー管理(以下、CTEM)プログラムを実施することで、脅威にさらされている範囲を理解するための評価プラクティスを進化させる必要があるとしている。2026年までに、CTEMプログラムに基づいてセキュリティ投資の優先順位を設定している組織は、セキュリティ侵害を3分の2減らせるようになるとGartnerは予測している。
5. アイデンティティ・ファブリック・イミュニティ
アイデンティティ・ファブリック、つまり、アイデンティティ管理が分散あるいはコンポーザブル型に進化する中で不完全な要素、誤設定された要素、または脆弱な要素が存在すると、その影響はアイデンティティ・インフラストラクチャ全体に広がるとのこと。2027年までに、アイデンティティ・ファブリック・イミュニティの原則に従うことで、企業は新たな攻撃の85%を防ぎ、セキュリティ侵害が財務にもたらす影響を80%削減できるようになるという。
6. サイバーセキュリティ・バリデーション
サイバーセキュリティ・バリデーションに必要なツールは、評価における反復可能で予測可能な側面を自動化するために進歩しており、攻撃手法、セキュリティ・コントロール、プロセスを定期的にベンチマーク評価可能。2026年末までに、3分の2の中堅企業を含む組織の40%以上では、統合プラットフォームを活用してサイバーセキュリティ・バリデーション評価を実行するようになるとしている。
7. サイバーセキュリティ・プラットフォームの集約
組織がオペレーションの簡素化を目指す中、ベンダーは1つまたは複数の主要サイバーセキュリティ領域を中心として、プラットフォームを集約しつつある。SRMリーダーは、重複する部分を把握して、集約されたプラットフォームの冗長性を減らすために、セキュリティ・コントロールを継続的に棚卸しする必要があるという。
8. コンポーザブル・ビジネスにはコンポーザブル・セキュリティが必要
コンポーザブル・セキュリティとは、サイバーセキュリティ・コントロールをアーキテクチャ・パターンに統合し、コンポーザブル・テクノロジの実装時にモジュール・レベルで適用するアプローチを指す。2027年までに、コア・ビジネス・アプリケーションの50%以上がコンポーザブル・アーキテクチャで構築されるようになり、それらのアプリケーションのセキュリティ保護には新しいアプローチが必要になるとしている。
9. 取締役会はサイバーセキュリティの監視能力を拡大
取締役会がサイバーセキュリティに注目している要因は、ガバナンス活動における取締役の責任を強化するために、サイバーセキュリティに関して明示的レベルの説明責任が課される傾向にあるためだという。サイバーセキュリティのリーダーは、サイバーセキュリティ・プログラムが組織の目標や目的にもたらす影響を示したレポートを、取締役会に提供すべきだと述べている。
【関連記事】
・Gartner、D&A推進においてリーダーが組織をリードするための指針を発表
・内製化の阻害要因は「IT部門の人手不足」との回答が最多──Gartner調査
・Gartner、IT部門とユーザーに影響を与えうる2023年以降の展望を発表