2025年1月8日、ガートナージャパン(Gartner)は、日本の企業が2025年に押さえておくべきセキュリティとプライバシーに関する12の重要論点を発表した。
詳細は以下のとおり。
論点1:新たなセキュリティガバナンス
近年、EUのNIS2指令やAI Act(AI法)、米国証券取引委員会(SEC)の新たなサイバーセキュリティの開示規則など、経営の責任を明確化しリーダーシップを促進する法規制の制定が進行している。サイバー攻撃や内部脅威に加え、クラウド、AI、データアナリティクス(D&A)、サイバーフィジカル、法規制のリスクも絡めた複雑な意思決定が必要になっており、従来の中央集権的なセキュリティガバナンスに限界が生じているという。新しい時代に向けたセキュリティ人材の強化も重要課題とのことだ。
論点2:新たなデジタルワークプレースとセキュリティ
企業では、新たな働き方が浸透することで人と情報が分散し、使用するアプリケーションも多様化している。様々なデータがローカルおよびクラウド上に散在するようになったことに加え、生成AIの利用などから、情報漏洩のリスクが高まっているという。ワークプレースにおける生成AIの利用には大きな期待が寄せられているが、情報の過剰共有などに対する仕組み作りが急務となっているとのことだ。従業員がセキュリティの当事者意識を持って、自ら行動できるようなセキュリティ文化の醸成を目指すことが求められているという。
論点3:セキュリティオペレーションの進化
ゼロトラスト、SASEなどへの取り組みは、部分的な最適化にとどまるケースもあり、総合的な製品のログへの対処や、チューニングなどの運用対応、円安の影響によるサービス費用の上昇などの課題もあがっているとのことだ。セキュリティオペレーションセンター(SOC)の運用において、多くの企業はアウトソーシングによって補うことを検討しているが、「インシデントや緊急時の判断と責任は自社にある」という意識が低い様子が見受けられると同社は述べる。
サイバーセキュリティAIアシスタントなどのテクノロジーは、進化の途上段階。むやみにAIの導入を優先するのではなく、自社の課題を認識し、その課題を解決できるかどうかという観点でテクノロジーを見極め、選択的に導入すべき局面になっているとのことだ。
論点4:インシデント対応の強化
サイバー攻撃の影響で長期的にビジネスが停止した事例が報道されたことにより、企業におけるセキュリティのインシデント対応は、事業継続計画(BCP)や危機管理など組織的な議論として再構築されるケースが増加しているという。
論点5:外部公開アプリケーションに対する攻撃への対応
近年、外部公開Webアプリケーションは、IaaS/PaaSで構築されるケースが増えている。マルチなプラットフォームを前提としたセキュリティの課題を抱えている企業も多く、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)市場のベンダー製品の動向に着目する必要性が増しているとのことだ。
論点6:マルウェア/標的型攻撃への対応
AIを悪用した脅威は拡大、そして巧妙化しているという。また、企業の国内外の拠点へのセキュリティ侵害も増加。ビジネスにおけるテクノロジー環境の変化にともない、企業が攻撃を受ける可能性のある脅威エクスポージャが増加し、アタックサーフェスマネジメント(ASM)へのニーズが高まっているとのことだ。継続的な脅威エクスポージャ管理(CTEM)に取り組む必要性を感じる組織が増加している一方、既に導入した企業の中には、運用に関して課題を抱えているケースも見られると同社は述べる。
論点7:内部脅威への対応
PCの操作ログについて、不正の兆候が埋没し検知できない状況が見られるという。退職予定者による内部不正に加えて、兼務や出向といった日本独自の人事施策は、新たに対策をとるべき分野として注目されているとのことだ。AIを活用した内部脅威の検知に期待が高まる中、認証、権限管理、データ保護といったセキュリティの基本的施策が十分にできていないところにツールを導入しても、期待する内部不正を検知することは難しいと同社は予測している。
論点8:法規制、サードパーティ/サプライチェーンのリスクへの対応
IT/デジタル、AI、サイバーセキュリティ関連の法規制制定の進行にともない、企業内のどの部門がこれをリードすべきか、どのように関与すべきかについて戸惑う企業が増えているという。日本は、新たなデジタルトレンドや規制において先進的とは言えず、日本の常識のみで判断することはビジネス上のリスクを高める状況になっているとのことだ。
論点9:クラウドのリスクへの対応
マルチクラウドの利用が進み、セキュリティの構成を漏れなくアセスメントして対応することが難化しており、継続的かつプロアクティブな取組みが必要となっているという。一方、クラウドの利用にあたって、各事業部門が主導して開始する例も増えており、クラウドにはSaaSのような形態にAIが組み込まれているケースも増加。そのため、従来の中央集権的なコントロールのみでは運営に限界があると感じる組織が増えているという。
論点10:サイバーフィジカルシステム(CPS)のリスクへの対応
サイバーとフィジカルの両空間の融合は、エネルギーや通信のほか、車両、医療、物流といった領域における自動化や自律化として進んでいるが、こうした環境でのセキュリティ侵害は、自社のセキュリティの問題にとどまるものではなく、社会インフラの混乱を招くことにつながると同社は指摘。IT/セキュリティ部門と、製品やサービスなどに責任を持つ事業部門が協働で進めるなど、両部門の分断をなくして組織的にCPSセキュリティに取り組める体制をつくることが、企業にとって急務だとした。
論点11:データアナリティクスのリスクへの対応
AIや生成AIの利用により、企業内で様々なデータが使われるようになるにつれ、情報漏洩のリスクが高まることが懸念されている。構造化データだけでなく、非構造化データに対してもアクセス権を付与する必要があるという点に、大きな関心が寄せられているとのことだ。AIや生成AIにより高まる情報漏洩リスクへ組織的に対処するために、セキュリティのリーダーと、データ活用推進あるいはデータ管理の責任者とのさらなる連携、協働が求められると同社は述べた。
論点12:AIのリスクへの対応
パブリックな生成AIアプリケーションの利用について、従業員に注意喚起や、使い方についてのガイドラインの提供、トレーニングなどの対応を行った組織は増えている。自社独自のデータを利用し、プライベートな生成AIアプリケーションを構築して運用する形態も増えており、それにともないアタックサーフェスも拡大しているという。AI TRiSM(AIのトラスト/リスク/セキュリティマネジメント)の取り組みの重要性が高まっているが、日本全体としてそれらの取り組みは未成熟な状況にあるとのことだ。
【関連記事】
・デジタルスキル教育を担う部門1位は?新たに人事部門・DX推進部門も台頭か──Gartner調査
・2026年末までに中間管理職の半数廃止か──Gartner調査
・AI時代の情報漏えいリスク対策に不可欠な「6つの要素」【Gartner発表】
