セキュリティは、かつては「情報セキュリティ」と言われることが一般的だが、現在は、守る対象が「情報」のみではなく「モノ」や「人」、さらには「ビジネス」そのものにまで広がり、企業にとってはビジネス全体に関わる課題になっている。
ガートナーのアナリストでシニア ディレクターの礒田優一氏は、次のように述べている。
――セキュリティは、今後ますます複雑化し、難解かつ混沌としたものになります。場当たり的な対応を繰り返していては、企業として一貫性のある対応は望めないことは明らかで、今後は致命傷にもなりかねません。ITおよびセキュリティのリーダーは、そうしたクリティカルな状況について経営者が正確に理解できるよう、複雑化したセキュリティの全体像を整理して、自社が何をすべきか、何から取り組むべきかを示し、2019年中に早急に取り組みを開始する必要があります。
図は、企業のITおよびセキュリティのリーダーが、複雑化するセキュリティの全体像を整理するために参照できるモデルになる。昨今のトレンドを踏まえて、「テクノロジの進展」「脅威/リスク」「アダプティブ・セキュリティ」の3つの軸で表している。
セキュリティ対策は「なぜ」必要で、「何を」「どこで」「どのように」すべきなのか
そもそも「なぜ」セキュリティ対策が必要なのか。「脅威/リスク」が存在するためである。サイバー攻撃や災害といった外部からの脅威(図では「アウトサイダー」)、従業員によるデータ漏洩や不正といった内部の脅威(図では「インサイダー」)、そして、昨今重要性を増している個人データに関する「プライバシー」に関するリスクに分類され、いずれも企業ビジネスを揺るがしかねないインパクトを持っている。
では「何を」すべきなのか。シンプルには「アダプティブ・セキュリティ」がその答えになる。米国国立標準技術研究所(NIST)のCSF(サイバーセキュリティ・フレームワーク)に沿った取り組みを進める組織が国内外で増えているが、それも「アダプティブ・セキュリティ」の原則を適用する例と言える。この原則自体は今後も変わらない。
最後に、そうしたセキュリティを「どこで」「どのように」実装すべきか。ITインフラの構成要素も、サーバやPCのみであった時代から、現在ではクラウドやモバイルが当たり前となり、いわゆる「モード1」と「モード2」の両方のシステムが稼働、さらには「New World」とも呼ぶべき高度なデジタル社会に進もうとしている。
企業はそうしたテクノロジの進展を踏まえたセキュリティ課題に対して、非常に高度な判断を求められる状況に直面している。
礒田氏は、次のようにも述べている。
――企業は、参照モデルを活用することで、高度化する新たなデジタル社会に向けて、自社におけるセキュリティとリスク・マネジメントの重要な論点を洗い出し、それに対する取り組みの方向性を決めるためのディスカッションを開始することが可能となります。例えば、『アダプティブ・セキュリティ』軸で見た場合、Predict(予測)に関して今最も重要になっているのは、セキュリティ組織/人材の再定義です。ではどのように再定義すればよいかというと、『テクノロジの進展』軸、あるいは『脅威/リスク』軸も併せて考えると、その答えに向けた議論をリードすることができます。
――サイバーセキュリティ人材が不足している、と言われることが多いですが、それだけではないことが理解できると思います。あるいは『テクノロジの進展』軸で見た場合、大半の企業では既にモダンIT(例えばクラウド)への対応は必須となっていますが、これと併せて『脅威/リスク』軸や『アダプティブ・セキュリティ』軸のカットで見ていくと、クラウドに関連したセキュリティについて、さらに具体的かつ現実的な議論が可能になります。議論の結果、識別される2019年の重要論点、取り組み、およびそのプライオリティは、各企業で変わってくるはずです。
なお、ガートナーは8月5~7日、東京都港区のANAインターコンチネンタルホテル東京において「ガートナー セキュリティ & リスク・マネジメント サミット 2019」を開催する。
サミットでは、「新たな時代の幕開け~セキュリティのファンダメンタルを確立せよ~」をテーマに、セキュリティ/リスク・マネジメントのリーダーがどのようにリーダーシップを発揮し、何をすべきなのかについて、実践的な提言を行うという。このプレスリリースに関連した内容は、礒田氏が「日本におけるセキュリティの重要アジェンダ:2019年」(8月6日 9:15~10:00、GK2)で解説する。
