ガートナー ジャパンのリサーチ部門リサーチ ディレクターでサミットのチェア・パーソンである礒田優一氏は、「組織が対応すべき事象」と「組織が実施すべき対策」を整理し、2017年に組織が議論し取り組むべき重要なセキュリティのアジェンダとして以下の10項目を取り上げ、最新の動向を解説した。
1. アウトサイダーの脅威(サイバー攻撃)
外部に公開されたWebサイトへの攻撃は依然として多発しており、セキュリティをすり抜けて内部に入り込む標的型攻撃や、大きく報道されているランサムウェアなど、この領域には2017年も引き続き高い関心が寄せられている。全体として変化の速い領域だが、特に、すり抜ける脅威を検知して対応するためのテクノロジやサービスは多種多様だ。セキュリティ・リーダーは、最新の動向を継続的に注視していくとともに、現状を踏まえて目標を設定し、計画的に取り組みを進めていく必要がある。
2. インサイダーの脅威
従来の懸念事項である内部の人間による人為的な不正やミスに起因する情報漏洩に加えて、2017年には、ワークスタイルの多様化や働き方改革を背景としたセキュリティに関する問い合わせも増えている。インサイダーの脅威は、テクノロジのみでは対応しきれないという側面を持つ。多角的(組織的/人的/技術的など)な対策を進めるとともに、ワークスタイルの多様性に順応したセキュリティの実装のトレンドにも目を向ける必要がある。
3. エンドポイントのセキュリティ
エンドポイントのセキュリティの市場には、ノンシグネチャ・ベースのアンチマルウェアやエンドポイントの脅威検知/対応(EDR)など、多種多様なベンダー/製品が存在し、2017年には動きがさらに活発化している。ヒューリスティック、振る舞い、人工知能(AI)など、さまざまな言葉が多用される領域だが、マーケットのノイズに惑わされることなく、自社に必要な機能を特定し、冷静に製品を評価/選定しなければならない。
4. クラウドのセキュリティ
「クラウドのセキュリティ」を漠然と議論する時代は終わった。単に「クラウド」「セキュリティ」といってもさまざまであり、大きく分類するとマルチテナント・コントロール、サービスとしてのソフトウェア(SaaS)コントロール、サービスとしてのインフラストラクチャ(IaaS)コントロールの3つに整理することができる。それぞれの近年の重要なトレンドを押さえつつ、自社に関係するクラウドのセキュリティについて、個別かつ具体的に議論を進めていくべきだ。
5. IAM
クラウド/モバイルの広がりと脅威の高まりを背景に、IAMも大きく変化している。近年台頭してきたサービスとしてのIAM(IDaaS)、クラウド・アクセス・セキュリティ・ブローカ(CASB)、エンタプライズ・モビリティ管理(EMM)などは、2017年も引き続き、各ベンダーの動きが活発化している領域になる。そうした動向にキャッチアップするとともに、自社におけるクラウド/モバイルとIAMのあるべき姿を描きつつ、現状を分析し、ギャップをどう埋めるのか検討を開始すべきだ。
6. および7. 検知と対応(SOCの構築・運用、インシデント・レスポンスの強化)
近年、迅速な「検知と対応(Detect and Respond)」が特に重要視されるようになっている。すべてを防御できるとは誰も言い切れない現状がその背景にあるが、今後、企業のセキュリティ予算の半分以上が迅速な検知と対応のために割り当てられると、ガートナーは予測している。企業におけるセキュリティ体制の強化や、関連したテクノロジやサービスに関する問い合わせが、2017年にもガートナーには多く寄せられている。テクノロジやサービスの概要を全体として理解することはもちろん、人材が深く関わってくる領域であるため、社内においてスキルやリテラシの底上げを図っていく必要もある。
8. 法規制/グローバル化とセキュリティ
国内では2017年5月に施行された改正個人情報保護法、そして海外では2018年5月に発効予定のEU一般データ保護規則(GDPR)など、プライバシー関連の法規制がグローバルで転換期を迎えている。法制度で求められるセキュリティ・コントロールは、広範かつ多岐にわたるが、規制の影響を冷静に評価することが求められる。GDPRに関しては、発効予定の2018年までに、法務部門や法律の専門家を交えて必要な対策を取らねばならない。
9. セキュリティ・ガバナンス
2017年も、セキュリティへの支出やアウトソーシングが依然として国内外で増加傾向にある。セキュリティ・リーダーから経営者への説明はますます欠かせないものになっている。その際、セキュリティ・リーダーは、経営陣に対して単に「予算」を求めるのではなく、本質的には「判断」を求める必要がある。デジタル・ビジネスは今後さらに拡大していくため、セキュリティに関する経営陣の責任を明確にし、セキュリティをビジネスの価値として伝え、経営陣からの支援を確実に受けられるような取り組みをさらに進めるべきだ。
10. デジタル・ビジネスとセキュリティ
デジタル・ビジネスのトレンドは、セキュリティに関する考え方を抜本的に見直す機会をもたらす。セキュリティとリスク・マネジメントの担当者は、「セキュリティが捉えるべき対象」の完成を待つだけではなく、デジタル・ビジネスのトレンドを継続的かつプロアクティブに捉え、自らがなすべきこと、そしてセキュリティとリスクについての考え方を、デジタル時代に適応したものへと進化させる必要がある。
礒田氏は次のようにも述べている。「今後デジタル化がさらに進むにつれ、セキュリティとリスク・マネジメントの複雑性はいっそう高まります。ビジネスだけでなく社会全体や人の生命に関わる部分にもデジタル化の影響が及ぶようになるでしょう。デジタル・ビジネスは、セキュリティの考慮や実装なくして実現できません。セキュリティはもはや、『オプション』ではなく『マスト』な対策であると言えます。日本企業は、今回提示した10項目の重要なアジェンダをベースに、自社の取り組みにおいてこれらの重要な論点が漏れていないか確認すべきです。また、その際には、サイバー攻撃やマルウェアといった特定のセキュリティに閉じた議論にとどまらず、IT/テクノロジの変化、さらにはビジネス環境の変化に着目し、同等あるいはそれ以上の注意を払う必要があります」 。
ガートナーは7月12~14日、「ガートナー セキュリティ&リスク・マネジメント サミット2017」を開催している。このサミットでは、ガートナーの国内外のアナリストならびにコンサルタントが、ビジネスを中断させることなく、深刻化するサイバーセキュリティ・リスクを管理するための革新的なテクノロジやプラクティスを紹介するという。