2017/8/12 オートメーション新聞
ガートナー セキュリティ&リスク・マネジメントサミット2017 日本の課題トップ10発表
ガートナー ジャパン(東京都港区)は、7月13日に行われた『ガートナー セキュリティ&リスク・マネジメントサミット2017』の中で、2017年に日本がセキュリティで取り組むべき課題となるセキュリティ・アジェンダトップ10を発表した。
セキュリティ・アジェンダトップ10
- アウトサイダーの脅威(サイバー攻撃)
- インサイダーの脅威
- エンドポイントのセキュリティ
- クラウドのセキュリティ
- アイデンティティ/アクセス管理
- 検知(Detect:セキュリティ・オペレーション・センターの構築・運用など)
- 対応(Respond:インシデント・レスポンスの強化)
- 法規制/グローバル化とセキュリティ
- セキュリティ・ガバナンス
- デジタル・ビジネスとセキュリティ
「アウトサイダーの脅威(サイバー攻撃)」は、Webサイトへの攻撃は依然として多発しており、セキュリティをすり抜けて内部に入り込む標的型攻撃や、大きく報道されているランサムウェアなど、引き続き高い関心が寄せられている。セキュリティ・リーダーは、最新の動向を継続的に注視し、現状を踏まえて目標を設定し、計画的に取り組みを進めていく必要がある。
「インサイダーの脅威」は、内部の人間による人為的な不正やミスに起因する情報漏洩に加えて、17年はワークスタイルの多様化や働き方改革を背景としたセキュリティに関する問い合わせも増えている。インサイダーの脅威は、テクノロジのみでは対応しきれないという側面を持ち、多角的(組織的/人的/技術的など)な対策を進める必要がある。
「エンドポイントのセキュリティ」には、ノンシグネチャ・ベースのアンチマルウェアやエンドポイントの脅威検知/対応など、多種多様なベンダーと製品が存在している。ヒューリスティック、振る舞い、人工知能・AIなど、さまざまな言葉が多用される領域だが、マーケットのノイズに惑わされることなく、自社に必要な機能を特定し、冷静に製品を評価/選定しなければならない。
「クラウドのセキュリティ」は、大きく分類するとマルチテナント・コントロール、サービスとしてのソフトウェア(Saas)コントロール、サービスとしてのインフラストラクチャ(IaaS)コントロールの3つに整理でき、それぞれのトレンドを押さえつつ、個別かつ具体的に議論を進めていくべきだ。
「IAM」は、近年台頭してきたサービスとしてのIDaaS、クラウド・アクセス・セキュリティ・ブローカ、エンタプライズ・モビリティ管理などは各ベンダーの動きが活発化している領域で、それらをキャッチアップしながら現状を分析し、ギャップをどう埋めるのか検討を開始すべきだ。
「検知」と「対応」は、今後、企業のセキュリティ予算の半分以上が迅速な検知と対応のために割り当てられると予測。テクノロジやサービスを理解しながら、社内の人材スキルやリテラシの底上げを図っていく必要がある。
「法規制/グローバル化とセキュリティ」は、改正個人情報保護法など、プライバシー関連の法規制がグローバルで転換期を迎えるなか、規制の影響を冷静に評価することが求められる。特に海外のEU一般データ保護規則(GDPR)へは、発効予定の18年までに法務部門や法律の専門家を交えて必要な対策を取る必要がある。
「セキュリティ・ガバナンス」は、セキュリティへの支出やアウトソーシングが増加傾向にあり、セキュリティ・リーダーから経営者への説明はますます欠かせないものになっている。デジタル・ビジネスは今後さらに拡大していくため、セキュリティに関する経営陣の責任を明確にし、セキュリティをビジネスの価値として伝え、支援を確実に受けられるような取り組みをさらに進めるべきだ。
「デジタル・ビジネスとセキュリティ」では、デジタル・ビジネスのトレンドは、セキュリティに関する考え方を抜本的に見直す機会をもたらす。そのためセキュリティとリスクについての考え方を、デジタル時代に適応したものへと進化させる必要がある。
テクノロジとビジネスの変化に即した対応を
同社のリサーチ部門礒田優一リサーチディレクターは「今後デジタル化がさらに進むにつれ、セキュリティとリスク・マネジメントの複雑性はいっそう高まる。ビジネスだけでなく社会全体や人の生命に関わる部分にもデジタル化の影響が及ぶようになるだろう。デジタル・ビジネスは、セキュリティの考慮や実装なくして実現できない。セキュリティはもはや、『オプション』ではなく『マスト』な対策であると言える。
日本企業は、今回提示した10項目の重要なアジェンダをベースに、自社の取り組みにおいてこれらの重要な論点が漏れていないか確認すべき。また、その際には、サイバー攻撃やマルウェアといった特定のセキュリティに閉じた議論にとどまらず、IT/テクノロジの変化、さらにはビジネス環境の変化に着目し、同等あるいはそれ以上の注意を払う必要がある」とまとめた。
出典:ガードナージャパン「ガートナー、2017年の日本におけるセキュリティ・アジェンダのトップ10を発表」
