ガートナー ジャパンは7月25日、都内で開催しているイベント『ガートナー セキュリティ&リスク・マネジメント サミット 2018』で、2018年に日本のセキュリティ・リーダーが議論し取り組むべきセキュリティの重要アジェンダを発表した。

具体的には、以下の6点が重要アジェンダとなる。

  1. 海外拠点/サプライチェーンのセキュリティをどこまで強化すべきか
  2. 脆弱性マネジメントはどうあるべきか
  3. デジタル・ワークプレースのセキュリティのあるべき姿とは
  4. エンドポイントのセキュリティの最適解とは
  5. クラウドのセキュリティで注目すべきポイントは何か
  6. デジタルのセキュリティについてリーダーが考えるべきことは何か

海外拠点/サプライチェーンのセキュリティ

海外拠点やサプライチェーンなどを複数有する企業にとって、各拠点のセキュリティをどこまで強化すべきかは悩ましい課題となっており、企業としては海外拠点/サプライチェーンも含め、すべてを守るのが理想だが、現実には全部を完璧に守ることは不可能だという。

しかしながら、海外拠点やパートナーを含めたサプライチェーンにおいてインシデントが発生すれば、その説明責任は本社に求められ、説明責任を果たすためには、リーダーシップと、インシデント発生後の観点に立った対応が、日頃から必要となるとしている。

脆弱性マネジメント

2018年の年明け早々ニュースになったSpectre/MeltdownのようなCPUの脆弱性や、2017年に多発して大きく報道されたApache Strutsの脆弱性を突いた攻撃のほかにも、脆弱性に対する攻撃は日々発生している。

そうした脆弱性に関する公開情報のすべてに対し、理想を言えばタイムリーにパッチを適用して対応したいところだが、本番環境への影響などを考えると現実はそうはいかず、膨大な脆弱性情報を手動で管理するにも限度があるという。

そうしたジレンマを解決するには、リスクの可視化と自動化がポイントになり、リスクをベースに脆弱性の優先順位を判断、可視化し、自動化を検討しなければならないとしている。

デジタル・ワークプレースのセキュリティ

働き方改革の推進にあたっては、利便性とセキュリティを両立させることが理想的だと言われるが、現実には従来の企業ポリシーからの逸脱など、両立が困難な場合も多く、対策に苦慮している企業が多く存在する。

今までは「どこまで許可してどこから禁止するか」という観点でセキュリティ対策が行われてきたが、これからは「禁止」ではなく「許可」した上でセキュリティ対策を行う、「人中心のセキュリティ」へと変革していく必要があるとしている。