ガートナージャパン(Gartner)は10月18日、「日本におけるセキュリティ(インフラ、リスク・マネジメント)のハイプ・サイクル:2023年」を発表した。セキュリティの中でも特にセキュアなインフラとリスク・マネジメントを実現しながら企業のビジネス、サービス、データを保護する29の重要なテクノロジー/手法/概念を取り上げたもの。

同レポートでは、AI TRiSM(AI(人工知能)のトラスト/リスク/セキュリティ・マネジメント)、サイバー・セキュリティ向け生成AI、エクスポージャ管理(EM)などのテクノロジーやトレンドを新たに追加した。SASE(セキュア・アクセス・サービス・エッジ)とSSE(セキュリティ・サービス・エッジ)に対する過度な期待は既にピークを越えているといい、今後幻滅期に向かうものと同社は見ている。

同社バイス プレジデント アナリストの礒田優一氏は、「AIのリスクを軽視する組織は、プロジェクトの失敗やセキュリティ侵害などの不利益を招く傾向が飛躍的に高まります。企業はこうした新しいテクノロジーのリスクと機会、およびそれらの市場の動向に着目し、新たな時代に向けてセキュアなインフラとリスク・マネジメント領域における自社の取り組みを進化させていく必要があります」と述べる。

  • 日本におけるセキュリティのハイプ・サイクル(2023年) 出典: ガートナージャパン

AI TRiSMは、AIのガバナンス、信頼性(トラスト)、公平性、確実性、堅牢性、有効性、データ保護を確実にするための一連の手法とテクノロジーであり、同社は2023年の戦略的テクノロジーのトップ・トレンドに選んでいる。

これにより、企業がAIモデルやアプリケーションのライフ・サイクルを管理/コントロールし、ビジネス目標を達成できるよう支援できるという。また、EU(欧州連合)で今後予定しているAI規制法のような規制へのコンプライアンス対応の実務においても有効とのこと。

サイバー・セキュリティ向け生成AIは、既存のサイバー・セキュリティ関連のデータや、シミュレーション・エージェントを通じて学習し、機能するAIテクノロジー。サイバー・セキュリティのテクノロジー・プロバイダは生成AIを使用して、既存のワークフローを改善したり、既存のアナリティクスや対応を代理実行させたりできる。

アセスメント/管理の手法が、脆弱性スキャン、ペネトレーション・テスト、脅威インテリジェンス・マネジメントなどにサイロ化している中、企業のデジタル資産のアクセシビリティと脆弱性を継続的に検証できるようにする一連のプロセス(継続的なエクスポージャ管理)の必要性が高まっている。

エクスポージャ管理は、急速に拡大するアタック・サーフェイス(攻撃対象領域)に存在する脅威のインベントリ作成、優先順位付け、検証といった労力を軽減させ、従来の脆弱性マネジメント(VM)では不十分だったという課題の可視化と対応を容易にするとしている。

多様なテクノロジーを利用し、企業が継続的かつ一貫して効果を得るために、継続的脅威エクスポージャ管理(CTEM)プログラムによって統括される。

前出の礒田氏は、「セキュリティの製品/サービスは、購入するだけですぐにそのメリットがもたらされることは滅多にありません。それを使いこなす人材や、適合するプロセスが併せて必要になるという点に留意が必要です。また、個々のテクノロジーが成熟するまでの期間や重要度を鑑み、導入のタイミングや取り組みを検討すべきです。例えば、現時点では発展途上にあるため、今後の中長期的な動向に着目しておくことが重要なものもあれば、成熟するまで待ち続けるのではなく着手できる部分から取り組みを開始すべきものもあります。セキュリティへの投資を検討している組織は、急速なデジタル化の進展と脅威の変化に対応するために、取り組みの優先順位を定期的に調整することが重要です」とコメントしている。

同社のハイプ・サイクルは、イノベーションが過度にもてはやされる期間を経て幻滅期を迎え、最終的には市場や分野でその重要性や役割が理解され進化する共通のパターンを描いたもの。

多くの場合イノベーションは、過度にもてはやされる期間を経て幻滅期を迎え、最終的には、市場や分野でその重要性や役割が理解されるという段階を踏まえて進化するとのこと。 ハイプ・サイクルに含まれるテクノロジーの導入に際しては、その目的や最適なタイミングは企業によって異なることを認識する必要があると、同社は指摘している。