ガートナージャパン(Gartner)は1月11日、日本の企業がセキュリティに関して2024年に押さえておくべき10の重要論点を発表した。同社は、セキュリティとプライバシーの領域を俯瞰し、自社の取り組みを再考する必要があると提言している。
サイバー脅威の高まり、AI(人工知能)やデータ/アナリティクスなどグローバルで進行するデジタル化のトレンドのリスク、関連する法規制の動き、セキュリティのテクノロジーや市場の多様化により、セキュリティとプライバシーの領域はますます混沌としたものになってきていると同社は指摘する。
そうした変化への対応のキャッチアップは困難を極めるため、新たなセキュリティの戦略や計画の立案に苦戦する組織が増えており、また立案したとしても、それらが陳腐化するスピードが速まっているという。
同社が発表した重要論点は、1)新たなセキュリティ・ガバナンス、2)新たな働き方とセキュリティ、3)セキュリティ・オペレーションの進化、4)インシデント対応の強化、5)外部からの攻撃への対応、6)内部脅威への対応、7)法規制、サード・パーティ/サプライ・チェーンのリスクへの対応、8)クラウドのリスクへの対応、9)データ・アナリティクスのリスクへの対応、10)AIのリスクへの対応、の10点。
新たなセキュリティ・ガバナンス
セキュリティ・ガバナンスに関して、SRM(セキュリティ/リスク・マネジメント)リーダーは、従来存在する情報セキュリティの脅威のみではなく、サイバー・セキュリティおよびデジタル・トレンドを踏まえた新しい脅威の変化をファクト・ベースで経営陣、ビジネス・リーダーに伝え、理解を促すことが重要という。
セキュリティはITの問題ではなく経営問題であり、組織全体として対応すべき問題であるとの共通理解を得ると共に、分散型意思決定を可能とするプロセスへ移行する必要があるとのこと。
新たな働き方とセキュリティ
新たな働き方とセキュリティについて、SRMリーダーは、従業員がシステムやデータにどこからアクセスし、どのように使うのか、そうした実態を把握し、ユース・ケースごとに適切なセキュリティを選択できるような取り組みを推進する必要があるという。
日常型AIの利用が進むことで、ユーザーとして新たに認識すべきリスクも増えるため、2024年は、従業員に対するセキュリティ教育の在り方を見直す必要があると同社は指摘する。
セキュリティ・オペレーションの進化
セキュリティ・オペレーションの進化に関して、SRMリーダーは、脅威対策製品の検知や防御の能力に頼るだけでなく、問題が発生しないような構成を維持する事前対応プロセス(脆弱性への対処や、設定ミスの修正など)をセキュリティ・オペレーションに組み込み、そのサイクルを回していくことが求められるという。
また、生成AIなどの利用については発展途上にあるため、セキュリティ運用の今後の姿を描き、中長期的な視点で検討していくことが重要だとしている。
インシデント対応の強化
インシデント対応の強化については、インシデントが広い範囲に影響する場合、業務停止の時間を極力短くすることが重要になるため、こうした場面ではインシデントの原因究明よりもシステムの暫定復旧を優先するよう、インシデント対応プロセスを見直す必要があるという。
曖昧な想定があれば具体的なシナリオとして修正し、インシデント対応組織が複数ある場合には、各々が分断しないよう協働に向けた働きかけも重要とのこと。
外部からの攻撃への対応
外部からの攻撃への対応に関して、SRMリーダーは、自社の資産や保持している情報を踏まえた想定シナリオの準備や、運用プロセスの見直し、および運用スキル強化に向けた取り組みが必要という。
併せて、攻撃リスクを低減するための手段として従来行っている脆弱性マネジメントと、新たに対処が必要になっている脅威エクスポージャの双方に対応するために、継続的な脅威エクスポージャ管理(CTEM)への取り組みを検討することも必要だと同社は指摘する。
内部脅威への対応
内部脅威への対応については、その対応範囲が広いため、まずはリスクの高いもの、例えば高度な機密情報を扱うユーザー、特権を行使する場面、あるいは退職を予定しているユーザーなど、特定のポイントにフォーカスして取り組みを進めることが重要だという。
一方、AIを使用した脅威検知への期待が高まっているが、使用する際は、不正検知に用いる従業員情報が不適切な用途で使われないよう、従業員のプライバシーへの配慮を最優先事項とする必要があるとのこと。
サード・パーティ/サプライ・チェーンのリスクへの対応
法規制、サード・パーティ/サプライ・チェーンのリスクへの対応に関しては、日本は新たなデジタル・トレンドや規制において必ずしも先進的とは言えないため、日本の常識のみでの判断はビジネス上のリスクを高めると同社は危惧する。
SRMリーダーは、デジタル、プライバシー、セキュリティなどの分野における法規制や関連ガイドを含め、国内外の主なトレンドを押さえると共に、経営陣の認識を高め、関連部門も関与させながら取り組みを推進していく必要があるという。
クラウドのリスクへの対応
クラウドのリスクへの対応では、クラウド・ネイティブ・アプリケーションの増加や、マルチクラウド環境に対応したセキュリティとして、クラウド・ネイティブ・アプリケーション保護プラットフォーム(CNAPP)、クラウド・セキュリティ・ポスチャ・マネジメント(CSPM)、SaaSセキュリティ・ポスチャ・マネジメント(SSPM)などの評価、導入も含め、より合理的でセキュアな運用を目指すべきとのこと。
また、部門横断的なチームの結成や事業部門側における運用プロセスなども、併せて検討する必要があると、同社は指摘する。
データ・アナリティクスのリスクへの対応
データ・アナリティクスのリスクへの対応について、SRMリーダーは、セキュリティの議論の機会を逃すことなく、プロジェクトにおけるセキュリティの確実な取り組みについて事業部門と共に推進すべきという。
また個人情報を扱う場合、セキュリティに加えてプライバシーへの配慮の取り組みが不可欠となるため、責任ある企業としてプライバシーに取り組む姿勢を明確にし、関係者の責任と役割を明確にすることが求められるとのこと。
AIのリスクへの対応
AIのリスクへの対応では、生成AIの社内利用を超えて、顧客向け製品/サービスへの組み込みが増加するにつれ、AIのトラスト/リスク/セキュリティ・マネジメント(AI TRiSM)に取り組むなど、自社におけるAIのリスクを検討し、それらに向けた具体的な対応の必要性が高まると同社は指摘する。
同社バイス プレジデント アナリストの礒田優一氏は、「昨今、セキュリティの取り組みをステーク・ホルダーに説明する必要性が今まで以上に高まっていますが、戦略不在のままその場しのぎの対応を継続した場合、企業として責任を問われた際に説明に窮する事態に陥る可能性があります。SRMリーダーは、目の前の課題や仕事のみに振り回されるのを避けるために、少なくとも年に1回は視野を広げ、自社の取り組みを見つめ直す機会を持つべきです。そのためには、セキュリティとプライバシーの領域を俯瞰する視点が必要です」とコメントしている。