ガートナージャパン(Gartner)は7月25日、日本のセキュリティ/リスク・マネジメント(SRM)のリーダーが2024年に注目すべき重要な論点を発表した。セキュリティの経営問題化と規制動向への対応不足、デジタル技術の進化によるセキュリティ管理の困難さ、セキュリティ・オペレーションの進化とAI活用の重要性などについて指摘した。
Gartnerのセキュリティ&リスク・マネジメントサミット2日目の基調講演で、バイスプレジデントアナリストの礒田優一氏とシニアプリンシパルアナリストの鈴木弘之氏が、新たなセキュリティ・ガバナンス、新たな働き方とデータ活用のセキュリティ、セキュリティ・オペレーションの進化の3つの観点から解説した。
同社の調査によると、取締役の84%がサイバーセキュリティをビジネス・リスクと見なしており、2024年3月に日本国内のセキュリティ・リーダーを対象に行われた調査でも、8割以上がセキュリティの取り組みを経営に報告していると回答しており、セキュリティが経営問題として議論される機会が増えていることが示唆されている。しかし、AIやサイバーセキュリティ、プライバシー関連の規制動向への対応については、十分対応できていると回答したのはわずか12.5%であったという。
礒田氏は次のように述べている。「法規制も含め、デジタルとリスクのトレンドは、今後ますます経営にとって重要問題になっていきます。SRMリーダーは、セキュリティに関連する最新動向をキャッチアップしながら、経営陣にビジネス・コンテキストで継続的に伝えていく必要があります。また、セキュリティ側の独りよがりの指標ではなく、経営陣の『素朴な疑問に答える』指標を使用すべきです。」
一方、AIやデータ/アナリティクス、アジャイル開発などのデジタル技術や、ローコード/ノーコード、市民開発のトレンドによりIT部門やセキュリティ部門だけでこれらの管理が難しくなっている。Gartnerの調査によれば、国内の64%の企業がセキュリティ問題をIT部門やセキュリティ部門だけで管理するのは限界があると回答したという。
礒田氏は、「これまでのガバナンスを見直し、従来のIT部門もしくはセキュリティ部門による中央集権型の態勢から、自由と責任、リテラシーを前提とした分散型の意思決定を可能とするような態勢へのシフトが急務となっています。私たちが直面するのは単なるITの問題ではありません」とコメントしている。
デジタル化が進む中で、経営者、ユーザー部門、セキュリティ部門はセキュリティ意識を変える必要がある。従業員の働き方やデータ活用の拡大により、重要情報が簡単に入手・利用可能となり、デジタルとセキュリティの両立が求められている。経営は生成AIの活用前に情報漏洩対策を整え、ユーザー部門は情報の守る義務を認識すべきだと指摘。セキュリティ部門は具体的な「ユーザー・マニュアル」を整備し、ユーザー業務に即したセキュリティルールを提供する必要があると強調した。
鈴木氏は、次のように述べている。「インシデントの対応にはいかに早く検知して、早く対処するかが重要です。しかしながら、現在のビジネス環境の変化により、セキュリティ・インシデントにつながる可能性となる『脅威エクスポージャ』は拡大し続けているため、現実には後追いの対処に追われています。後追いの対処から脱却するには、セキュリティ・オペレーションを進化させる必要があります」
セキュリティ・オペレーションの進化方向は「即座に攻撃を分析する」「未然に防御する」「自動的に防御を強化する」「修復を自動化する」などがある。Gartnerが提唱する「継続的な脅威エクスポージャ管理(CTEM)」は、未然に防御を実現するプログラムであり、セキュリティ・リーダーや担当者はこれを理解して実践する必要があるという。また、AIを利用してセキュリティ・オペレーションを進化させることも検討すべきで、AIを使用した攻撃を知る、AIを検知に利用する、AIをオペレーションに生かす、の3つの観点からセキュリティ・オペレーションの取り組みを進化させることで、迅速な脅威の検知と対処が可能になると指摘した。