7月12日~14日にかけて行われた「ガートナー セキュリティ&リスク・マネジメントサミット」の2日目の基調講演では、ガートナー ジャパン リサーチ ディレクター 礒田優一氏が登壇。「日本におけるセキュリティ・アジェンダのトップ10:2017年」と題し、日本企業が対応すべき事象とそれに対する対応策について解説した。

セキュリティ戦略を支えるアーキテクチャ

ガートナーが描くセキュリティ戦略は、「トラスト&レジリエンス」をビジョンとし、4つの目的と6つの原則、そしてそれらを支える「Adaptive Securityアーキテクチャ」から構成されているという。

ガートナー ジャパン リサーチ部門 リサーチ ディレクター 礒田優一氏

礒田氏はAdaptive Securityアーキテクチャを示し、「複雑な環境で完全な防御はありえません。『Predict(予測)』『Prevent(予防)』『Detect(検出)』『Respond(対応)』の4つのプロセスを運用する臨機応変な姿勢が求められます」と説明。それぞれのプロセスを日本の城にたとえ、「縄張」「石垣」「天守閣」「武者走」になぞらえて見せた。

Adaptive Securityの要素/出典:ガートナー(2017年7月)

これを踏まえ、礒田氏は日本企業が今対応すべきセキュリティ関連のアジェンダを10個挙げた。以降では、1つずつ見ていくことにしよう。

1. アウトサイダーの脅威(サイバー攻撃)

サイバー攻撃の多様化は、急速に進んでいる。礒田氏は「Webサイトへの正面からの攻撃だけではなく、標的型やマルウェアなどのように、すり抜けて入るような攻撃への対応が求められています」と警鐘を鳴らす。対応としては、ポリシーやガイドラインの見直しと、脆弱性管理ツール、WAF(Web Application Firewall)、改ざん検知などに投資価値があるという。

2. インサイダーの脅威

従来からある、従業員による意図的な情報漏洩や、人為的な不正・ミスに起因する脅威に加え、モバイルやクラウド環境における脅威への対応が求められている。最近では働き方改革の影響も大きい。礒田氏は、「この領域では、テクノロジー導入だけでなく、組織や人材に関する施策も進める多角的な対策を進める必要があります」とコメントした。

3. エンドポイントセキュリティ

インシデント防止のためのアンチマルウェアソリューションと、インシデント検知と対応のためのEDR(Endpoint Detection and Response)ソリューションへの関心が高まるなか、インシデント検知の得意な大手EPP(Endpoint Protection Platforms)ベンダーと、EDR専業の新興ベンダーがそれぞれ顧客獲得に活発に取り組んでいる。

礒田氏は、「ヒューリスティック、ふるまい、AIなどの市場のノイズに翻弄されることなく、多種多様な製品の中から自社に必要な機能を特定し、冷静に製品を評価する必要があります」と語った。

4. クラウド

近年、パブリッククラウドは国内でも海外でも採用が進んでいる。礒田氏は、「クラウドのセキュリティに関する具体的な議論を進める段階にあります」と主張する。

企業がクラウド環境を利用する場合、クラウド事業者とユーザー企業それぞれの責任範囲を理解し、クラウド事業者がどんなセキュリティを提供しているかを確認することが重要になる。具体的には、「マルチテナントセキュリティ」「SaaSコントロール」「IaaSコントロール」が三大トピックだ。

マルチテナントセキュリティでは「CSP(Cloud Service Provider)評価」、SaaSコントロールでは「CASB(Cloud Access Security Broker)」、IaaSコントロールでは異種混合環境のための「CWPP(Cloud Workload Protection Platform)」が注目を集めているという。

「漠然とした不安でクラウドセキュリティを語る時代は終わり」だと礒田氏は見解を示した。

5. IAM

IAM(Identity Access Management)について、「既に十分な対策ができていると考える企業が多い領域ですが、クラウド×モバイル、ワークスタイルの変化、脅威の変化、グローバル化などにより、IAMは転換期にあります」と礒田氏は説明する。

クラウド環境での認証を管理する「IDaaS(Identity as a Service)」、デバイス視点からID視点に変化している「EMM(Enterprise Mobile Management)」、「CASB」とソリューションは3つに整理できる。礒田氏は「どれを選ぶべきか悩んだ場合は、現状を分析し、何をどう見直すかを検証するといいでしょう」とアドバイスを寄せた。