ますます混沌とするセキュリティとプライバシーの領域を俯瞰し、次なる一手を
とりあえず押さえよう ガートナーが挙げる“セキュリティの勘所”2025年版
2025年01月14日 14時30分更新
ガートナージャパンは、2025年1月8日、「日本企業が2025年に押さえておくべき“セキュリティとプライバシー”に関する12の重要論点」を発表した。
ニュースリリースより
同社のバイス プレジデント アナリストの礒田優一氏は、「セキュリティとリスク・マネジメント (SRM) のリーダーは、新しいリスク、脅威、環境の変化、法規制の動き、セキュリティのテクノロジや市場の多様化など、ますます混沌とするセキュリティとプライバシーの領域を俯瞰し、次なる一手を打ち出していく必要があります。昨今では、経営者自らがリスク・マネジメントやセキュリティの取り組みをステークホルダーに説明する必要性が高まっています。戦略不在のままその場しのぎの対応を継続した場合、企業として責任を問われることにもなりかねません」と述べている。
ガートナーが挙げたセキュリティとプライバシーにおける12の重要論点は、以下の通り。
論点1:新たなセキュリティ・ガバナンス
近年、経営の責任を明確化し、リーダーシップを促進する法規制の制定が世界的に進行している。サイバー攻撃や内部脅威に加え、クラウド、AI、データ/アナリティクス (D&A)、サイバー・フィジカル、法規制のリスクも絡めた高度で複雑な意思決定が必要になっており、従来の中央集権的なセキュリティ・ガバナンスに限界が生じているという
論点2:新たなデジタル・ワークプレースとセキュリティ
さまざまなデータがローカルやクラウド上に散在するようになったことに加え、生成AIの利用などの要因により、情報漏えいのリスクが高まっている。ワークプレースにおける生成AIの利用には大きな期待が寄せられている一方で、「情報の過剰共有」などに対する仕組み作りが急務となっている。従業員一人一人がセキュリティの当事者意識を持って、自ら行動できるようなセキュリティ文化の醸成も求められている。
論点3:セキュリティ・オペレーションの進化
セキュリティ・オペレーション・センター (SOC) の運用においては、多くの企業はアウトソーシングによって補うことを検討してるが、「インシデントや緊急時の判断と責任は自社にある」という意識が低い様子が見受けられるという。
サイバーセキュリティAIアシスタントなどのテクノロジーが進化の途上にあるものの、むやみにAIの導入を優先するのではなく、自社の課題を認識し、その課題を解決できるかどうかという観点でテクノロジーを見極めるべきだとする。
論点4:インシデント対応の強化
さまざまな攻撃手法が毎日のように生み出される現在、対応策はすぐに陳腐化してしまったり、想定すべき攻撃シナリオがあまりに多いために整備が追いつかないといった課題がみられる。ランサムウェアなどの影響で長期的にビジネスが停止した事例が大きく報道されたことで、セキュリティのインシデント対応は、セキュリティの議論から脱却し、事業継続計画 (BCP) や危機管理など組織的な議論として再構築されるケースが増加している。
論点5:外部公開アプリケーションに対する攻撃への対応
近年、外部公開Webアプリケーションは、IaaS/PaaSで構築されることが多くなっている。マルチなプラットフォームを前提としたセキュリティの課題を抱えている企業も増えているため、クラウド・ネイティブ・アプリケーション保護プラットフォーム (CNAPP) 市場のベンダー製品の動向に着目する必要性が増している。
論点6:マルウェア・標的型攻撃への対応
AIを悪用した脅威は拡大を続けているだけでなく、巧妙化しており、また、企業の国内外の拠点へのセキュリティ侵害も増加している。ビジネス/テクノロジ環境の変化に伴い、アタック・サーフェス・マネジメント (ASM) へのニーズが高まり、継続的な脅威エクスポージャ管理 (CTEM) の必要性を感じる組織が増加している一方で、既に導入した企業の中には、運用に関して課題を抱えているケースもみられるという。
論点7:内部脅威への対応
国内企業でも取得されているPCの操作ログは、不正の兆候が埋没してしまって検知できない状況がみられる。退職予定者による内部不正に加えて、「兼務」や「出向」といった日本独特の人事施策は、新たに対策を採るべき分野として注目されている。AIを活用した内部脅威の検知に期待が高まっているが、認証、権限管理、データ保護といったセキュリティの基本的施策が十分にできていないと、期待する内部不正を検知することは難しいという。
論点8:法規制、サードパーティ/サプライチェーンのリスクへの対応
近年、IT・デジタル、AI、サイバーセキュリティ関連の法規制制定の動きが世界で進行しているため、企業内のどの部門がこれをリードすべきか、どのように関与すべきかについて戸惑う企業が増えている。日本は新たなデジタル・トレンドや規制において先進的とはいえず、日本の常識のみで判断することはビジネス上のリスクを高めてしまう。
論点9:クラウドのリスクへの対応
マルチクラウドの利用が進み、セキュリティの構成を漏れなくアセスメントすることが難しくなっている。また、単純な設定ミスにも気づかず、継続的かつプロアクティブな取組みが必要となっている。
一方、各事業部門が主導してクラウド利用を開始する例も多く、その中にAIが組み込まれることも増えている。従来の中央集権的なコントロールでは運営の限界を感じる組織が増えており、事業部門側でセキュリティを運用する能力を持つことが必要不可欠になっている。
論点10:サイバー・フィジカル・システム (CPS) のリスクへの対応
サイバーとフィジカルの両空間の融合が進む中、セキュリティ侵害が、自社にとどまらず、社会インフラの混乱を招く可能性が高まっている。IT/セキュリティ部門と、製品/サービスに責任を持つ事業部門が協働で進めるなど、両部門の分断をなくして組織的にCPSセキュリティに取り組める体制をつくることが急務となっている。
論点11:データ/アナリティクスのリスクへの対応
AIや生成AIの利用により企業内のあらゆる場所でさまざまなデータが使われるようになるにつれ、情報漏えいのリスクが高まることが懸念されている。非構造化データに対してもアクセス権を付与する必要性が高まり、セキュリティとデータ活用推進・データ管理の責任者における連携も求められている。
論点12:AIのリスクへの対応
AIが組み込まれたSaaSアプリケーションのセキュリティの対応について、ガートナーへの問い合わせは増加傾向にあるという。独自のデータを利用した、プライベートな生成AIアプリケーションを運用する形態も増えており、それに伴いアタック・サーフェスも拡大している。
AI TRiSM(AIのトラスト/リスク/セキュリティ・マネジメント)の重要性が高まっているが、日本全体としての取り組みは未成熟な状況にあるという。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
