7月12日~14日にかけて行われた「ガートナー セキュリティ&リスク・マネジメントサミット」の2日目の基調講演では、ガートナー ジャパン リサーチ ディレクター 礒田優一氏が登壇。「日本におけるセキュリティ・アジェンダのトップ10:2017年」と題し、日本企業が対応すべき事象とそれに対する対応策について解説した。
セキュリティ戦略を支えるアーキテクチャ
ガートナーが描くセキュリティ戦略は、「トラスト&レジリエンス」をビジョンとし、4つの目的と6つの原則、そしてそれらを支える「Adaptive Securityアーキテクチャ」から構成されているという。
|
|
ガートナー ジャパン リサーチ部門 リサーチ ディレクター 礒田優一氏 |
礒田氏はAdaptive Securityアーキテクチャを示し、「複雑な環境で完全な防御はありえません。『Predict(予測)』『Prevent(予防)』『Detect(検出)』『Respond(対応)』の4つのプロセスを運用する臨機応変な姿勢が求められます」と説明。それぞれのプロセスを日本の城にたとえ、「縄張」「石垣」「天守閣」「武者走」になぞらえて見せた。
|
|
Adaptive Securityの要素/出典:ガートナー(2017年7月) |
これを踏まえ、礒田氏は日本企業が今対応すべきセキュリティ関連のアジェンダを10個挙げた。以降では、1つずつ見ていくことにしよう。
1. アウトサイダーの脅威(サイバー攻撃)
サイバー攻撃の多様化は、急速に進んでいる。礒田氏は「Webサイトへの正面からの攻撃だけではなく、標的型やマルウェアなどのように、すり抜けて入るような攻撃への対応が求められています」と警鐘を鳴らす。対応としては、ポリシーやガイドラインの見直しと、脆弱性管理ツール、WAF(Web Application Firewall)、改ざん検知などに投資価値があるという。
2. インサイダーの脅威
従来からある、従業員による意図的な情報漏洩や、人為的な不正・ミスに起因する脅威に加え、モバイルやクラウド環境における脅威への対応が求められている。最近では働き方改革の影響も大きい。礒田氏は、「この領域では、テクノロジー導入だけでなく、組織や人材に関する施策も進める多角的な対策を進める必要があります」とコメントした。
3. エンドポイントセキュリティ
インシデント防止のためのアンチマルウェアソリューションと、インシデント検知と対応のためのEDR(Endpoint Detection and Response)ソリューションへの関心が高まるなか、インシデント検知の得意な大手EPP(Endpoint Protection Platforms)ベンダーと、EDR専業の新興ベンダーがそれぞれ顧客獲得に活発に取り組んでいる。
礒田氏は、「ヒューリスティック、ふるまい、AIなどの市場のノイズに翻弄されることなく、多種多様な製品の中から自社に必要な機能を特定し、冷静に製品を評価する必要があります」と語った。
4. クラウド
近年、パブリッククラウドは国内でも海外でも採用が進んでいる。礒田氏は、「クラウドのセキュリティに関する具体的な議論を進める段階にあります」と主張する。
企業がクラウド環境を利用する場合、クラウド事業者とユーザー企業それぞれの責任範囲を理解し、クラウド事業者がどんなセキュリティを提供しているかを確認することが重要になる。具体的には、「マルチテナントセキュリティ」「SaaSコントロール」「IaaSコントロール」が三大トピックだ。
マルチテナントセキュリティでは「CSP(Cloud Service Provider)評価」、SaaSコントロールでは「CASB(Cloud Access Security Broker)」、IaaSコントロールでは異種混合環境のための「CWPP(Cloud Workload Protection Platform)」が注目を集めているという。
「漠然とした不安でクラウドセキュリティを語る時代は終わり」だと礒田氏は見解を示した。
5. IAM
IAM(Identity Access Management)について、「既に十分な対策ができていると考える企業が多い領域ですが、クラウド×モバイル、ワークスタイルの変化、脅威の変化、グローバル化などにより、IAMは転換期にあります」と礒田氏は説明する。
クラウド環境での認証を管理する「IDaaS(Identity as a Service)」、デバイス視点からID視点に変化している「EMM(Enterprise Mobile Management)」、「CASB」とソリューションは3つに整理できる。礒田氏は「どれを選ぶべきか悩んだ場合は、現状を分析し、何をどう見直すかを検証するといいでしょう」とアドバイスを寄せた。
※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。
もっと知りたい!こちらもオススメ
人材育成のバトンをつなぎ、広げる神戸 - セキュリティ・ミニキャンプ in 近畿
今、身近な場でも「何かのためのセキュリティ」が求められている。そんなスキルと倫理観を持った若者を発掘し、興味を伸ばしていくきっかけとして実施されているのが「セキュリティ・キャンプ」だ。年に1度行われる全国大会は10年以上にわたって開催されており、2012年度からは毎年数カ所で地方大会(セキュリティ・ミニキャンプ)も実施されている。本稿では、認知度を高めた地方…
関連リンク
ダウンロードBOXに入れる
記事をダウンロードBOXに追加します。よろしいですか?
ブックマーク
記事をブックマークに追加します。よろしいですか?
![[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方](https://cmsb.news.mynavi.jp/itsearch/files/201906gaogawa300-50.jpg)
-
![【連載】ニューノーマル時代のオウンドメディア戦略 [4] 多様な生き方を応援するオウンドメディア「LIFULL STORIES」はなぜ生まれたのか](https://news.mynavi.jp/itsearch/assets_c/0224LF_thumb.jpg)
[2021/03/08 09:00] ソリューション
![業務プロセス改革にまつわる 3つの課題 とその解決策 [PR]](https://news.mynavi.jp/itsearch/assets_c/202102_servicenowindex.png)
![コロナ禍で生まれた、DXレポートに載っていない新たな「2025年の崖」のリスクとは? [PR]](https://news.mynavi.jp/itsearch/assets_c/202103oroindex%E3%83%BC.png)
![【連載】Google Workspaceをビジネスで活用する [3] 「Gmail」で目的のメールをすぐ見つける検索方法を身に着けよう](https://news.mynavi.jp/itsearch/assets_c/gw02.jpg)
-
2021年3月12日(金) 13:00 ~ 17:00 【第1部】13:00~13:50(基調講演) 【第2部】14:00~16:15 計12セッション 【ASK THE SPEAKER】16:30~17:00(講演者への質問コーナー)
KDDI SOLUTION DAY 2021 ~不確実性の高い時代のビジネス共創とDX~ -
2021年3月12日 金曜日 13:00 – 14:50
DXでさらに企業進化を AI+自動化でビジネスをパワーアップ -
2021年3月15日(月)0:00~2021年3月31日(水)23:59
KDDI まとめてオフィスの学校向けオンラインセミナー ~これからの教育ICT推進に向けて~ -
2021年 3月 18日 (木) 13:00~18:20
マイナビニュース スペシャルセミナー 2021年の脅威に対峙する -
2021年3月18日(木)15:00~16:00
5G時代のCDNに!コスト削減と顧客体験向上を両立させるCDNとは?
今注目のIT用語の意味を事典でチェック!
