7月12日~14日にかけて行われた「ガートナー セキュリティ&リスク・マネジメントサミット」の2日目の基調講演では、ガートナー ジャパン リサーチ ディレクター 礒田優一氏が登壇。「日本におけるセキュリティ・アジェンダのトップ10:2017年」と題し、日本企業が対応すべき事象とそれに対する対応策について解説した。
セキュリティ戦略を支えるアーキテクチャ
ガートナーが描くセキュリティ戦略は、「トラスト&レジリエンス」をビジョンとし、4つの目的と6つの原則、そしてそれらを支える「Adaptive Securityアーキテクチャ」から構成されているという。
|
|
ガートナー ジャパン リサーチ部門 リサーチ ディレクター 礒田優一氏 |
礒田氏はAdaptive Securityアーキテクチャを示し、「複雑な環境で完全な防御はありえません。『Predict(予測)』『Prevent(予防)』『Detect(検出)』『Respond(対応)』の4つのプロセスを運用する臨機応変な姿勢が求められます」と説明。それぞれのプロセスを日本の城にたとえ、「縄張」「石垣」「天守閣」「武者走」になぞらえて見せた。
|
|
Adaptive Securityの要素/出典:ガートナー(2017年7月) |
これを踏まえ、礒田氏は日本企業が今対応すべきセキュリティ関連のアジェンダを10個挙げた。以降では、1つずつ見ていくことにしよう。
1. アウトサイダーの脅威(サイバー攻撃)
サイバー攻撃の多様化は、急速に進んでいる。礒田氏は「Webサイトへの正面からの攻撃だけではなく、標的型やマルウェアなどのように、すり抜けて入るような攻撃への対応が求められています」と警鐘を鳴らす。対応としては、ポリシーやガイドラインの見直しと、脆弱性管理ツール、WAF(Web Application Firewall)、改ざん検知などに投資価値があるという。
2. インサイダーの脅威
従来からある、従業員による意図的な情報漏洩や、人為的な不正・ミスに起因する脅威に加え、モバイルやクラウド環境における脅威への対応が求められている。最近では働き方改革の影響も大きい。礒田氏は、「この領域では、テクノロジー導入だけでなく、組織や人材に関する施策も進める多角的な対策を進める必要があります」とコメントした。
3. エンドポイントセキュリティ
インシデント防止のためのアンチマルウェアソリューションと、インシデント検知と対応のためのEDR(Endpoint Detection and Response)ソリューションへの関心が高まるなか、インシデント検知の得意な大手EPP(Endpoint Protection Platforms)ベンダーと、EDR専業の新興ベンダーがそれぞれ顧客獲得に活発に取り組んでいる。
礒田氏は、「ヒューリスティック、ふるまい、AIなどの市場のノイズに翻弄されることなく、多種多様な製品の中から自社に必要な機能を特定し、冷静に製品を評価する必要があります」と語った。
4. クラウド
近年、パブリッククラウドは国内でも海外でも採用が進んでいる。礒田氏は、「クラウドのセキュリティに関する具体的な議論を進める段階にあります」と主張する。
企業がクラウド環境を利用する場合、クラウド事業者とユーザー企業それぞれの責任範囲を理解し、クラウド事業者がどんなセキュリティを提供しているかを確認することが重要になる。具体的には、「マルチテナントセキュリティ」「SaaSコントロール」「IaaSコントロール」が三大トピックだ。
マルチテナントセキュリティでは「CSP(Cloud Service Provider)評価」、SaaSコントロールでは「CASB(Cloud Access Security Broker)」、IaaSコントロールでは異種混合環境のための「CWPP(Cloud Workload Protection Platform)」が注目を集めているという。
「漠然とした不安でクラウドセキュリティを語る時代は終わり」だと礒田氏は見解を示した。
5. IAM
IAM(Identity Access Management)について、「既に十分な対策ができていると考える企業が多い領域ですが、クラウド×モバイル、ワークスタイルの変化、脅威の変化、グローバル化などにより、IAMは転換期にあります」と礒田氏は説明する。
クラウド環境での認証を管理する「IDaaS(Identity as a Service)」、デバイス視点からID視点に変化している「EMM(Enterprise Mobile Management)」、「CASB」とソリューションは3つに整理できる。礒田氏は「どれを選ぶべきか悩んだ場合は、現状を分析し、何をどう見直すかを検証するといいでしょう」とアドバイスを寄せた。
※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。
もっと知りたい!こちらもオススメ
人材育成のバトンをつなぎ、広げる神戸 - セキュリティ・ミニキャンプ in 近畿
今、身近な場でも「何かのためのセキュリティ」が求められている。そんなスキルと倫理観を持った若者を発掘し、興味を伸ばしていくきっかけとして実施されているのが「セキュリティ・キャンプ」だ。年に1度行われる全国大会は10年以上にわたって開催されており、2012年度からは毎年数カ所で地方大会(セキュリティ・ミニキャンプ)も実施されている。本稿では、認知度を高めた地方…
関連リンク
ダウンロードBOXに入れる
記事をダウンロードBOXに追加します。よろしいですか?
ブックマーク
記事をブックマークに追加します。よろしいですか?
![[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方](https://cmsb.news.mynavi.jp/itsearch/files/201906gaogawa300-50.jpg)
![[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る](https://news.mynavi.jp/itsearch/2019/09/05/0905Task_300-50.jpg)
-
![【連載】にわか管理者のためのLinux運用入門 [248] Vimを使う - 「良い具合」にそろえるプラグイン「vim-easy-align」](https://news.mynavi.jp/itsearch/assets_c/LWT_300-250_3.jpg)
[2020/09/22 09:00] サーバ/ストレージ
![【連載】AWSで実践! 基盤構築・デプロイ自動化 [41] 継続的インテグレーション環境の構築(2)](https://news.mynavi.jp/itsearch/assets_c/AWSAuto_300-250_2.jpg)
![【連載】徹底研究! ハイブリッドクラウド [19] Infrastructure as Codeを活用したハイブリッドクラウドジャーニー](https://news.mynavi.jp/itsearch/assets_c/HC_300-250.jpg)
-
9月29日(火)15:00~16:45
【ラックセキュリティセミナー】「withコロナ」新時代のテレワーク環境とセキュリティ対策 -
2020/10/12(月) ~ 2020/10/16(金)
updataNOW 20 -
2020年10月22日(木)11:00~17:30
New Normal時代のHRの在り方 ~より高いエンゲージメントを~
今注目のIT用語の意味を事典でチェック!
