7月12日~14日にかけて行われた「ガートナー セキュリティ&リスク・マネジメントサミット」の2日目の基調講演では、ガートナー ジャパン リサーチ ディレクター 礒田優一氏が登壇。「日本におけるセキュリティ・アジェンダのトップ10:2017年」と題し、日本企業が対応すべき事象とそれに対する対応策について解説した。
セキュリティ戦略を支えるアーキテクチャ
ガートナーが描くセキュリティ戦略は、「トラスト&レジリエンス」をビジョンとし、4つの目的と6つの原則、そしてそれらを支える「Adaptive Securityアーキテクチャ」から構成されているという。
|
|
ガートナー ジャパン リサーチ部門 リサーチ ディレクター 礒田優一氏 |
礒田氏はAdaptive Securityアーキテクチャを示し、「複雑な環境で完全な防御はありえません。『Predict(予測)』『Prevent(予防)』『Detect(検出)』『Respond(対応)』の4つのプロセスを運用する臨機応変な姿勢が求められます」と説明。それぞれのプロセスを日本の城にたとえ、「縄張」「石垣」「天守閣」「武者走」になぞらえて見せた。
|
|
Adaptive Securityの要素/出典:ガートナー(2017年7月) |
これを踏まえ、礒田氏は日本企業が今対応すべきセキュリティ関連のアジェンダを10個挙げた。以降では、1つずつ見ていくことにしよう。
1. アウトサイダーの脅威(サイバー攻撃)
サイバー攻撃の多様化は、急速に進んでいる。礒田氏は「Webサイトへの正面からの攻撃だけではなく、標的型やマルウェアなどのように、すり抜けて入るような攻撃への対応が求められています」と警鐘を鳴らす。対応としては、ポリシーやガイドラインの見直しと、脆弱性管理ツール、WAF(Web Application Firewall)、改ざん検知などに投資価値があるという。
2. インサイダーの脅威
従来からある、従業員による意図的な情報漏洩や、人為的な不正・ミスに起因する脅威に加え、モバイルやクラウド環境における脅威への対応が求められている。最近では働き方改革の影響も大きい。礒田氏は、「この領域では、テクノロジー導入だけでなく、組織や人材に関する施策も進める多角的な対策を進める必要があります」とコメントした。
3. エンドポイントセキュリティ
インシデント防止のためのアンチマルウェアソリューションと、インシデント検知と対応のためのEDR(Endpoint Detection and Response)ソリューションへの関心が高まるなか、インシデント検知の得意な大手EPP(Endpoint Protection Platforms)ベンダーと、EDR専業の新興ベンダーがそれぞれ顧客獲得に活発に取り組んでいる。
礒田氏は、「ヒューリスティック、ふるまい、AIなどの市場のノイズに翻弄されることなく、多種多様な製品の中から自社に必要な機能を特定し、冷静に製品を評価する必要があります」と語った。
4. クラウド
近年、パブリッククラウドは国内でも海外でも採用が進んでいる。礒田氏は、「クラウドのセキュリティに関する具体的な議論を進める段階にあります」と主張する。
企業がクラウド環境を利用する場合、クラウド事業者とユーザー企業それぞれの責任範囲を理解し、クラウド事業者がどんなセキュリティを提供しているかを確認することが重要になる。具体的には、「マルチテナントセキュリティ」「SaaSコントロール」「IaaSコントロール」が三大トピックだ。
マルチテナントセキュリティでは「CSP(Cloud Service Provider)評価」、SaaSコントロールでは「CASB(Cloud Access Security Broker)」、IaaSコントロールでは異種混合環境のための「CWPP(Cloud Workload Protection Platform)」が注目を集めているという。
「漠然とした不安でクラウドセキュリティを語る時代は終わり」だと礒田氏は見解を示した。
5. IAM
IAM(Identity Access Management)について、「既に十分な対策ができていると考える企業が多い領域ですが、クラウド×モバイル、ワークスタイルの変化、脅威の変化、グローバル化などにより、IAMは転換期にあります」と礒田氏は説明する。
クラウド環境での認証を管理する「IDaaS(Identity as a Service)」、デバイス視点からID視点に変化している「EMM(Enterprise Mobile Management)」、「CASB」とソリューションは3つに整理できる。礒田氏は「どれを選ぶべきか悩んだ場合は、現状を分析し、何をどう見直すかを検証するといいでしょう」とアドバイスを寄せた。
※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。
関連リンク
ダウンロードBOXに入れる
記事をダウンロードBOXに追加します。よろしいですか?
ブックマーク
記事をブックマークに追加します。よろしいですか?
会員ログイン
人気ランキング
![T&K TOKA、「SHIELD セキュリティコンサルティングサービス」を導入 [事例]](https://news.mynavi.jp/itsearch/2016/05/31/jirei_thumbnail.jpg)
![長時間労働の原因「ムダ・ムラ・ムリ」の正体 - 働き方改革のすすめ [PR]](https://news.mynavi.jp/itsearch/2017/08/30/osk_smilev_02.jpg)
![現場の声から始める働き方改革!従業員の声から浮き彫りになった課題とは [PR]](https://news.mynavi.jp/itsearch/2017/09/07/tdcsoft_01.jpg)
-
2017年10月4日(水) 18:00~20:00
Googleアナリティクス入門講座 -サイトの課題を見える化する術を2時間で学ぶ!- -
2017年10月6日(金) 14:30~(受付14:00~)
狙われやすい中小企業 あなたの会社はサイバー攻撃の脅威に対応できていますか? ~担当者必見!! 中小企業向け最新セキュリティ対策セミナー~ -
2017年10月12日(木) 19:00~20:30
テクノロジー x プレゼン エンジニアをはばたかせるプレゼンテーションスキル -
2017年10月19日(木) 13:00~(受付12:30~)
次世代3Dテクノロジーで変える未来のものづくり ~世界で勝てる製造業への道しるべ~ in 名古屋 -
2017年10月25日(水) 18:00~19:00
カゴメが解説! 通販事業の失敗から学んだ成功法則
今注目のIT用語の意味を事典でチェック!
