ガートナージャパンは3月9日、セキュリティ/リスク・マネジメントのリーダーが自社のセキュリティの取り組みに反映すべきという7つのトップ・トレンドを発表した。拡大を続ける現代の組織のデジタル・フットプリントを、2022年以降に登場する新たな脅威から守るために押さえておくべきトレンドという。
今回発表したトレンドは、以下の7点。
- 攻撃対象範囲の拡大
- デジタル・サプライチェーンのリスク
- アイデンティティ脅威検知/対応の見極め
- 意思決定の分散化
- ビヨンド・アウェアネス (セキュリティ意識)
- ベンダーの集約
- サイバーセキュリティ・メッシュ
攻撃対象範囲の拡大について、企業はセキュリティの監視、検知、対応という従来型のアプローチの先を見据え、より広範囲にわたってセキュリティ・リスクを管理する必要があると同社は指摘する。
デジタル・サプライチェーンのリスクには、新しいリスク軽減アプローチが必要になるという。これには、より慎重なリスク・ベースでのベンダー/パートナーのセグメンテーションとスコアリング、セキュリティ・コントロールと安全なベスト・プラクティスの証拠の要求、レジリエンス・ベースの思考へのシフト、今後の法規制を見据えた取り組みなどを含む。
アイデンティティ脅威検知/対応の見極めに関連して、巧妙な攻撃者はアイデンティティ/アクセス管理(IAM)インフラストラクチャを積極的に狙っており、今では認証情報の不正利用が主要な攻撃経路となっていると同社は指摘する。
意思決定の分散化については、サイバーセキュリティに関する意思決定、実行責任、説明責任を中央集権的な部門から引き離し、複数の組織単位にわたって分散させることが必要になるという。
ビヨンド・アウェアネス(セキュリティ意識)に関して、先駆的な組織は、時代遅れになっているコンプライアンス中心のセキュリティ意識向上キャンペーンではなく、全体的なセキュリティ行動/文化プログラム(SBCP)に投資しているとのことだ。
ベンダーの集約に関連して、セキュリティ・テクノロジーの融合が加速しており、統合ソリューションのメリットを増幅しているのが、拡張型の検知/対応(XDR)、セキュリティ・サービス・エッジ(SSE)、クラウド・ネイティブ・アプリケーション保護プラットフォーム(CNAPP) などの新しいプラットフォーム・アプローチとのこと。
サイバーセキュリティ・メッシュについては、サイバーセキュリティ・メッシュ・アーキテクチャ(CSMA)により、オンプレミス、データセンター、クラウドなどの場所に関係なく、全ての資産を保護する共通の統合セキュリティ構造/態勢が得られると同社は提言する。
同社のアナリストでバイス プレジデントの礒田優一氏は、「これらのトレンドは日本においても共通し、業界に広範な影響をもたらす。経済安全保障推進法案の動き、海外拠点や取引先のインシデント増加により日本におけるサプライチェーンのセキュリティ・リスクの重要性が増していることに加えて、デジタル・トレンドの加速を背景とした分散と集約の議論がこれまで以上に重要になっている」と述べている。
