ガートナージャパン(Gartner)は7月25日、2023年以降に企業のセキュリティに大きな影響を与え得るというサイバーセキュリティに関する主要な8つの仮説を発表した。

仮説の1番目は、「2023年末までに、ユーザーのプライバシー権のうち世界の50億人、世界のGDPの70%以上が、政府規制の対象となる」。

プライバシー規制は拡大の一途をたどっており、プライバシーに対する理解を深めると共に、管理に当たっては、データ主体の権利のリクエスト(Subject Rights Request)のためのソリューションを利用し、部分的に自動化を進めて、1件当たりの処理コストや非効率な箇所の特定など、複数の評価指標を用いて追跡することを同社は推奨する。

2番目の仮説は、「2025年までに、企業の80%は、Web、クラウド・サービス、プライベート・アプリケーションへのアクセスを、単一ベンダーのSSE(セキュリティ・サービス・エッジ)プラットフォームに集約する戦略を取る」。

ハイブリッド・ワークが当たり前になりつつことを背景に、ベンダーは、一貫性のあるシンプルなWeb/プライベート・アクセス/SaaSアプリケーション・セキュリティを提供する統合型のSSEソリューションを提案しているとのこと。

単一ベンダーのソリューションは、ベスト・オブ・ブリードのソリューションと比較して、統合の強化、使用するコンソール台数の削減、データの復号化/検査/再暗号化を要する場所の削減など、大幅な運用効率化とセキュリティ効果をもたらすと同社はいう。

3番目は、「2025年までに、組織の60%は、セキュリティの出発点としてゼロトラストを採用する。しかしその半数以上がゼロトラストのメリットを得られず失敗する」。

ゼロトラストはセキュリティの原則であると同時に組織のビジョンでもあるため、そのメリットを享受するには、文化面の転換と、ゼロトラストをビジネス成果と結び付ける明確なコミュニケーションが必要になると同社は指摘する。

4番目は、「2025年までに、組織の60%は、サードパーティとの取引やビジネス契約における意思決定要因として、サイバーセキュリティ・リスクを重視するようになる」。

消費者の懸念が増加すると同時に規制当局の関心も高まる中で、組織は、クリティカルなテクノロジー・サプライヤーのシンプルなモニタリングから、企業の買収・合併のための複雑なデュー・デリジェンスに至るまで、サードパーティとビジネスを行う際の意思決定要因として、サイバーセキュリティ・リスクを重視するようになると同社は予測している。

5番目は、「2025年末までに、ランサムウェアへの支払い、罰金、交渉を規制する法案を可決する国家の割合は、30%に上昇する(2021年には1%未満)」。

ランサムウェアの犯罪組織に身代金を支払うかどうかは、セキュリティではなく、ビジネス・レベルの判断になるという。身代金交渉に進む前に、専門のインシデント対応チームや法執行機関/規制当局を必ず関与させることを、同社は推奨する。

6番目は、「2025年までに、攻撃者はオペレーショナル・テクノロジ環境を武器にして、人的被害を与えるようになる」。

セキュリティとリスク・マネジメントのリーダーは、セキュリティの取り組みの範囲をサイバー・フィジカル・システム(CPS)にも広げ、情報の窃取よりも、むしろ人間や運用環境への現実的な危険について、懸念すべきという。

7番目は、「2025年までに、CEOの70%は、サイバー犯罪、異常気象、内紛、政情不安による、同時発生的な脅威を切り抜けるために、組織的レジリエンスを重視する文化を必須とする」。

新型コロナウイルス感染症(COVID-19)のパンデミックにより、従来型の事業継続管理(BCM)計画では、大規模なディスラプション(分裂状態)に十分に対応できないことが明らかになったと同社は指摘する。

ディスラプションは今後も続く可能性が高いため、同社は、企業としての組織的レジリエンスを戦略上の緊急課題として認識し、スタッフ、ステークホルダー、顧客、サプライヤーも巻き込んだ組織全体のレジリエンス戦略の構築を推奨している。

8番目は、「2025年までに、サイバーセキュリティ委員会を取締役が監督する企業の割合は、40%に上昇する(2021年には10%未満)。2026年までに、Cレベルの経営幹部の50%は、リスクに関連する業績要件を雇用契約に組み込んでいる」。

同社の最近の調査によると、大半の取締役は現在、サイバーセキュリティを単なる技術的なITの問題ではなく、ビジネス・リスクとして捉えているという。

今後、最高情報セキュリティ責任者 (CISO) やコンサルタントなどの経歴や経験を持つメンバーが取締役に加わることにより、セキュリティ委員会のようなトップレベルの組織によって、経営環境におけるセキュリティについて監督や精査をもっと現実的に実行できるようになるとのこと。

このように取締役会側の変革が進むことで、企業のサイバーリスクに対する明確な説明責任は現場のセキュリティ・リーダーではなく、それよりも一段上の経営幹部が負うようになると同社は見る。