ガートナージャパンは7月24日〜26日、年次カンファレンス「ガートナー セキュリティ&リスク・マネジメント サミット」を開催した。基調講演にはGartner バイスプレジデント アナリストの礒田優一氏と、同 シニア プリンシパル アナリストの鈴木弘之氏が登壇。「日本におけるセキュリティの重要アジェンダ」と題し、企業が押さえておくべきセキュリティの重要論点のうち、セキュリティ・ガバナンス、データセキュリティ、セキュリティ運用の3つをテーマに、取り組み方をアドバイスした。

セキュリティにおける論点で特に重視すべき3つとは

高度化するサイバー攻撃の脅威や生成AIに代表される最新テクノロジーの登場など、企業を取り巻く環境は大きく変化している。礒田氏は現在の状況をこう説明する。

「昨今の世界的なシステム障害のようにたった1つの綻びが連鎖的に広がり巨大なインパクトになります。今後も脅威は変化し、新しいテクノロジーのリスクもどんどん出てきます。それをキャッチアップするためには常に学び、対応していく必要があります。目の前の取り組みだけでなく、視野を広げ、戦略的にサバイバルしていく必要があるのです」(礒田氏)

  • Gartner バイスプレジデント アナリストの礒田優一氏

ガートナーによると、近年のセキュリティの重要論点は大きく10項目に分けられるという。これらは検知や防御といった一般的なセキュリティ脅威への対応から、アナリティスやAIなどのテクノロジーの進化に伴って生まれた脅威などの幅広い領域にまたがっている。

具体的には以下の10項目だ。

  • 1.新たなセキュリティ・ガバナンス
  • 2.新たな働き方とセキュリティ
  • 3.セキュリティ・オペレーションの進化
  • 4.インシデント対応の強化
  • 5.外部からの攻撃への対応
  • 6.内部脅威への対応
  • 7.法規制、サードパーティ/サプライチェーンのリスクへの対応
  • 8.クラウドのリスクへの対応
  • 9.データ&アナリティクスのリスクへの対応
  • 10.AIのリスクへの対応

    • 講演ではこの10項目を「新たなセキュリティ・ガバナンス」「新たな働き方とデータ活用のセキュリティ」「セキュリティ・オペレーションの進化」という3つに分類し、企業がどのように戦略を立て実行していくべきかを解説した。

    セキュリティ・ガバナンスにおける3つの「新しい常識」

    まず、新たなセキュリティ・ガバナンスについて、礒田氏はこう説明した。

    「セキュリティ・ガバナンスは昔からある普遍のテーマですが、近年大きく変貌しようとしています。セキュリティは経営課題であると言われてきましたが、実際には、そうなっていないことが多かったと思います。しかし時代は変わりました。新しい時代では経営の意識も大きく変わります。先進的な一部でしか取り組んでいなかったことが今後数年以内に新しい常識に変わっていきます」(礒田氏)

    同氏によると、セキュリティ・ガバナンスにおける新しい常識は3つある。

    1つ目は「経営陣は、新しい脅威や海外の法規制を含めたプレゼンテーションを最低でも年1回求めるようになる」だ。

    「グローバルな調査では、取締役の84%がサイバーセキュリティをビジネスリスクと見なしています。日本でも8割以上が取締役会などへ報告しています。ただ報告の内容は、法規制やプライバシー、AIのリスクなど難しい問題が増え、キャッチアップも難しくなっています。セキュリティリーダーは最新のランドスケープを経営に伝え、正しい方向へナビゲートしていくことが重要です」(礒田氏)

    2つ目は「経営陣はサイバーセキュリティについて成果に基づく客観性ある報告を求めるようになる」だ。

    「マルウエアの感染状況やアンチマルウエアの更新状況、スパムメールの受信数などを報告するだけでは不十分です。単なる件数の報告ではなく、経営の意思決定に有効な指標を示すことが求められます。それは『規制に対応できているか』『リアルな脅威に対応できているか』といった経営陣の素朴な疑問に対して、進捗などの指標を交えて伝えていくことです」(礒田氏)

    グローバル企業では、その具体的な施策として、NIST CSF(サイバーセキュリティフレームワーク)に沿った進捗報告や、ODM(アウトカムドリブンメトリクス)と呼ばれる経営向け指標を用いた報告があることを紹介した。

    3つ目の新常識は「大企業の多くは、人中心のセキュリティを実践するようになる」だ。

    「人中心のセキュリティは、8年前にガートナーが提唱した考え方です。急速なデジタル化を受けて、IT部門やセキュリティ部門だけでセキュリティに対応することが限界を迎えつつあります。これまでのセキュリティは、細かなルールを設け、行動を禁止するなど、未成熟な子供に対するのと同じようなアプローチでした。これに対し、人中心のセキュリティは、リテラシーを持った大人が原則に基づいて、自由と責任の下で行動し、それらをモニタリングするというアプローチです」(礒田氏)

    データ活用のセキュリティにおいて重要になる「当事者意識」

    人中心のセキュリティは、働き方や情報の取り扱いにも関わる問題だ。そこで、2つ目の論点である「新たな働き方とデータ活用のセキュリティ」の議論となった。代わって登壇した鈴木氏は、こう説明した。

    「人中心のセキュリティで重要なのは、経営、ユーザー部門、セキュリティ部門それぞれ別の役割と責任を持っているということです。その役割と責任を果たすためには、それぞれがセキュリティの当事者として関わることになります。デジタルが進む中で注目すべき点は、情報の扱い方が変わるということです。その中で、セキュリティに対する当事者意識はどう変わるのでしょうか」(鈴木氏)

    • Gartner シニア プリンシパル アナリストの鈴木弘之氏

    その上で鈴木氏は、経営者、ユーザー部門、セキュリティ部門それぞれが何を意識すれば良いのかをアドバイスしていった。

    「経営者に求められるのは、デジタルとセキュリティについての意思決定を別々にしないことです。例えば、生成AIについて全社レベルで生成AIを使いデータ活用を推進するという意思決定する場合、そのときに情報漏えい対策も同時に行い、こぼれ落ちないようにすることがあります。AIやアナリティクス拡大といった戦略的意思決定に、情報漏えい対策がReadyな状態になっているかの判断を含めることが重要です」(鈴木氏)

    また、ユーザー部門の当事者意識についてはこう説明した。

    「ユーザーは、情報が誰にとって重要で、誰の手に渡ったら問題なのかを、現場で判断することが求められます。ユーザーがこうした当事者意識を持つことは、情報漏えい対策の出発点になります。ビジネス文脈に沿った保護をビジネス現場で実施するのです」(鈴木氏)

    経営とユーザーがセキュリティ意識を持つことができたら、セキュリティ部門は何をすべきか。残された課題の1つは、情報の過剰共有を止めることだという。

    「例えば、データに権限付与がまったく付いていない状況は、情報の過剰共有を許している状況であり、これを止めることに積極的に対処していく必要があります。ユーザーはセキュリティルールを毛嫌いしますが、業務ルールについては従順です。業務ルールの中にセキュリティをどうにかして混ぜ込んでおくことが重要なのです。ユーザーの日々の業務に寄り添ったルールをつくり、画一的な周知から業務主体の実践へ転換していきます」(鈴木氏)

    CTEMやAIでセキュリティ運用を進化させることが重要

    3つ目の論点である「セキュリティ・オペレーションの進化」は、リスクをいかに早く検知し対処するかというセキュリティ運用の問題だ。セキュリティ運用は、新たな脅威が登場するとそれに対処するといったように「後追い」になりやすい。

    「多くの企業は、新たな取り組みが始まるたびにセキュリティポリシーを考え、ランサムウエア対策を行い、それに対応する人材を育成しなければなりません。こうした後追いのセキュリティ対策を解消するには、今までと同じことを繰り返すのでなく、取り組みを進化させる必要があります。例えば、セキュリティ・オペレーションの進化として、即座に攻撃を分析する、自動的に防御を強化する、未然に防御する、修復を自動化するなどがあります」(鈴木氏)

    このうち特に重要な対策となる「未然に防御する」についてはポイントが2つある。1つは、現場が日々の改善を積み重ねること、もう1つはセキュリティリーダーが全体を俯瞰し仕組み化することだ。現場のアクションとセキュリティリーダーのアクションを掛け合わせて実現する仕組みの1つとして鈴木氏が挙げたのは、継続的な脅威エクスポージャ管理(CTEM)プログラムである。

    「脅威エクスポージャは、脅威によってやられてしまう可能性がどこにあるかを知っておくことを指します。例えば、リモートワーク対応のためのVPN装置を導入したら、VPNへの対応が必要です。クラウドにECサイトを構築したら、情報漏えいにつながる設定ミスや偽アカウントへの対応が必要です。全てのビジネスは、こうした脅威エクスポージャの拡大につながる可能性があります。現場のリーダーも、セキュリティ部門も継続的に対処し続けなければなりません。それを体系化したプログラムがCTEMです」(鈴木氏)

    CTEMはカバー範囲が広いため、中長期の視点を持って、継続と改善、プログラム化して実施していくことが重要になる。また、セキュリティ運用の進化のためには、AIの活用も重要だ。

    「セキュリティ・オペレーションの進化で重要なポイントになるのがAIです。今、攻撃の多くはAIを活用しています。(AIであれば、)丁寧な文面から友人のような文面まで違和感なく作成されます。まずはどのような攻撃があるかを知ることが重要です。また、AIを検知に利用することもできます。例えば、マルウエアの振る舞い制御、通信の異常検出、ソースコード診断などです。さらに、AIをオペレーションに生かすことも重要です。分析レポートの作成から、検出コードの自動作成、自動化による工数削減などさまざまな活用が可能です」(鈴木氏)

    最後に鈴木氏は聴講者に対し、「セキュリティリーダーの仕事は、単なる情報セキュリティではありません。企業に信頼をもたらすことができる非常に価値の高い仕事です。それは信頼できるAIを規定した『AI原則』の観点から見ても明らかです。これからもチャレンジを続け、学び、企業を正しい方向にナビゲートしてください」と語り、エールを送った。