2022年のセキュリティ／リスク・マネジメントのトップ・トレンド、ガートナー調査から

ガートナージャパンは2022年3月9日、「2022年のセキュリティ／リスク・マネジメントのトップ・トレンド」を発表しました。

2022年以降に登場する新たな脅威から守るために押さえておくべき、セキュリティ／リスク・マネジメントのリーダーが自社のセキュリティの取り組みに反映すべき7つのトップ・トレンドとしてまとめています (グローバルでは2022年3月7日に発表)。

世界中の企業は、巧妙なランサムウェア、デジタル・サプライチェーンへの攻撃、埋め込まれた脆弱性の脅威に直面しています。新型コロナウイルス感染症のパンデミックによって、ハイブリッド・ワークとクラウドへの移行が加速したことで、最高情報セキュリティ責任者 (CISO) は有能なセキュリティ・スタッフの不足に対処しながら、分散化が進む企業を保護するという課題を突き付けられています」

ガートナーのアナリストが示すポイントは、以下のとおりです。

・巧妙なランサムウェア、デジタル・サプライチェーンへの攻撃、埋め込まれた脆弱性の脅威に直面
・ハイブリッド・ワークとクラウドへの移行が加速したことで、最高情報セキュリティ責任者 (CISO) は有能なセキュリティ・スタッフの不足に対処しながら、分散化が進む企業を保護するという課題に対応が急務に
・海外拠点や取引先のインシデント増加により日本におけるサプライチェーンのセキュリティ・リスクの重要性が増大
・デジタル・トレンドの加速を背景とした分散と集約の議論がこれまで以上に重要

セキュリティ／リスク・マネジメントのリーダーが自社のセキュリティの取り組みに反映すべき7つのトップ・トレンドは以下のとおりです。

トレンド1：攻撃対象範囲の拡大

企業が攻撃を受ける対象範囲が拡大しています。サイバー・フィジカル・システムやIoT、オープンソース・コード、クラウド・アプリケーション、複雑なデジタル・サプライチェーン、ソーシャル・メディアなどの利用に伴うリスクによって、制御可能な一連の資産の範囲外で企業が攻撃にさらされるようになっています。企業は、セキュリティの監視、検知、対応という従来型のアプローチの先を見据え、より広範囲にわたってセキュリティ・リスクを管理する必要があります。

デジタル・リスク・プロテクション・サービス (DRPS)、エクスターナル・アタック・サーフェス・マネジメント (EASM) テクノロジ、サイバー・アセット・アタック・サーフェス・マネジメント (CAASM) は、CISOが社内外のビジネス・システムを可視化し、セキュリティ対応範囲のすき間を自動で検出できるようサポートします。

トレンド2：デジタル・サプライチェーンのリスク

サイバー犯罪者は、デジタル・サプライチェーンへの攻撃が、高い投資収益率 (ROI) をもたらすことに気付いています。Log4jのような脆弱性がサプライチェーンに広がっていることから、さらなる脅威の出現が予想されます。2025年までに全世界の組織の45%が、ソフトウェア・サプライチェーンに対する攻撃を経験し、その割合は2021年から3倍に増加するとGartnerは予測しています。

デジタル・サプライチェーンのリスクには、新しいリスク軽減アプローチが必要になります。これには、より慎重なリスク・ベースでのベンダー／パートナーのセグメンテーションとスコアリング、セキュリティ・コントロールと安全なベスト・プラクティスの証拠の要求、レジリエンス・ベースの思考へのシフト、今後の法規制を見据えた取り組みなどが含まれます。

トレンド3：アイデンティティ脅威検知／対応の見極め

巧妙な攻撃者は、アイデンティティ／アクセス管理 (IAM) インフラストラクチャを積極的に狙っており、今では認証情報の不正利用が主要な攻撃経路となっています。Gartnerは、アイデンティティ・システムを防御するためのツールやベスト・プラクティスを「アイデンティティ脅威検知／対応」(ITDR) と称しています。

前出のファーストブルックは次のように述べています。「企業はIAM機能の向上に多大な労力を費やしてきましたが、その多くはユーザー認証を改善するテクノロジにフォーカスしたものであり、実際にはサイバーセキュリティ・インフラストラクチャの基礎部分に対する、攻撃対象範囲の拡大を招いています。ITDRツールは、アイデンティティ・システムの保護、セキュリティ侵害の検知、効率的な修復に役立ちます」

トレンド4：意思決定の分散化

企業のサイバーセキュリティのニーズと期待は成熟しつつあり、経営幹部は攻撃対象領域が拡大する中で、よりアジャイルなセキュリティを求めています。デジタル・ビジネスの範囲、規模、複雑さを踏まえると、サイバーセキュリティに関する意思決定、実行責任、説明責任を中央集権的な部門から引き離し、複数の組織単位にわたって分散させることが必要になります。

ファーストブルックは次のように述べています。「CISOの役割は、テクノロジ領域のエキスパートから、エグゼクティブ・リスク・マネージャーの役割へと変化しています。2025年までに、単一の中央集権的なサイバーセキュリティ部門では、デジタル組織のニーズにアジャイルに対応できなくなると思われます。CISOは、責任のマトリクスを改めて概念化し、取締役会、CEOや他のビジネス・リーダーが、十分な情報に基づいてリスクの判断を下せるようにすべきです」

トレンド5：ビヨンド・アウェアネス (セキュリティ意識)

人為的ミスは依然として、数多くのデータ侵害の要因になっており、従来のセキュリティ意識向上トレーニングのアプローチが効果的ではないことを示しています。先駆的な組織は、時代遅れになっているコンプライアンス中心のセキュリティ意識向上キャンペーンではなく、全体的なセキュリティ行動／文化プログラム (SBCP) に投資しています。SBCPは、組織全体によりセキュアな働き方を誘発する目的で、新しい考え方を促し、新しい行動を定着させることにフォーカスします。

トレンド6：ベンダーの集約

セキュリティ・テクノロジの融合は、複雑性の低減、管理コストの削減、有効性の向上といったニーズに後押しされ、加速しています。統合されたソリューションのメリットを増幅しているのが、拡張型の検知／対応 (XDR)、セキュリティ・サービス・エッジ (SSE)、クラウド・ネイティブ・アプリケーション保護プラットフォーム (CNAPP) などの新しいプラットフォーム・アプローチです。

2024年までに、企業の30%はクラウド・デリバリ型セキュアWebゲートウェイ (SWG)、クラウド・アクセス・セキュリティ・ブローカ (CASB)、ゼロトラスト・ネットワーク・アクセス (ZTNA)、ブランチ (拠点) 向けサービスとしてのファイアウォール (FWaaS) の各機能を、同じベンダーから採用するようになるとGartnerは予測しています。セキュリティ機能の集約化により、長期的には総保有コストの削減と運用効率の改善が可能になり、全体的なセキュリティの強化につながります。

トレンド7：サイバーセキュリティ・メッシュ

セキュリティ・プロダクトの集約化というトレンドにより、セキュリティ・アーキテクチャ・コンポーネントの統合が進んでいます。しかし依然として、集約化されたソリューション間で一貫したセキュリティ・ポリシーを定義し、ワークフローを実現し、データを交換する必要があります。サイバーセキュリティ・メッシュ・アーキテクチャ (CSMA) により、オンプレミス、データセンター、クラウドなどの場所に関係なく、すべての資産を保護する共通の統合セキュリティ構造／態勢が得られます。