日本におけるセキュリティ (リスク管理、アプリ/データ、プライバシー) のハイプ・サイクル:2024年
2024年10月9日、ガートナージャパン株式会社は「日本におけるセキュリティ(リスク管理、アプリ/データ、プライバシー)のハイプ・サイクル:2024年」を発表しました。この報告書は、企業が直面するセキュリティのリスクを体系的に示し、法規制対応、クラウド化によるリスク、サイバー・フィジカル・システム(CPS)を含む技術領域における新たな課題を分析しています。
出典:ガートナー 2024.10
デジタル変革とAIのリスク
AI(人工知能)はデジタル・トランスフォーメーション(DX)の推進力として注目されていますが、その一方で、誤った使い方により社会的リスクを引き起こす危険性もあります。
AIが差別や精神的苦痛を生む可能性が指摘され、世界各国で法規制が整備されています。日本企業においても、AIの利用は単なる技術導入ではなく、信頼性や公平性を確保するための倫理的対応が求められています。
日本市場では、法的なコンプライアンス対応に留まらず、データ保護やプライバシー保護に重点を置いた対策を強化することが急務となっています。
クラウドとサイバー・フィジカルのリスク
クラウド・ネイティブな技術が普及する中で、クラウドを活用したアプリケーションやデータのセキュリティリスクが一段と高まっています。
ソフトウェア・サプライチェーンやサイバー・フィジカル・システム(CPS)に関連するリスクも無視できません。
CPSは、産業用制御システム(ICS)やオペレーショナル・テクノロジー(OT)、IoT、医療IoT(IoMT)といった分野で急速に拡大しており、そのセキュリティリスクも増加しています。
これらの技術は、製造業やインフラ分野に革命的な変化をもたらす一方、セキュリティの脆弱性を悪用されるリスクも存在します。
ガートナーのバイスプレジデントアナリスト、礒田優一氏は次のように指摘しています。
企業は単に法規制に対応するだけでなく、倫理的な配慮や、人間中心の考え方を重視したサービス提供能力を高める必要があります。特に、日本の企業はIT以外の分野にもセキュリティの視野を広げ、事業のレジリエンスを強化すべきです。
2024年のハイプ・サイクルの焦点
2024年版のハイプ・サイクルでは、新たに「サイバーセキュリティの継続的なコンプライアンスの自動化(CCCA: Cybersecurity Continuous Compliance Automation)」「サイバーリスク・マネジメントにおけるAI」「サイバー・フィジカル・システムのリスク・マネジメント」の3項目が追加されました。これらは、企業が直面する新しいセキュリティリスクへの対応策として、注目されています。
1. サイバーセキュリティの継続的なコンプライアンスの自動化
サイバーセキュリティの継続的なコンプライアンスの自動化は、企業が定期的に監査や認証を行うプロセスを効率化する技術です。セキュリティ担当者はリアルタイムでのコンプライアンス監視や証拠収集が可能となり、外部監査プロセスもスムーズに進行します。ガートナーの調査では、この技術が2024年に「過度な期待」のピークに位置しており、今後さらに普及が進むと予測しています。
2. サイバーリスク・マネジメントにおけるAI
AIを活用したサイバーリスク・マネジメントは、サイバー攻撃のリスクを早期に発見し、プロセスの効率化を実現する重要な技術です。AIはリスク評価やモニタリングの精度を向上させ、リアルタイムの対応力を高めます。現在は黎明期にあるものの、今後10年以内に幅広い導入が見込まれています。
3. サイバー・フィジカル・システムのリスク・マネジメント
CPSのリスク・マネジメントは、これまで以上に重要視されています。CPSは、生産システムや重要インフラ、スマートシティの基盤として活用される一方で、そのセキュリティ対策は後回しにされがちです。しかし、これらのシステムに対する攻撃リスクは日々増大しており、早急な対応が求められています。
セキュリティ対策の未来に向けて
ガートナーは、2024年版のハイプ・サイクルを通じて、日本企業に対し、新たな技術とセキュリティリスクに対する対応の重要性を強調しています。企業は、リスク・マネジメント、セキュアなアプリケーションとデータの運用、プライバシー保護、そして倫理的配慮を含めた全方位的な取り組みを進化させる必要があります。
礒田氏は「セキュリティやプライバシーの取り組みは一朝一夕に成し遂げられるものではなく、企業のリテラシー向上と議論の成熟度を高めることが不可欠です」と述べています。日本の企業にとって、今こそリスクマネジメントの再定義と技術革新への取り組みが求められる時期にあると言えるでしょう。
ガートナーのハイプ・サイクル:セキュリティの進化の5つのフェーズ
最後に、ガートナーの「ハイプ・サイクル」のフェーズについて、整理したいと思います。ガートナーの「ハイプ・サイクル」は、新技術の進化過程を5つのフェーズに分けて可視化するフレームワークであり、各技術がどの段階に位置しているかを把握するのに役立ちます。
・黎明期(Innovation Trigger)
・過度な期待のピーク期(Peak of Inflated Expectations)
・幻滅期(Trough of Disillusionment)
・啓発期(Slope of Enlightenment)
・生産性の安定期(Plateau of Productivity)
1. 黎明期(Innovation Trigger)
ソフトウェア・サプライチェーン・セキュリティ
ソブリン・クラウド
PEC
AI TRiSM (AI トリズム)
サイバーセキュリティ AIアシスタント
ポスト量子暗号
データ・セキュリティ・プラットフォーム
サイバーリスク・マネジメントにおけるAI
サイバー・フィジカル・システムのリスク・マネジメント
2. 過度な期待のピーク期(Peak of Inflated Expectations)
サイバーセキュリティの継続的なコンプライアンスの自動化
SBOM
CNAPP
サーバレス・ファンクション・セキュリティ
マルチクラウドKMaas
コンテナ/K8sセキュリティ
デジタル倫理
3. 幻滅期(Trough of Disillusionment)
クラウド・ネイティブDLP
クラウドNWAP
セキュリティ・レーティング・サービス
P1A
API脅威防御
同意とプリファレンス管理
プライバシー・バイ・デザイン
データ分類
DevSecOps
プライバシー・マネジメント・ツール
4. 啓発期(Slope of Enlightenment)
SCA
IAST
モバイル・アプリケーション・セキュリティ・テスト
5. 生産性の安定期(Plateau of Productivity)
EDRM
WAF
SAST/DAST