事業のデジタル化で、セキュリティ責任者のデータセキュリティへの取り組み方は大きく変わろうとしている。「サイバーセキュリティ」から「デジタルセキュリティ」への移行でセキュリティ責任者が認識すべき、6つのトレンドを解説する。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
企業のデジタル対応の拡大に伴い、セキュリティ責任者のデータセキュリティへの取り組み方が大きく変わろうとしている。セキュリティ責任者は、デジタルビジネスの意思決定に果たす役割がこれまでになく大きくなっているため、社内ビジネスリーダーと協力し、企業における保護と安全を確保することが求められている。
「セキュリティに取り組むに当たっては、総合的なアプローチをセキュリティのあらゆる側面に適用する必要がある。サイバーセキュリティの次の進化形である『デジタルセキュリティ』は、至るところに広がりつつある企業のデジタル活動の保護を目的としている」。ガートナーのリサーチバイスプレジデントを務めるアール・パーキンズ氏は、2016年6月に開催されたGartner Security&Risk Management Summitで行ったプレゼンテーションでこう述べた。
社内全体へのセキュリティの「組み込み」が進むにつれ、セキュリティ責任者に対し、リスクと弾力性のバランスを取るよう求める圧力が強まると、パーキンズ氏は指摘した。セキュリティ責任者にとっては、社内でリスクを管理することと、機動的な対応やオープンな考え方の必要性の増大に応えることとの両立が目標になる。
セキュリティ責任者がリスクと弾力性のバランスを取るには、セキュリティ問題への迅速な対処と、アジリティ(俊敏性)の確保の双方を実現する方法を見いださなければならない。
セキュリティトレンドの変化とともに、企業は(データサイエンス、物理セキュリティ自動化、偏在的なアイデンティティ管理などについての)新しいスキルセットを確保しなければならなくなっていると、パーキンズ氏は述べた。
こうしたスキルを持った人材を見つけるのは困難であり、外部サービスの活用がますます重要になる。既存の従業員については、現時点で足りないスキルを把握した上で、さまざまな要件を満たし、多くの役割をこなせるようにするための育成に力を入れる必要がある。
従来型のサプライチェーンに関与するソフトウェアプロセスが増大するにつれ、クラウドサービスを使って、対応するデジタルサプライチェーンを構築する動きが強まると、パーキンズ氏は語った。
セキュリティ責任者は、パブリッククラウド戦略の策定や、自社におけるプライベートクラウド戦略の有効性の評価、クラウドライフサイクルのガバナンスについてのアプローチの構築を行う必要がある。同氏は企業に対し、クラウドセキュリティの作業が急増して処理が雑にならないように、時間をかけてこれらの戦略を実行するようアドバイスした。
企業はこれまで、セキュリティ、防止、検知、対応に関連する多数の製品を使ってきたと、パーキンズ氏は述べた。セキュリティ責任者は、考え方を変えて事後対応から継続的対応に力点を移し、「防止」に費やす時間を減らし、「検知」と「対応」に投資しなければならない。コンテキスト認識型ネットワークを構築すれば、攻撃が発生しているかどうかをさまざまな角度から判断するのに役立つ情報源になる。
企業は、将来にわたってセキュリティを維持するために、さまざまなレイヤを可視化できる、包括的かつ継続的なセキュリティアーキテクチャを設計しなければならない。
ネットワーク化やデバイスの増加が進む中、これまではつながれていなかったさまざまなものがネットワーク接続されるようになっていると、パーキンズ氏は指摘した。そのためセキュリティ責任者は、こうしたネットワークの統合ポイントにどのような技術を適用するかを決めなければならない。企業はネットワークの分割管理のために、ネットワーク上の信頼ゾーンに関するガイドラインを策定するとともに、物理的な変更がどのように起こっているかを認識できるよう、検知技術を評価しなければならない。
これは従来モバイルセキュリティが対象としてきた分野であるため、企業は社内のセキュリティスキルセットを拡大し、あらゆるタイプの無線通信をカバーしなければならない。また、多層的なセキュリティ対策を容易にする上で、モバイル業界で蓄積されてきた教訓に学ばなければならない。
「企業は、市場に出回っている多種多様な製品を、ポリシー、監視、保護の観点から明確に分類するためのアプローチを必要としている。セキュリティ責任者がセキュリティアーキテクチャを効果的に構築できるようにするためだ」とパーキンズ氏は説明した。データクラスを厳密に扱うことを出発点として、デバイス保護とデータの流れのプロファイリングを重視して、IoT(モノのインターネット)のセキュリティ戦略を策定する必要がある。
全体的に、企業はガバナンスを取り入れた考え方に移行し、データのセキュリティ確保に体系的に取り組まなければならない。
出典:Six Trends in Cybersecurity: How to approach data security for the future of digital business(Smarter with Gartner)
Brand Content Manager at Gartner
Copyright © ITmedia, Inc. All Rights Reserved.