Gartner、2019年以降のセキュリティとリスク管理の7つのトップトレンドを発表：セキュリティやリスク管理のリーダーを支援

Gartnerは、2019年以降のセキュリティとリスク管理の7つのトップトレンドを発表し、それぞれ解説した。

[＠IT]

　Gartnerは2019年3月5日（米国時間）、2019年以降のセキュリティとリスク管理の7つのトップトレンドを特定したと発表した。

　Gartnerは「トップトレンド」について、「セキュリティエコシステムにおいて進行しており、まだ広く認識されていないが、業界に幅広い影響を与え、ディスラプション（創造的破壊）を引き起こす可能性が高いと予想される、戦略的な変化」と定義している。

　同社のリサーチバイスプレジデントを務めるピーター・ファーストブルック氏は、「外部要因とセキュリティ上の脅威が、セキュリティとリスクの状況全体に複合的に影響している。セキュリティやリスク管理のリーダーは、回復力を高め、ビジネス目標をサポートする準備を適切に整える必要がある」と述べている。

　2019年以降のセキュリティとリスク管理の7つのトップトレンドの概要は以下の通り。

7つのトップトレンド

トレンド1：リスク選好ステートメントが、ビジネス成果と関連付けて作成されるようになっている

　IT戦略がビジネス目標と密接に結び付くとともに、セキュリティやリスク管理のリーダーが、セキュリティに関する事象をビジネスの主要な意思決定者に効果的に伝達できることが重要になっている。

　「社内で、ITの意思決定に関連する問題ばかりが優先されないようにするには、ビジネス目標に関連付けられ、取締役会レベルの意思決定に有用な、シンプルで、実際的で、実用的なリスク選好ステートメント（リスク管理方針の説明）を作成するとよい」（ファーストブルック氏）

トレンド2：セキュリティオペレーションセンターが、脅威検知および対応に重点を置いて実装されるようになっている

　セキュリティ投資の重点が「脅威防止」から「脅威検知」にシフトするのに伴い、セキュリティオペレーションセンター（SOC）への投資が必要になっている。セキュリティアラートが複雑化し、頻発しているからだ。

　Gartnerによると、2022年までにSOCの50％が、インシデント対応、脅威インテリジェンス、脅威ハンティング機能が統合された「モダンSOC」に変わる見通しだ。2015年には、この割合は10％に満たなかった。

トレンド3：データセキュリティガバナンスフレームワークによってデータセキュリティ投資の優先順位付けが行われるようになる

　先進的な企業は、データ保護製品を購入してビジネスニーズに合わせようとするのではなく、データセキュリティガバナンスフレームワーク（DSGF）によってデータセキュリティに取り組み始めている。

　「DSGFは、データ資産を特定、分類し、データセキュリティポリシーを定義するデータ中心の青写真を提供する。この青写真を使って、リスクを最小化するための技術が選択される。データセキュリティへの取り組みの鍵は、多くの企業で行われているやり方とは異なり、まず技術を調達するのではなく、データセキュリティで扱うビジネスリスクを出発点に据えることだ」（ファーストブルック氏）

トレンド4：「パスワードレス認証」が支持を集める

　スマートフォンの「Touch ID」のように、パスワードを使わない認証が市場で支持を獲得し始めている。こうしたパスワードレス認証は、消費者および従業員向けのエンタープライズアプリケーションで導入が進んでいる。需要が高く、技術の供給も豊富だからだ。

トレンド5：セキュリティ製品ベンダーが有料のスキルおよびトレーニングサービスを提供する動きが広がっている

　Gartnerによると、サイバーセキュリティの不足人員数は2018年の100万人から、2020年末には150万人に増える見通しだ。人工知能（AI）や自動化の進化が、標準的なセキュリティアラートを分析する人の必要性を減らすのは確かだ。だが、機密アラートや複雑なアラートについては、人間が目を通す必要がある。

　「ベンダーは、製品を運用サービスと組み合わせて、迅速な導入を可能にするソリューションを提供し始めている。サービスの内容は、完全な管理から、管理者のスキル向上や日々の作業負荷の軽減を目的とした部分的なサポートまで、多岐にわたる」（ファーストブルック氏）

トレンド6：主流のコンピューティングプラットフォームとしてのクラウドのセキュリティコンピテンシーへの投資が行われている

　クラウドへのシフトに伴い、セキュリティチームの体制は手薄になる。必要な人材が乏しい可能性があり、企業は対応準備が整っていないからだ。Gartnerは、2023年まで、クラウドのセキュリティ障害の大部分は顧客側に責任があるだろうと予想している。

　「パブリッククラウドは安全であり、多くの企業にとって有力な選択肢だ。だが、パブリッククラウドを安全に保つ責任は、プロバイダーとユーザーが分担する。企業は、クラウドの発展やイノベーションの急速なペースに対応できる知識ベースの構築に向けて、セキュリティスキルを持った人材やガバナンスツールに投資しなければならない」（ファーストブルック氏）

トレンド7：従来のセキュリティ市場におけるGartnerの「CARTA」の存在感が拡大する

　Gartnerの「CARTA」（Continuous Adaptive Risk and Trust Assessment：継続的で適応的なリスクおよび信頼評価）は、デジタルビジネスの信頼評価の曖昧さに対処するためのアプローチだ。

　「この戦略的なセキュリティアプローチの主要要素は、アクセスを拡張した後も、リスクと信頼を継続的に評価することだ。電子メールやネットワークセキュリティは、CARTAのアプローチに向かっているセキュリティ分野の例だ。これらの分野のソリューションは、ユーザーとデバイスの認証後も、異常の検知を行うようになってきている」（ファーストブルック氏）