今後取り組むべきセキュリティプロジェクトのトップ10：Gartner Insights Pickup（126）

セキュリティやリスク管理のリーダーは、変化するサイバーセキュリティニーズに対応し、リスクを軽減するため、本稿で紹介する10のセキュリティプロジェクトを実行すべきだ。

[Kasey Panetta,Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　ジョージ（仮名）がある小売企業のCISO（最高情報セキュリティ責任者）に就任した頃、ITセキュリティは比較的シンプルな問題だった。だが、同社のビジネスの成長に伴い、セキュリティ上の脆弱（ぜいじゃく）性が増大した。オンライン注文への対応を開始し、従業員が増え、クラウドベースの多くのプラットフォームや技術が全社にわたってデジタルビジネスをサポートするようになったことが背景にある。さらに、攻撃やフィッシングの試みが増加していることも相まって、どのセキュリティプロジェクトに重点を置くべきか、どうすればセキュリティのROI（投資対効果）を最大化できるかが判断しにくくなっている。

　「セキュリティやリスク管理のリーダーは、既存セキュリティプロジェクトの維持と、新規プロジェクトの遂行に常に追われている」と、Gartnerのシニアディレクターでアナリストのブライアン・リード氏は指摘する。

　「新しいセキュリティプロジェクトへの優先順位の付け方としては、ビジネスへの影響が大きい問題に対処するプロジェクトや、リスクを大幅に軽減できるプロジェクトに力を入れるとよい」（リード氏）

　Gartnerは、既に基本的なセキュリティ対策を全て導入している企業向けのセキュリティプロジェクトのトップ10（順不同）として、以下を挙げている。

プロジェクト1：特権アクセス管理（PAM）

　特権アカウント（管理アカウントや権限の高いアカウント）は、攻撃者にとって魅力的なターゲットだ。PAMプロジェクトでは、こうしたアカウントの保護のために適用すべき制御に焦点を当てる。どのアカウントを優先すべきかについては、リスクベースのアプローチで判断しなければならない。

　PAMプロジェクトは、人的および非人的システムアカウントをカバーするとともに、オンプレミスやクラウド、ハイブリッド環境および自動化のためのAPIの組み合わせをサポートする必要がある。

プロジェクト2：CARTAに基づく脆弱性管理

　セキュリティチームは脆弱性が膨大になると対処しきれなくなり、それら全てにパッチを適用できなくなる。そのため、セキュリティやリスク管理の担当者は、適宜、適切なセキュリティ対策を行うCARTA（Continuous Adaptive Risk and Trust Assessment：継続的で適応性のあるリスクおよび信頼の評価）ベースのセキュリティアプローチに注力すべきだ。

　そのためには、CISOはIT資産のビジネス価値と、IT資産に関連するリスクを定量化し、ビジネスステークホルダーの同意を取り付ける必要がある。これらの資産の保護を進める重要性を強調するためだ。この取り組みを行うに当たっては、企業はネットワークトポロジーに加え、ITインフラの変更についても常に把握しておかなければならない。

プロジェクト3：検知／対応

　完全な保護が可能なオプションは存在しないが、CISOは検知／対応プロジェクトを検討すべきだ。以下のような幾つかの問いを自問するとよい。「検知と対応を支援するデータはどのように収集、保存されているか」「その技術は、幅広い検知および対応機能や侵害の指標を利用する機能を備えているか」

　既にエンドポイント保護プラットフォームを使っている場合は、そのプラットフォームをエンドポイント検知および対応のためのオプションとして位置付ける。マネージドセキュリティサービスを利用する場合は、マネージドプロバイダーに情報を提供するプロジェクトを考えることになる。AI（人工知能）や機械学習機能を提供するとうたうベンダーは、必ず徹底的にテストする必要がある。

プロジェクト4：クラウドアクセスセキュリティブローカー（CASB）

　CASBは、複数のSaaSアプリケーションを道入している企業向けに、可視化と管理のためのコントロールポイントを提供する。このタイプのプロジェクトは、社内で使われているクラウドアプリケーションを洗い出し、シャドーITの存在を明らかにすることから始めると正当化される。

　こうしたプロジェクトでは、SaaSアプリケーションで使用、共有される機密データを企業が管理、可視化できているかどうかを評価する。さらに、各クラウドベースサービスについて、どのような可視化と管理のレベルが必要かを判断する。機密データの洗い出しと保護に特化したサービスを短期間契約するという手もある。

プロジェクト5：クラウドセキュリティの状態管理（CSPM）

　クラウドサービスは高度な自動化とセルフサービスを提供するが、ほとんどのクラウド攻撃は顧客の誤構成、管理の不備、ミスが原因で発生する。クラウドリスクを軽減するために、CSPM（Cloud Security Posture Management）プロセスおよびツールの導入を検討するとよい。

　企業が1つのIaaSプラットフォームしか利用していない場合は、そのプロバイダーがCSPMオプションを用意しているかどうかを調べる。用意していない場合は、CSPMプロバイダーから自社が利用している複数のクラウドについてサポートを受けるようにする。

　クラウドベースのCSPMオプションでは評価結果に基づいて自動的に変更を行えるが、企業が既にCASBを利用している（または、利用を検討している）場合、そのプロバイダーが大手であれば、充実したCSPMオプションを提供している。

プロジェクト6：ビジネス電子メール詐欺（BEC）

　BEC対策プロジェクトは、セキュリティやリスク管理のリーダーが、フィッシング攻撃や不適切に定義されたビジネスプロセスに対処するのに役立つ。

　このプロジェクトでは、技術的制御と組織固有のプロセス再構築に重点を置く。現行の電子メールセキュリティシステムに、カスタマイズ可能な機械学習オプションを統合するという対策も可能だ。

　セキュリティやリスク管理のリーダーは、現行の電子メールセキュリティプロバイダーに、技術的制御の実現に加え、BEC対策やセキュリティ啓発トレーニング、他のエンドポイント保護技術の統合への取り組みも求めるとよい。

プロジェクト7：ダークデータの把握

　データセンターの集約やクラウドへの移行を行う前に、ダークデータの把握に着手する必要がある。ダークデータは、価値が低いデータや未知のリスクがあるデータを指す。企業が持つデータ量を減らすことで、セキュリティリスクを軽減できるだけでなく、GDPR（General Data Protection Regulation：一般データ保護規則）などの規制に違反するリスクを抑えることもできる。

　ダークデータを把握するには、さまざまなデータサイロ（ファイル共有やデータベース、ビッグデータ、クラウドリポジトリなど）内のデータを調査する必要がある。機密データが保存される全てのシステムの幅広いデータリポジトリをサポートするベンダーを利用するとよい。

プロジェクト8：セキュリティインシデントレポート

　セキュリティインシデントが発生したら、計画と準備に基づいた適切な対応を行う必要がある。このプロジェクトでは、既存の計画の更新や、対応の完全な見直しが必要になる可能性がある。対応の現在のレベルを評価し、計画の改善点を検討するからだ。予防および事後対策を柔軟に行えるプロバイダーをインシデント対応に利用することも考えられる。

プロジェクト9：コンテナセキュリティ

　開発者の間で、Linuxコンテナの利用が活発化している。開発パイプラインを通じて、デジタルビジネス機能をより迅速に開発、更新するためだ。だが、各コンテナは、本番環境にデプロイする前に脆弱性や問題点を検査する必要がある。コンテナセキュリティ対策は、一般的な開発ツールおよびCI/CD（継続的インテグレーション／継続的デリバリー）パイプラインに統合するとともに、さまざまセキュリティツールをサポートする包括的なAPIとともに適用する必要がある。

　まず、既知の脆弱性と構成上の問題をスキャンし、その戦略をランタイムの保護に拡張する。高度なソリューションは、開発された各コンテナの詳細な“BOM（部品表）”を作成し、その内容と実行時に使用されるものとを比較し、ライブラリやコードのどこを削除できるかを提示できる。

プロジェクト10：セキュリティ評価サービス（SRS）

　デジタルエコシステムは複雑化が進んでおり、セキュリティリスクも同様だ。セキュリティやリスク管理のリーダーは、社内のセキュリティとリスクに加えて、サプライヤーや規制当局、顧客、ビジネスパートナー、プラットフォームも考慮しなければならない。

　SRSを利用すれば、自社の全体的なデジタルエコシステムに対するリアルタイムの継続的な独立したスコア評価を、低コストで得られる。SRSの評価結果は絶対的なものではなく、包括的なリスク管理プログラムの一部として統合すべきだが、このサービスは重要なイノベーションだ。

　自社に最適なSRSを選択するには、複数ベンダーのサービス、スコアリングモデル、ライセンシングを、要件に照らして評価する。また、SRSによるサプライヤーの評価結果は、調達担当者との協力により、サプライヤーの選定基準の1つとして利用できる。

出典：Gartner Top 10 Security Projects for 2019（Smarter with Gartner）

筆者　Kasey Panetta

Brand Content Manager at Gartner