運用主権と技術主権の推進によるサイバーレジリエンスの強化:Gartner Insights Pickup(436)
企業のサイバーセキュリティは、脅威の高度化や規制強化を背景に、被害防止中心から事業継続を重視するサイバーレジリエンスへの転換が必要になっている。地政学的リスクや各国の規制を踏まえ、データ・運用・技術の主権確保が重要となる。クラウド依存が進む中、サイバーセキュリティリーダーには主権基準を満たす製品選定と迅速な対応が求められている。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
企業のサイバーセキュリティにおいては、根本的かつ不可欠な戦略転換が進み、サイバーレジリエンス(回復力)への移行が求められている。高度化する脅威や規制上の要求に加え、いつ破壊的なインシデントが発生してもおかしくない状況に対処するためだ。
今日のサイバーセキュリティリーダーは、インシデントの完全な防御を目指す戦略から、事業被害の抑制、業務への影響の最小化、事業継続性の確保に焦点を当てる戦略へと転換しなければならない。地政学的な圧力や地域の規制要件を考慮し、セキュリティ技術の選択および展開モデルを積極的に適応させる必要がある。
こうした圧力や規制が強まる中、企業は主権の確保がサイバーレジリエンスアプローチの要となりつつあることに気づいている。地政学的な混乱と地域の規制要件の進展(中国のサイバーセキュリティ法第37条やインドのデジタル個人データ保護法のような)が、この変化を促進している。
主権要件には今やデータ主権だけでなく、運用主権や技術主権も含まれる。多くのセキュリティソリューションがクラウドベースの機能に依存しているため、企業は、一見オンプレミスでありながらクラウドに依存している領域においても、主権の確保が必要となる可能性があることを認識しなければならない。
規制の変化と要件の進化により、企業はクラウドベースのセキュリティ製品に関するベンダーの選定と優先順位付けの方針を見直す必要に迫られる。ジオパトリエーション要件の厳格化に伴い、企業は迅速な適応態勢を整え、選定したソリューションが義務付けられている主権基準に適合することを保証しなければならない。
Gartnerは、2027年までに企業の30%が、継続する地政学的混乱への対応策として、クラウドベースのセキュリティコントロールにおいて、データや運用面、さらには技術面も含めた包括的な主権を求めるようになると予測している。
通常、完全な主権の達成(特に、運用主権と技術主権)にはトレードオフが伴う。多くの地域において、厳格な主権目標を満たすクラウドベースの製品は、より広く提供されているソリューションで得られる技術的機能を備えていない場合がある。さらに、特定の地域に特化したソリューションは、プロバイダー障害の影響を抑えるレジリエンス機能が限定される可能性がある。
こうした複雑な状況を乗り切るには、自社の主権要件に関する必要なドキュメントと検証済みサポートを、グローバルプロバイダーが提供できるかどうかを確認することが不可欠だ。データ主権は最も対応しやすい要件であることが多いが、全てのプロバイダーが全ての業務領域でこれらのドキュメントやサポートを提供できるわけではない。企業がレジリエンスとコンプライアンスを確保したセキュリティ戦略を策定する際は、プロバイダーの能力を慎重に評価することが極めて重要だ。
企業はまず、ジオパトリエーションと主権要件について学習し、適用される規制を明確に理解するため、法律顧問に相談すべきだ。さらに、自社の主権目標を評価、定義することが重要だ。この目標には、地域規制で求められる目標や社内ポリシーの決定事項などが含まれる。
セキュリティインフラの徹底的な洗い出しも、自明でないクラウド依存関係を特定し、分類するために不可欠だ。多くのセキュリティソリューションは、すぐには分からないかもしれない複雑な網目のような相互依存関係を形成している。これらの関係を主権要件に照らして検証することは、より堅牢(けんろう)でコンプライアンスとレジリエンスを高めるサイバーレジリエンス戦略の策定に役立つ。
出典:Enhancing Cyber Resilience by Prioritizing Operational and Technical Sovereignty(Gartner)
※この記事は、2026年1月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。