企業の60%がゼロトラスト採用へ、しかしメリット享受は? Gartnerがセキュリティ将来予測:消費者のプライバシー権への対応も重要に
Gartnerによれば、消費者のプライバシー権への対応や、SSEプラットフォーム戦略などの8項目が、2023年までにサイバーセキュリティ関連で重要になるという。
Gartnerは2022年6月21日(米国時間)、2022〜2023年のサイバーセキュリティに関する予測のトップ8を発表した。サイバーセキュリティのリーダーに対し、今後2年間のセキュリティ戦略の前提としてこの予測を据えるよう、勧めている。
消費者のプライバシーに対応する
2023年までに、消費者のプライバシー権確保を企業に対して求める政府規制が、50億人の市民と世界のGDP(国内総生産)の70%以上をカバーする。
2021年時点で、50カ国の約30億人の個人が、企業が提供する消費者のプライバシー権にアクセスでき、プライバシー規制は拡大し続けている。企業が非効率な点を特定し、自動化を加速させるために、主体の権利要求に関する指標(要求当たりのコストや処理にかかる時間など)を追跡することを、Gartnerは勧めている。
SSEプラットフォーム戦略が重要に
2025年までに企業の80%が、単一ベンダーのSSE(セキュリティサービスエッジ)プラットフォームからWeb、クラウドサービス、プライベートアプリケーションへのアクセスを統合する戦略を採用する。
ベンダーは統合SSEソリューションを提供し、一貫したシンプルなWeb、プライベートアクセス、SaaS(Software as a Service)アプリケーションセキュリティを実現しようとしている。
シングルベンダーソリューションはベストオブブリードのソリューションと比較して、(1)より緊密な統合、(2)使用するコンソールの減少、(3)データの復号、検査、再暗号化が必要な場所の減少――といったメリットにより、高い運用効率とセキュリティ効果を実現する。
ゼロトラスト採用が進むものの、メリットを享受できない企業が残る
2025年までに企業の60%が、ゼロトラストをセキュリティの出発点として採用する。だが、半数以上がそのメリットを実現できない。
ゼロトラストという言葉は、セキュリティベンダーのマーケティングや政府によるセキュリティガイダンスに広く浸透している。ゼロトラストの考え方は、「暗黙の信頼を、アイデンティティーとコンテキストに基づく、リスクに応じた信頼に置き換える」という非常に有力なものだ。
だが、ゼロトラストはセキュリティの原則であると同時に組織のビジョンでもある。そのため、そのメリットを享受するには、企業内の文化的な転換に加え、ゼロトラストをビジネス成果と結び付ける明確なコミュニケーションが必要になる。
取引先をセキュリティリスクで選ぶ
2025年までに企業の60%が、サードパーティーとの取引やビジネス契約を行う際の主要な判断材料として、サイバーセキュリティリスクを利用するようになる。
サードパーティーに関連するサイバー攻撃は増加している。だが、Gartnerのデータによると、セキュリティとリスク管理のリーダーのうち、サードパーティーのサイバーセキュリティ上の危険性をリアルタイムで監視しているのは、23%にとどまる。消費者の懸念と規制当局の関心を背景に、企業がサードパーティーとビジネスを行う際に、重要な技術サプライヤーの単純な監視から、M&A(企業の合併・買収)のための複雑なデューデリジェンス(精査)に至るまで、サイバーセキュリティリスクを重要な判断材料として用いることを義務付けるようになると、Gartnerは考えている。
ランサムウェアの身代金が法規制の対象に
ランサムウェアの身代金支払い、支払いに対する罰金、交渉を規制する法律がある国は、2021年には全体の1%未満だったが、2025年までに30%の国家で、こうした法律が成立する。
現代のランサムウェア攻撃集団は、データを暗号化するだけでなく、盗むようになった。身代金を支払うかどうかは、ビジネスレベルの判断になっている。交渉の前に、専門のインシデント対応チームや法執行機関、あらゆる規制機関の関与を得ることを、Gartnerは勧めている。
運用技術が敵の武器になる
2025年までに、攻撃者は運用技術(OT)環境を武器化し、人的被害を引き起こすことに成功する。
OT(機器、資産、プロセスを監視または制御するハードウェアおよびソフトウェア)に対する攻撃は、より一般化し、より破壊的なものになってきている。Gartnerは、セキュリティとリスク管理のリーダーは運用環境に関しては、情報の盗難よりも、人や環境の実際の危険について、より関心を持つべきだとしている。
組織のレジリエンス文化が重要に
2025年までにCEO(最高経営責任者)の70%は、サイバー犯罪や気象災害、市民騒動、政治的不安定などの脅威が重なる中で生き残るために、組織的なレジリエンス(強靭《きょうじん》性、回復力)文化を強制する。
新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)により、従来の事業継続管理計画では、大規模な混乱に対する組織の対応をサポートできないことが露呈した。今後も混乱が続く可能性が高いことから、Gartnerはリスク管理リーダーが、組織のレジリエンスを戦略的な必須事項として認識し、スタッフ、ステークホルダー、顧客、サプライヤーを巻き込んだ全社的なレジリエンス戦略を構築することを勧めている。
シニアビジネスリーダーがサイバー犯罪担当となる
2026年までにCレベル(最高責任者レベル)の役員の50%が、リスク関連の業績要件を雇用契約に組み込まれる。
Gartnerの最近の調査によると、ほとんどの取締役会はサイバーセキュリティを、単なる技術的なIT問題ではなく、ビジネス上のリスクと見なすようになっている。Gartnerは、その結果として、サイバーリスクの処理に関する正式な説明責任が、セキュリティリーダーからシニアビジネスリーダーに移ると予想している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 2022年のセキュリティとリスク管理における8つの注目トレンド
「サイバーセキュリティメッシュ」「アイデンティティーファーストのセキュリティ」「セキュリティに精通した取締役会」「プライバシー強化コンピュテーション」などが、注目トレンドとなっている。 - 現代的なネットワークセキュリティアーキテクチャ構築で知るべき17の略語とコンセプト
ネットワークアーキテクチャの変化に伴い、ネットワークセキュリティには、信頼性の高い定番技術と新技術を組み合わせた新しいアプローチが求められている。 - サイバーセキュリティ攻撃を招く可能性のある8つの原因
文化やシステムの問題が、組織を脆弱(ぜいじゃく)にしている可能性がある。