SASEは「過度な期待」のピーク、ゼロトラストネットワークアクセスは「幻滅期」へ ガートナー：「日本におけるセキュリティのハイプ・サイクル：2022年」

ガートナージャパンは、「日本におけるセキュリティ（インフラ、リスク・マネジメント）のハイプ・サイクル：2022年」を発表した。

[＠IT]

　ガートナージャパンは2022年9月26日、「日本におけるセキュリティ（インフラ、リスク・マネジメント）のハイプ・サイクル：2022年」を発表した。

2022年版、日本におけるセキュリティ（インフラ、リスク・マネジメント）のハイプ・サイクル（提供：ガートナージャパン）

　セキュリティのハイプサイクルでは、特にセキュアなインフラとリスクマネジメントを実現しながら企業のビジネスやサービス、データを保護する24の技術と手法、概念を取り上げている。2022年版は、新たに「アタックサーフェスマネジメント」（ASM）、「セキュリティレーティングサービス」（SRS）、「侵入／攻撃シミュレーション」（BAS）、「セキュリティサービスエッジ」（SSE）、「サイバーセキュリティメッシュアーキテクチャ」（CSMA）の5項目が追加されている。

ポイントは「分散型セキュリティをどう確保し、管理するか」

　オンプレミスやクラウド、IoT（Internet of Things）など、企業のデジタル資産は各所に分散しており、「どんな資産が」「どこに」「どういった形で存在しているのか」を把握するのが難しくなっている。ASMはそうしたデジタル資産とそこに向けられる脅威を可視化する。

　SRSは、インターネットから確認できる組織のセキュリティについて、独立したスコアリングとレーティングを継続的に提供するサービス。自社のセキュリティレベルを測定する用途はもちろん、サプライチェーン攻撃への対策として業務委託先や関連会社のセキュリティレベルを把握する目的でも利用できる。

　企業のセキュリティレベルを把握する方法として、ペネトレーションテストがある。ガートナージャパンによると近年は攻撃者視点でのペネトレーションテストの必要性が増大しているという。BASはこうした背景を受け、注目されているセキュリティだ。ペネトレーションテストなど「企業への脅威」を想定した侵入や攻撃のテストを継続的に実施し、企業のセキュリティを評価する。

　SSEは「セキュアアクセスサービスエッジ（SASE）を構成する中核技術」とガートナージャパンは説明している。セキュアWebゲートウェイ、CASB（Cloud Access Security Broker）などを組み合わせて、セキュアにクラウドサービスを利用できる。CSMAは、分散型セキュリティをコントロールする戦略的アプローチのこと。同社は「セキュリティツール、インテリジェンス、アイデンティティーの管理がますます複雑になっている課題に対応するもので、セキュアかつ集中的なセキュリティ運用と監視を可能にする」としている。

　ガートナージャパンのアナリストでバイスプレジデントを務める礒田優一氏は、「セキュリティの取り組みは、リスクベースで企業の優先事項に従って進める必要がある。セキュリティへの投資を検討している企業は、急速なデジタル化の進展と脅威の変化に対応するために、取り組みの優先順位を定期的に調整すべきだ」と述べている。