Gartner、サイバーセキュリティ戦略策定に役立つ8大予測を発表:人間中心型の設計やゼロトラストがキーワードに
Gartnerは、今後数年間のサイバーセキュリティ動向に関する予測のトップ8を発表した。これらの予測を前提として踏まえ、2023〜2024年のサイバーセキュリティ戦略を策定することを推奨している。
調査会社のGartnerは2023年3月28日(オーストラリア時間)、今後数年間のサイバーセキュリティ動向に関する予測のトップ8を発表した。サイバーセキュリティリーダーに対し、これらの予測を前提として踏まえ、2023〜2024年のサイバーセキュリティ戦略を策定することを推奨している。
Gartnerのサイバーセキュリティ動向、8大予測
1. 2027年までにCISO(最高情報セキュリティ責任者)の50%が、運用上の摩擦を最小限に抑え、施策を最大限に浸透させるために、サイバーセキュリティプログラムに「人間中心型の設計」プラクティスを正式に採用する
Gartnerの調査は、業務中に安全でない行為をしたことを認めた従業員の90%以上が、それらの行為が組織のリスクを高めることを知りつつも、安全ではない行為をしたことを示している。人間中心型のセキュリティ設計は、摩擦を最小化するために、施策の設計と実装の焦点として、技術、脅威、場所ではなく、個人をモデル化する。
2. 2024年までに、最新のプライバシー規制が消費者データの大半をカバーするが、プライバシーを競争上の優位性として、武器にすることに成功する組織は10%未満にとどまる
企業はプライバシープログラムによって、より広範なデータの利用、競合他社との差別化、顧客、パートナー、投資家、規制当局との信頼関係の構築が可能になることを認識し始めている。Gartnerは、競争が激化する市場で組織が差別化を図り、揺るぎない成長を遂げるために、セキュリティリーダーが欧州連合(EU)のGDPR(一般データ保護規則)に沿った包括的なプライバシー基準を強制することを勧めている。
3. 2026年までに大企業の10%が、包括的で成熟した、測定可能なゼロトラストプログラムを導入する(現在の導入率は1%未満)
成熟したゼロトラストの実装を広く展開するには、さまざまなコンポーネントを統合、構成する必要があり、それは非常に技術的で複雑になる場合がある。その成功は、ビジネス価値への転換に大きくかかっている。小さく始めることで、ゼロトラストの考え方が進化し続け、ゼロトラストプログラムの利点をよりよく把握し、複雑さを一歩ずつ管理することが容易になる。
4. 2027年までに従業員の75%が、IT部門の目の届かないところで技術を入手、変更、構築するようになる(2022年時点では41%)
CISOの役割と責任範囲は、施策の責任者から、リスクに関する意思決定の支援者へと移行しつつある。サイバーセキュリティの運用モデルを再構築することが、今後の変化のカギを握る。Gartnerは、CISOが技術や自動化を超えて考え、従業員と深く関わり、その意思決定に影響を与え、従業員が適切な知識を備えて情報に基づいた行動を取れるようにすることを勧めている。
5. 2025年までにサイバーセキュリティリーダーの50%が、企業の意思決定を促進するためにサイバーリスクの定量化を活用しようとして失敗する
Gartnerの調査によると、サイバーリスクの定量化を採用した企業の62%が、信頼とサイバーリスク認識という定性的な面での向上を成果として挙げているが、リスク軽減、コスト削減、実際の意思決定への影響など、実体的な成果を挙げている企業は36%にとどまっている。セキュリティリーダーは、ビジネス部門を説得するために自己流で分析するのではなく、意思決定者が求める定量化に力を注ぐべきだ。
6. 仕事関連のさまざまなストレスにより、2025年までにサイバーセキュリティリーダーの半数近くが転職し、25%は全く別の職務に就く
サイバーセキュリティ専門家の仕事上のストレスが増加し、仕事の継続が困難になるケースが多くなっている。新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)と業界全体の人材不足が、この状況に拍車を掛けてきた。Gartnerは、ストレスをなくすことは非現実的だが、サポートを受けられる文化の中で働いていれば、人々は、困難でストレスの多い仕事にも対応できると指摘している。文化の転換を促進する就業ルールの変更が、その助けになる。
7. 2026年までに取締役会の70%が、サイバーセキュリティの専門知識、経験を持つメンバーを1人含むようになる
サイバーセキュリティリーダーがビジネスパートナーとして認められるためには、取締役会と企業のリスク選好度(リスクの高い資産への投資を増やすこと)を認識する必要がある。これにより、サイバーセキュリティプログラムが、「好ましくない事態の発生をいかに防ぐか」だけでなく、「企業がリスクを効果的に取る能力をいかに向上させるか」を示すことができる。Gartnerは、CISOが変化を先取りし、取締役会に対してサイバーセキュリティの促進と支援を呼び掛け、信頼と支援の向上に向けて、より緊密な関係を築くことを勧めている。
8. 2026年までにTDIR(脅威の検知、調査、対応)機能の60%以上が、エクスポージャー(外部にさらされているリスク)管理データを利用し、検知した脅威の検証と優先順位付けを行うようになる(2023年3月時点の割合は5%未満)
接続の拡大や、SaaSやクラウドアプリケーションの利用に伴い、組織の攻撃対象領域が拡大する中、企業はより広範な可視化に加え、脅威とエクスポージャーを常にモニタリングするための中心的な場所を必要としている。TDIRの機能は、検知、調査、対応を管理できる統合プラットフォームまたはプラットフォームエコシステムを実現し、セキュリティ運用チームにリスクとその潜在的影響の全体像を提供する。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
サイバー攻撃者が狙う「アタックサーフェス」が増えた今、境界防御に加えて重視すべきこととは
2023年3月に開催された「ITmedia Security Week 2023 春」の「拡大するアタックサーフェス、“社内攻撃”を想定せよ」ゾーンにおいて、現役ペネトレーションテスターの上野宣氏が「拡大するアタックサーフェス、攻撃者は如何に侵入するのか」と題して講演した。
AI、RPA、データベース――3つの技術がサイバー攻撃を変え、「デジタル災害」を引き起こした背景とは
2023年3月に開催された「ITmedia Security Week 2023 春」の「拡大するアタックサーフェス、“社内攻撃”を想定せよ」ゾーンにおいて、ニューリジェンセキュリティでCTO(最高技術責任者)を務める仲上竜太氏が「災害化するサイバー脅威とアタックサーフェス管理」と題して基調講演に登壇した。
9割の企業が「脅威が侵入しても1時間以内に対処できない」 パロアルトネットワークス
パロアルトネットワークスは、「2023年クラウドネイティブセキュリティの現状レポート」を発表した。サイバー脅威を1時間以内に検知、対応できていない企業が90%以上を占めることが分かった。