【転載】ガートナー：2020-2021年のセキュリティプロジェクトトップ10

Information and Cybersecurity : Top 10 Security Projects for 2020-2021:

Gartner recommends that security and risk management leaders focus on these 10 security projects to drive business-value and reduce risk for the business.

No. 1: Securing your remote workforce

No. 2: Risk-based vulnerability management

No. 3: Extended detection and response (XDR)

No. 4: Cloud security posture management

No. 5: Simplify cloud access controls

No. 6: DMARC

No. 7: Passwordless authentication

No. 8: Data classification and protection

No. 9: Workforce competencies assessment

No. 10: Automating security risk assessments

----

セキュリティおよびリスク管理のリーダーは、これらの10のセキュリティプロジェクトに焦点を当てて、ビジネス価値を高め、ビジネスのリスクを軽減する必要があります。

「リモートの従業員のセキュリティを確保しようとしていますが、ビジネスの生産性を妨げたくないですか？」「セキュリティ機能のリスクとギャップを特定するのに苦労していますか？」「CISOは時間とリソースをどこに集中させるべきですか？」

セキュリティとリスク管理の専門家は常にこれらの質問をしますが、本当の問題は、絶えず変化するセキュリティ環境において、どのプロジェクトが最大のビジネス価値を推進し、組織のリスクを軽減するかということです。

2020年の仮想GartnerSecurity＆Risk Management Summitで、シニアディレクターアナリストのBrian Reedは、次のように述べています。。「私たちは、基本的な保護の決定を超えて、検出と対応、そして最終的にはセキュリティインシデントからの回復への革新的なアプローチを通じて組織の回復力を向上させる必要があります。」

重要なのは、ビジネスの実現に優先順位を付け、リスクを軽減し、それらの優先順位をビジネスに効果的に伝えることです。

ガートナーの予測に基づいてCOVID-19の影響を調整した、今年のトップ10のセキュリティプロジェクトは、リスク管理とプロセスの内訳の理解に重点を置いた8つの新しいプロジェクトを特徴としています。重要度の高い順に記載されていないこれらのプロジェクトは、独立して実行できます。

No. 1：リモートワーカーの保護

ビジネス要件に焦点を当て、ユーザーやグループがどのようにデータやアプリケーションにアクセスしているかを理解します。最初のリモートプッシュから数ヶ月が経過した今、アクセスレベルが正しいかどうか、セキュリティ対策が実際に作業を妨げていないかどうかを判断するために、ニーズ評価と変更点のレビューを行う時期です。

2番目：リスクベースの脆弱性管理

すべてにパッチを当てようとするのではなく、実際に悪用可能な脆弱性に焦点を当ててください。脅威の一括評価を超えて、脅威インテリジェンス、攻撃者の活動、内部資産の重要性を利用して、実際の組織リスクをよりよく把握しましょう。

No. 3：拡張検出および応答（XDR）

XDRは、複数の独自コンポーネントからデータを収集し、相関させる統合セキュリティおよびインシデント対応プラットフォームです。プラットフォームレベルの統合は、後から追加されるのではなく、導入時に行われます。これにより、複数のセキュリティ製品が1つに統合され、全体的なセキュリティの成果が向上する可能性があります。企業は、セキュリティを簡素化し、合理化するために、この技術の使用を検討すべきである。

4位：クラウドセキュリティ態勢管理

組織は、IaaSとPaaSの間で共通のコントロールを確保し、自動化された評価と修正をサポートする必要があります。クラウド・アプリケーションは非常に動的であるため、自動化された DevSecOps スタイルのセキュリティが必要です。クラウドのセキュリティアプローチ全体でポリシーの統一性を確保する手段がなければ、パブリッククラウドのセキュリティを確保することは難しいでしょう。

参考資料：クラウドセキュリティのためのガートナーのハイプサイクルからのトップアクション、2020

No. 5：クラウドアクセス制御の簡素化

クラウドのアクセス制御は通常、CASBを介して行われます。CASB は、ポリシーの施行とアクティブ・ブロックを提供できるインライン・プロキシを介したリアルタイムの施行を提供します。また、CASBは、例えば、トラフィックの忠実性をより確実にし、セキュリティアクセスを理解するために、監視モードで開始することにより、柔軟性を提供します。

6位：DMARC

組織は電子メールを認証の単一ソースとして使用しており、ユーザーは本物のメッセージと偽物を見極めるのに苦労しています。DMARC（ドメインベースのメッセージ認証、報告および適合性）は、電子メール認証ポリシーです。DMARCは、電子メールセキュリティのための総合的なソリューションではなく、全体的なセキュリティアプローチの一部であるべきです。しかし、送信者のドメインとの信頼と検証の追加レイヤーを提供することができます。DMARCはドメインのなりすましを助けることはできるが、すべての電子メールセキュリティ問題に対処することはできない。

No. 7：パスワードなしの認証

従業員は、個人の電子メールと同じパスワードを仕事用のコンピュータに使用することを考えないかもしれませんが、それはセキュリティ上の大きな頭痛の種となる可能性があります。機能的にはいくつかの異なる方法で機能するパスワードレス認証は、セキュリティのためのより良いソリューションを提供しています。目標は、信頼を高め、ユーザーエクスペリエンスを向上させることであるべきです。

No. 8：データの分類と保護

すべてのデータは同じではありません。万能型のセキュリティアプローチでは、セキュリティが多すぎる領域と少なすぎる領域が作られ、組織のリスクを増大させます。セキュリティ技術のレイヤー化を始める前に、まずポリシーと定義から始めて、プロセスを正しく理解しましょう。

No. 9：労働力コンピテンシー評価

適切なスキルを持つ適切な人材を適切な役割に配置する。ハードな技術的スキルとソフトなリーダーシップの専門知識を組み合わせることは、非常に重要ですが、やりがいのあることです。完璧な候補者は存在しませんが、プロジェクトごとに5～6つの必須コンピテンシーを特定することができます。サイバーランニングやサイバーシミュレーション、ソフトスキルの評価など、さまざまな方法でコンピテンシーを評価しましょう。

No. 10：セキュリティリスク評価の自動化

これは、セキュリティチームがセキュリティ運用、新規プロジェクト、またはプログラムレベルのリスクに関連するリスクを理解するための一つの方法です。リスクアセスメントは、完全にスキップされるか、限定的に行われる傾向があります。このような評価を行うことで、限られたリスクの自動化と、リスクギャップが存在する場所の可視化が可能になります。