ガートナー社によると、セキュリティおよびリスク管理のリーダーは、2022年以降、7つのトレンドに対処する必要があると述べています。
「世界中の組織は、巧妙なランサムウェア、デジタル・サプライチェーンへの攻撃、深く埋め込まれた脆弱性に直面しています。ハイブリッドワークとクラウドへの移行が加速し、CISOは分散化が進む企業のセキュリティを確保する必要に迫られています。」とガートナー社のリサーチ・バイスプレジデントであるピーター・ファーストブルックは言います。
これらの課題は、サイバーセキュリティの実践に影響を与える3つの包括的なトレンド、(i) 高度な脅威への新しい対応、(ii) セキュリティ実践の進化と再構築、(iii) 技術の再考につながるものです。以下のトレンドは、これら3つの領域にわたって、業界に広く影響を与えるでしょう。
トレンド1:アタックサーフェスの拡大
企業の攻撃対象領域が拡大しています。サイバーフィジカルシステムやIoT、オープンソースコード、クラウドアプリケーション、複雑なデジタルサプライチェーン、ソーシャルメディアなどの使用により、組織の露出領域は、制御可能な資産の枠外に広がっています。企業は、従来のセキュリティ監視、検知、対応のアプローチを超えて、より広範なセキュリティリスクを管理する必要があります。
デジタルリスクプロテクションサービス(Digital risk protection services/DRPS)、外部攻撃表面管理(external attack surface management/EASM)技術、サイバー資産攻撃表面管理(technologies and cyber asset attack surface management/CAASM)は、CISOが内部および外部のビジネスシステムを可視化し、セキュリティカバレッジギャップの発見を自動化できるように支援します。
トレンド2:デジタルサプライチェーンリスク
サイバー犯罪者は、デジタルサプライチェーンへの攻撃が高い投資対効果をもたらすことを発見しています。Log4jのような脆弱性がサプライチェーンに広がるにつれ、さらなる脅威の出現が予想されます。実際、ガートナー社は、2025年までに世界の45%の組織がソフトウェアのサプライチェーンに対する攻撃を経験すると予測しており、これは2021年から3倍に増加しています。
デジタルサプライチェーンのリスクは、リスクベースのベンダー/パートナーのセグメンテーションとスコアリング、セキュリティコントロールと安全なベストプラクティスの証拠の要求、レジリエンスベースの思考への移行、来るべき規制を先取りする努力など、より慎重なリスク軽減のための新しいアプローチを要求しています。
トレンド3:アイデンティティの脅威の検知と対応
洗練された脅威者がアイデンティティとアクセス管理(identity and access management/IAM)インフラを積極的にターゲットにしており、クレデンシャルの悪用は今や主要な攻撃ベクトルとなっています。ガートナーは、IDシステムを防御するためのツールやベストプラクティスの集合体を表す用語として、「ID脅威の検知と対応」(identity threat detection and response/ITDR)を導入しました。
「組織は、IAM機能の向上に多大な労力を費やしてきましたが、その多くはユーザー認証を向上させる技術に集中しており、実際にはサイバーセキュリティ・インフラの基礎となる部分の攻撃対象が拡大しています」とファーストブルックは述べています。ITDRツールは、IDシステムを保護し、侵害を検出し、効率的な修復を可能にすることができるのです。
トレンド4:意思決定の分散
企業のサイバーセキュリティに対するニーズと期待は成熟しつつあり、攻撃対象が拡大する中で、経営者はより俊敏なセキュリティを必要としています。このように、デジタル・ビジネスの範囲、規模、複雑性から、サイバーセキュリティに関する意思決定、責任、説明責任を組織全体に分散させ、中央集権的な機能から離れることが必要になってきているのです。
「CISOの役割は、技術的な専門家からエグゼクティブ・リスク・マネージャーの役割へと変化しています」とファーストブルックは述べています。2025年までには、一元化された単一のサイバーセキュリティ機能では、デジタル組織のニーズを満たすのに十分な俊敏性は得られないでしょう。CISOは、取締役会、CEO、その他のビジネスリーダーが、十分な情報を得た上でリスクに関する意思決定を行えるように、その責任マトリックスを再認識する必要があります。
トレンド5:意識向上の先にあるもの
多くの情報漏えい事件では、依然としてヒューマンエラーが要因となっており、従来のセキュリティ意識向上トレーニングのアプローチが有効でないことが示されています。先進的な企業は、コンプライアンス中心の時代遅れのセキュリティ意識向上キャンペーンではなく、全体的なセキュリティ行動・文化プログラム(security behavior and culture programs/SBCP)に投資しています。SBCP は、組織全体がより安全な方法で業務を遂行できるように、新しい考え方を育み、新しい行動を定着させることに重点を置いています。
トレンド6:ベンダーの統合
複雑性の軽減、管理オーバーヘッドの削減、有効性の向上というニーズにより、セキュリティ技術の収束が加速しています。Extended Detection and Response(XDR)、Security Service Edge(SSE)、クラウドネイティブアプリケーション保護プラットフォーム(cloud native application protection platforms/CNAPP)などの新しいプラットフォームアプローチは、統合ソリューションのメリットを加速しています。
たとえば、ガートナーは、2024年までに企業の30%が、クラウド提供のセキュアWebゲートウェイ(cloud-delivered secure web gateway/SWG)、クラウドアクセスセキュリティブローカー(cloud access security broker/CASB)、ゼロトラストネットワークアクセス(zero trust network access/ZTNA)、サービスとしての支社ファイアウォール(firewall as a service/FWaaS)の機能を同じベンダーから導入すると予想しています。セキュリティ機能の統合は、長期的には総所有コストの削減と運用効率の向上につながり、全体的なセキュリティの向上にもつながります。
トレンド7:サイバーセキュリティ・メッシュ
セキュリティ製品の統合化により、セキュリティ・アーキテクチャ・コンポーネントの統合が進んでいます。しかし、一貫したセキュリティ・ポリシーの定義、ワークフローの実現、統合ソリューション間のデータ交換の必要性は依然として残っています。サイバーセキュリティ・メッシュ・アーキテクチャ(cybersecurity mesh architecture/CSMA)は、オンプレミス、データセンター、クラウドを問わず、すべての資産を保護するための共通の統合セキュリティ構造と態勢を提供するのに役立ちます。
「ガートナーのサイバーセキュリティのトップトレンドは、単独で存在するのではなく、相互に構築され強化されるものです。「これらのトレンドを組み合わせることで、CISOはその役割を進化させ、将来のセキュリティおよびリスク管理の課題に対応し、組織内での地位を向上させ続けることができるのです。