はじめに
現代はあらゆるものがインターネットにつながるコネクテッドな時代を迎えつつあります。これによりIoTやコネクテッドカーなど、さまざまな新しいサービスが登場していますが、こうしたサービスの価値を人々が安心して享受するためには、あらゆるものが安全につながる仕組みを構築することが欠かせません。その意味で、サイバーセキュリティの重要性は近年ますます高まっています。
そこで今回は大手IT調査会社のガートナーの調査をもとに、2022年に注目すべきサイバーセキュリティ、ITセキュリティの最新トレンドをご紹介したいと思います。
企業が新たな脅威から身を守るために押さえておくべきこと
ガートナージャパンは2022年3月に「2022年のセキュリティ/リスク・マネジメントのトップ・トレンド」を発表し、今後新たに起こりうるサイバーセキュリティキュリティの脅威から身を守るために押さえておくべき7つのトレンドを明らかにしました。
同社は企業の情報セキュリティを統括する役割としてCISO(最高情報セキュリティ責任者、Chief Information Security Officer)をはじめとしたセキュリティ担当者が抱える課題を指摘した上で、自社の取り組みに反映すべき事項を紹介しています。
なお、日本企業においてはCISOという専任職はまだまだ馴染みが薄く、情報システム部門の責任者が便宜上兼任しているケースも少なくありません。このため、セキュリティ対策についてはシステムの運用・保守と並行して片手間で対応することも珍しくなく、新たなサイバーセキュリティの脅威に備えて大胆な先行投資を決断することが難しい現状があると言われています。
今回ガートナーが指摘しているのは、あくまでCISOをはじめとしたセキュリティ/リスク管理を担当する責任者が押さえておくべきポイントになります。とはいえ、IT業界に携わる幅広い役職の人々にとっても役立つ視点が含まれているため、以下に順番にご紹介したいと思います。
トレンド1:攻撃対象範囲の拡大
報道などでもしばしば伝えられるところですが、近年は企業に対するサイバー攻撃の種類がますます複雑化かつ多様化する中、攻撃を受ける対象や狙われる範囲が拡大しています。
これは物理的なITシステムに限らず、IoTなどのセンサー機器、さらにはクラウドベースのアプリケーションなどにも広がっています。さらに、ソーシャルメディアの普及により誰もが個人単位であらゆる情報を拡散できるようになったことを受け、機密情報などの情報流出リスクも増大しています。つまり、セキュリティ対策は従来のように特定の限られた部門での監視、検知、対応というサイクルでは防ぎきれなくなっており、あらゆる場所や空間で起こりうることを前提にしたより広範囲にわたるリスク管理が求められるようになっています。
直近では2022年3月1日にトヨタ自動車が仕入れ先企業に対するサイバー攻撃を受け、日本国内の生産ラインを終日停止したことが大きなニュースになりましたが、サプライチェーンの一角を狙った脅威が関係するビジネス全体にいかに深刻な影響を及ぼすかを端的に示した事例と言えるでしょう。
トレンド2:デジタル・サプライチェーンのリスク
デジタル・サプライチェーンとはサプライチェーンを構成する企業間でデータ連携などを強化することにより、サプライチェーン全体をエンドツーエンド(一気通貫)で可視化する取り組みを意味します。
サプライチェーンのデジタル化は製造業を中心に、ここ数年の大きな経営テーマのひとつになっています。実際、サプライチェーンをめぐっては自然災害や新型コロナウイルス感染症(COVID-19)のパンデミック、さらには地政学的リスクなどにより足元では世界的な混乱が続いています。
また、前述したトヨタの事例で明らかなようにサプライチェーンを狙った攻撃はハッカー(攻撃者)の立場から見れば、「高い投資収益率 (ROI) をもたらす」(ガートナー)として知られるようになっています。つまり、彼らにしてみれば侵入に成功すれば大きな成果を得られるターゲットというわけです。特にデジタル化で企業間のデータ連携が進みつつある中では被害も拡大しやすい傾向にあると言えるでしょう。
このため、ガートナーは近年はデジタル・サプライチェーンが攻撃対象になりやすくなっていると指摘した上で、2021年12月に公表されたApache Log4j(Log4j)のような脆弱性リストがサプライチェーンに広がっていると分析しています。さらにガートナーは2025年までに全世界の組織の45%がソフトウェア・サプライチェーンに対する攻撃を経験することになると予測しています。この割合は2021年比では3倍に上ります。
なお、同社はこうした先行きを踏まえ、安全なサプライチェーンを構築するために、今後はより慎重なリスク・ベースでのベンダー/パートナーの選別、スコアリング、セキュリティ管理などが重要になってくるだろうと分析しています。
トレンド3:アイデンティティ脅威検知/対応の見極め
サイバー攻撃に対する対策として、近年注目されているのがアイデンティティおよびアクセス管理(IAM、Identity and Access Management)の領域です。IAMは、アプリケーションやシステム、データなどへの認証やアクセスを管理するためのフレームワークですが、大きく以下の3つの要素に分類することができます。
1)アクセス管理・シングルサインオン(SSO)・・・社内システムや各種クラウドベースのアプリケーションなどにアクセスする際に認証を確認する取り組み
2)アイデンティティ・ガバナンス(IGA、Identity Governance & Administration):社員などのユーザーの属性変更(入社や異動、退職など)に応じ、適切なアクセス権限を付与する取り組み
3)特権アクセス管理(PAM、Privileged Access Management):システム管理者が運用するようなより高いレベルの管理権限が必要なアカウントやアプリケーション、システム資産などに対するアクセスを制御および監視する取り組み
これらの認証情報やアクセス権限を不正に入手し、利用することを狙った攻撃はサイバー攻撃の中でも主要な攻撃経路となっているため、ガートナーではアイデンティティ・システムを防御するためのツールの適用や対応事例の把握を通じ、アイデンティティおよびアクセス管理(IAM)におけるセキュリティ侵害の検知や効率的な修復などに注力することの重要性に触れています。
トレンド4:意思決定の分散化
サイバー攻撃がますます多様化かつ複雑化する中、企業のサイバーセキュリティに対するニーズと期待が高まっていることは間違いありません。
しかし、トレンド1で触れられているとおりサイバー攻撃の対象範囲は拡大の一途をたどっています。このため、サイバーセキュリティに対するあらゆる意思決定と対応を一つの部門に集約させることはますます難しくなりつつあります。このため、ガートナーは「サイバーセキュリティに関する意思決定、実行責任、説明責任を中央集権的な部門から引き離し、複数の組織単位にわたって分散させることが必要になる」と指摘しています。
つまり、仮にCISOのような専門職を設置している企業であっても、CISO一人にサイバーセキュリティに関するあらゆるリスクを押し付けることは賢明ではありません。同調査を担当したガートナーのアナリスト兼バイス プレジデントのピーター・ファーストブルック (Peter Firstbrook) は次のように述べています。
「CISOの役割は、テクノロジ領域のエキスパートから、エグゼクティブ・リスク・マネージャーの役割へと変化しています。2025年までに、単一の中央集権的なサイバーセキュリティ部門では、デジタル組織のニーズにアジャイルに対応できなくなると思われます。CISOは、責任のマトリクスを改めて概念化し、取締役会、CEOや他のビジネス・リーダーが、十分な情報に基づいてリスクの判断を下せるようにすべきです」
引用:ガートナージャパン プレスリリース: Gartner、2022年のセキュリティ/リスク・マネジメントのトップ・トレンドを発表
トレンド5:ビヨンド・アウェアネス (セキュリティ意識)
トレンド4でも示しましたが、サイバーセキュリティをめぐる対応はもはや特定のセキュリティ担当者だけが負うべきものではなくなっています。企業で働くあらゆる立場の人々が人為的ミスや何かのきっかけで情報漏洩のリスクを増大させてしまい、攻撃者に狙われるケースも少なくありません。
このため当たり前のことではありますが、あらゆる人々がセキュリティ意識を高め、日々の業務の中で適切かつ用心深く対処することがますます重要になっています。
一例としてガートナーでは従来型のコンプライアンス中心のセキュリティ意識向上トレーニングに代わり、組織全体のセキュリティを守るためにどのような働き方が望ましいのかを考え、行動として定着させる「セキュリティ行動・文化プログラム」(SBCP)に投資することを提唱しています。
トレンド6:ベンダーの集約
企業は業務上さまざまなソリューションベンダーが提供しているシステムやアプリケーションなどを使っていますが、近年はより総合されたソリューションにより複雑性や管理コストの低減などを推進する取り組みがみられます。
これらの統合されたソリューションには、セキュリティ技術も含まれることが多く、ガートナーは、2024年までに企業の30%がクラウド・デリバリ型セキュアWebゲートウェイ (SWG)、クラウド・アクセス・セキュリティ・ブローカ (CASB)、ゼロトラスト・ネットワーク・アクセス (ZTNA)、ブランチ (拠点) 向けサービスとしてのファイアウォール (FWaaS) の各機能を同じベンダーから採用するようになると予測しています。
こうした見方を踏まえると、セキュリティ機能を集約化・効率化するという観点からも今後はソリューションベンダーの集約が進む可能性が高いと言えるでしょう。
トレンド7:サイバーセキュリティ・メッシュ
サイバーセキュリティ対策には既に個々の構成要素(エンドポイント)単位で防御を固める「エンドポイントセキュリティ」や全て信頼できない(ゼロトラスト)という前提に立ってあらかじめ決められたリソースの使用を認める「ゼロトラスト」など、さまざまなアプローチが存在します。
サイバーセキュリティ・メッシュとは、スケーラビリティ、柔軟性、信頼性の高いサイバーセキュリティ管理に対する最新の分散型アーキテクチャのアプローチで、例えば場所を問わずオフィス外からも社内のデジタル資産に安全にアクセスすることを可能にします。ただ、トレンド6で触れたようにセキュリティ機能を含めた同一ベンダーによるソリューションの集約化が進む中、各ソリューションにおいて脅威に対抗するためのセキュリティ機能を安全に実装するための仕組みともいえる「セキュリティアーキテクチャ」を統合していく動きも出ています。
しかし、集約化されたソリューション間で一貫したセキュリティ・ポリシーを定義し、安全な運用のためのワークフローを構築する必要があることから、最近ではサイバーセキュリティ・メッシュに対する注目が高まっています。
なお、サイバーセキュリティ・メッシュについては「2022年に注目されそうな12のITトレンドとは?」という過去記事の中のトレンドのひとつとしてご紹介していますので、ご興味のある方は併せてご覧ください。
おわりに
今回は近年ますます注目が高まるサイバーセキュリティの領域で今年注目しておきたい7つのトレンドをご紹介しました。なお、サイバーセキュリティに関しては弊社SHIFT ASIAでもソフトウェアの品質保証事業で培った知見などを活かしたセキュリティ関連サービスを提供しています。
具体的な弊社のソリューションや導入事例についてはトップメニューのタブメニューから詳細をご覧の上、何かございましたらいつでもお気軽にご相談いただけると幸いです。
お問い合わせContact
ご不明点やご相談などがありましたら、お気軽にお問い合わせください。