Gartner、セキュリティ部門が対応すべき6つのトレンドを指摘：経営者のセキュリティ意識の高まりが追い風に

　Gartnerは2018年7月3日（米国時間）、サイバーセキュリティがビジネス結果に与える影響に対するビジネスリーダーの認識が高まる中、「セキュリティリーダーは、セキュリティおよびリスク管理の6つの新しいトレンドを利用し、自社の回復力の強化や、セキュリティ部門の評価の向上に取り組むべきだ」と提言した。

　Gartnerはセキュリティおよびリスク管理の新しいトレンドとして、以下の6つを挙げている。

1. サイバーセキュリティがビジネス目標の達成や企業の評判の維持に大きな影響を与えることを、上級経営幹部がようやく認識しつつある

　ITセキュリティは、取締役会で議論されるべきトピックであり、あらゆるビジネス戦略に不可欠の要素だ。ビジネスリーダーはこのことを必ずしも受け入れてこなかったが、最近、産業界で重大なセキュリティインシデントが続発し、広く報じられたことから、こうした意識が変わってきた。

　Gartnerは、「セキュリティ部門は、ビジネスリーダーと密接に連携し、セキュリティ問題と、その影響が及び得るビジネスの取り組みを明確に関連付けなければならない」とアドバイスしている。

2. データ保護に関する法令や規制がデジタルビジネス計画に影響し、データ責任の重視が求められている

　顧客データはデジタルビジネスサービスの血液であり、最近のCambridge Analyticaの不祥事や、Equifaxで発生したデータ流出は、顧客データを扱うことに伴う大きなビジネスリスクを浮き彫りにした。さらに、規制や法的な環境が複雑化の一途をたどっており、それを示す最新の例がEU一般データ保護規則（GDPR）の施行だ。データの適切な保護を怠った場合に被る恐れがある損失は、極めて大きい。

　「コンプライアンス対策だけでなく、総合的なデータ管理プログラムの実施が不可欠となっている」とGartnerは指摘している。

3. セキュリティ製品がクラウド経由での提供により、アジリティーの高いソリューションとなっている

　新しい検知技術や取り組み、認証モデルのために膨大なデータが必要となっており、既存のオンプレミスセキュリティソリューションは、こうした流れに対応できなくなっている。そのため、クラウドで提供されるセキュリティ製品への移行が急速に進んでいる。こうした製品は、データをほぼリアルタイムで利用し、よりアジャイルで適応性の高いソリューションを提供できる。

　Gartnerは、「しっかりしたデータ管理機能や機械学習機能を備え、少なくとも自社と同じようにデータを保護できる、クラウドファーストのサービスを提案するプロバイダー」を探すことを勧めている。

4. 機械学習が人手による分析の代わりに、単純な作業や、不審なイベントの発見によって価値を発揮している

　クラウドへの移行に伴い、適応型の認証や、内部者の脅威、高度な攻撃といったさまざまなセキュリティ問題の解決に機械学習を活用する機会が生まれている。

　Gartnerは、2025年までに、機械学習がセキュリティソリューションの一般的な要素となり、「スキルのある人材の不足」という問題を相殺すると予想している。

5. セキュリティ製品やサービスの購入決定が、従来の考慮点に加えて、地政学的な要素も踏まえて行われるようになっている

　サイバー戦争やサイバー政治干渉に加え、ソフトウェアやサービスへのバックドアアクセスに対する政府機関の要求が厳しくなっており、ソフトウェアやインフラの購入決定に関わる新しい地政学リスクが生じている。

　「自社にとって重要なパートナー、サプライヤー、法的管轄について、責任をもって地政学的に検討することが極めて重要になっている。RFI（Request For Information：情報提供依頼書）やRFP（Request For Proposal：提案依頼書）、契約のプロセスにおいて、調達先に関して相手に確認するとよい」とGartnerは指摘している。

6. デジタルパワーの危険な集中化に伴い、エコシステムのさまざまなレベルで分散化の取り組みが行われている

　インターネットは集中化を促進している面があり、その顕著な例がクラウドコンピューティングだ。前述のように、この動きには多くのメリットがあるが、セキュリティチームは、そのリスクにも対処しなければならない。

　「デジタルビジネス計画における可用性、機密性、耐障害性の観点から、集中化がセキュリティに及ぼす影響を評価する必要がある。集中化のリスクが組織の目標達成を深刻に脅かす可能性がある場合、代替の分散アーキテクチャを探るべきだ」とGartnerは述べている。