2024年のセキュリティ、日本企業に向けた10の論点

今回は「2024年のセキュリティ、日本企業に向けた10の論点」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 ガートナージャパンは、日本企業が押さえておくべきという2024年のセキュリティ論点を発表した。ガバナンスやリスク、マルチクラウド、AIなど10種類を挙げている。

 同社バイスプレジデント アナリストの礒田優一氏は、昨今においてセキュリティの取り組みをステークホルダー(利害関係者)に説明する必要性が今まで以上に高まっているとし、「戦略不在のままその場しのぎの対応を継続した場合、企業として責任を問われた際に説明に窮する事態に陥る可能性がある。セキュリティリスクマネジメント(SRM)のリーダーは、目前の課題や仕事のみに振り回されるのを避けるために、少なくとも年に1回は視野を広げ、自社の取り組みを見つめ直す機会を持つべき。セキュリティとプライバシーの領域を俯瞰する視点が必要になる」と解説する。

 同社が発表した論点は次の通り。

論点1:新たなセキュリティガバナンス

 社会全体としてセキュリティの取り組みにおける説明責任は増大傾向にあり、国内においても経営者の意識に変化が生まれる状況が増えている。昨今のセキュリティ環境では、サイバー攻撃や内部脅威に加え、クラウド、デジタル、法規制のリスクも絡めた高度かつ複雑な意思決定が必要になり、従来の中央集権的なセキュリティガバナンスに限界を感じる組織が増加している。

 SRMリーダーは、従来存在する情報セキュリティの脅威のみではなく、サイバーセキュリティおよびデジタルトレンドを踏まえた新しい脅威の変化をファクトベースで経営陣、ビジネスリーダーに伝え、理解を促すことが重要になる。セキュリティは、ITの問題ではなく経営問題であり、組織全体として対応すべき問題であるとの共通理解を得るとともに、分散型意思決定を可能とするプロセスへ移行する必要がある。

論点2:新たな働き方とセキュリティ

 ワークプレースは、従来のオフィスなどの「働く場所」を中心としたものから、従業員の「働き方」を中心とした新しいものへと移行しつつあり、そうした働き方のパターンに応じてセキュリティにも多様なパターンが求められるようになってきている。「日常型AI」の利用が進むことで生じる、新たなセキュリティリスクへの対応の必要性が高まっている。

 SRMリーダーは、従業員がシステムやデータにどこからアクセスし、どのように使うのか、そうした実態を把握し、ユースケースごとに適切なセキュリティを選択できるような取り組みを推進する必要がある。「日常型AI」の利用が進むことで、ユーザーとして新たに認識すべきリスクも増えるため、2024年は従業員に対するセキュリティ教育の在り方を見直す必要がある。

論点3:セキュリティオペレーションの進化

 ゼロトラスト、セキュアアクセスサービスエッジ(SASE)といったトレンドや、急速に変化する環境や脅威に対応するために、企業は脅威対策製品の導入を継続する一方、個々の製品のログへの対処や運用方法、運用負荷の増加などの課題を抱える組織が増えている。加えて、セキュリティ情報イベント管理(SIEM)プラットフォームや、拡張型検知/対応(XDR)関連製品、生成AIの活用への期待が高まっている。

 SRMリーダーは、脅威対策製品の検知や防御の能力に頼るだけでなく、問題が発生しないような構成を維持する事前対応プロセス(ぜいじゃく性への対処や設定ミスの修正など)をセキュリティオペレーションに組み込み、そのサイクルを回していくことが求められる。また、生成AIなどの活用については発展途上にあるため、セキュリティ運用の今後の姿を描き、中長期的な視点で検討していくことが重要になる。

論点4:インシデント対応の強化

 サイバー攻撃はさらに巧妙化が進んでおり、インシデントの原因究明には、これまで以上に時間がかかるようになってきている。制御系技術(OT)やIoTの領域もサイバー攻撃の対象となる現在、企業が担うインシデント対応の範囲は、これまでのIT領域にとどまらず、自社製品あるいは設備などにまで拡大している。

 インシデントが広い範囲に影響する場合、業務停止の時間を極力短くすることが重要になるため、こうした場面ではインシデントの原因究明よりもシステムの暫定復旧が優先されるようインシデント対応プロセスを見直す必要がある。あいまいな想定があれば具体的なシナリオとして修正し、インシデント対応組織が複数ある場合には、おのおのが分断しないよう協働に向けた働きかけも重要である。

論点5:外部からの攻撃への対応

 エンドポイント型検知/対応(EDR)製品を導入する企業は増えているものの、運用や人材スキルにおける問題を抱える組織が多い。ビジネスやテクノロジーの環境の変化に伴い、企業が攻撃を受ける可能性のある脅威エクスポージャーが増加しており、アタックサーフェスマネジメント(ASM:攻撃対象領域管理)への関心が高まっている。

 SRMリーダーは、自社の資産や保持している情報を踏まえた想定シナリオの準備や、運用プロセスの見直しおよび運用スキル強化に向けた取り組みが必要。併せて、攻撃リスクを低減するための手段として従来行われている脆弱(ぜいじゃく)性マネジメントと、新たに対処が必要になっている脅威エクスポージャーの双方に対応するために、継続的な脅威エクスポージャー管理(CTEM)への取り組みを検討することも必要である。

元記事: https://japan.zdnet.com/article/35213727/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
「チャットコマース」と「接客DX」のZealsが総額18億円を調達、株式上場の準備を開始
人工知能・AI
2021-04-02 10:36
Red HatとNutanixが戦略的提携を発表。Nutanix上でRed Hat OpenShiftが優先的なKubernetes環境に
Hyper-Converged
2021-08-03 12:39
HPE、フォトニクス回路の新興企業Ayar Labsと提携–HPCシステム向け製品を開発へ
IT関連
2022-02-26 11:20
WebAssemblyをPOSIX対応に拡張した「WASIX」登場、bashやcurl、WebサーバなどLinuxアプリが実装可能に。Wasmerが発表
WebAssembly
2023-06-07 07:50
次世代のサイバーセキュリティに向けた道筋を明らかに–最新の対策や事例を紹介
IT関連
2022-10-26 01:07
「パックマン」デザインの腕時計、カシオが発売 「ともに誕生から40年を超える」
くらテク
2021-07-22 16:00
コロナ禍で一時的に増えたPC出荷、再び減少に転じる
IT関連
2023-08-30 02:37
マイクロソフト、ホワイトハウスの「ゼロトラスト」戦略を推進へ
IT関連
2022-02-24 07:49
MozillaがAIでWebサイトを自動制作してくれる「Solo」を公開。基本的な情報を基に、説明文からレイアウト、適切なフリー画像の選択までおまかせ
HTML/CSS
2023-12-20 06:15
フランスの10代向けチャレンジャーバンクVybeが約3.1億円調達
フィンテック
2021-04-11 13:16
凸版印刷、決済プラットフォームに新機能–地域通貨と情報発信を一元管理
IT関連
2022-10-15 14:23
電帳法改正にどう対応するか(前編)–変更内容や検討スケジュールを考察
IT関連
2022-03-23 14:19
第6回:サプライチェーンリスクマネジメントの未来図
IT関連
2023-04-07 23:05
テスト自動化のために作られたIDE「Aqua」、JetBrainsが正式公開。Webインスペクタ、HTTPクライアント、テストランナー、デバッガーなど統合。個人向けは無料
ソフトウェアテスト・品質
2024-05-21 22:47