ガートナー 2022年サイバーセキュリティ展望トップ8

　ガートナージャパン株式会社は11月29日、「2021～2022年のサイバーセキュリティに関する展望のトップ8」を発表した。

　セキュリティ・リスク担当リーダーは、「利用者が悪質な攻撃から物理的被害を受けないようにするにはどうしたらよいか」といった質問を想定し将来に備える必要があり、プライバシー規制への対応、ランサムウェア攻撃、サイバー・フィジカル・システム、取締役会レベルの監督および精査などの優先課題となるトップ8について、ガートナーが解説している。

　ガートナーのアナリストは、これからの数年間で分散化、規制、安全性への影響のさらなる拡大を予測しており、今後1年間のロードマップ策定の参考となる戦略的プランニングの仮説事項を下記の通り説明している。

1.2023年末までに、世界人口の75%の個人情報が、最新のプライバシー規制の対象となる

　一般データ保護規則（GDPR）は消費者のプライバシーを守る初めての主要な法律であったが、その後ブラジルの一般個人データ保護法（LGPD）や米国のカリフォルニア消費者プライバシー法（CCPA）などが制定され、これらの法規制の適用範囲を鑑みると、企業はさまざまな管轄地域で複数のデータ保護法に対処することになる。

2.2024年までに、サイバーセキュリティ・メッシュ・アーキテクチャを導入する組織は、セキュリティ・インシデントによる財務への影響を平均で90%低減させる

　サイバーセキュリティ・メッシュは、従来のセキュリティ境界の外側にあるアイデンティティも幅広く網羅でき、組織の包括的な視点をもたらし、リモートワークのセキュリティ向上にも役立つため、今後2年間に導入が促される。

3.2024年までに、企業の30%は、クラウド・デリバリ型セキュアWebゲートウェイ（SWG）、クラウド・アクセス・セキュリティ・ブローカ（CASB）、ゼロトラスト・ネットワーク・アクセス（ZTNA）、サービスとしてのファイアウォール（FWaaS）の各機能を同じベンダーから採用する

　セキュリティ担当リーダーは数十種類のツールを管理しているが、今後は10種類未満まで集約しようと計画している。

4.2025年までに、組織の60%は、サードパーティとの取引やビジネス契約における主要な決定要因として、サイバーセキュリティ・リスクを用いる

　ベンチャー・キャピタリストなどの投資家は、機会を評価する際の重要な要素として、サイバーセキュリティ・リスクを用い、買収・合併やベンダーとの契約など、ビジネス取引の際にサイバーセキュリティ・リスクを重視する企業が増える。

5.2025年末までに、ランサムウェアへの支払い、罰金、交渉の規制を目的とした法案を可決する国家の割合は、2021年の1%未満から30%に上昇する

　現在もランサムウェアの支払いには幅広い規制が適用されている可能性があるが、セキュリティ・エキスパートは、支払いに対するより積極的な取り締まりを予期すべき。ランサムウェアへの支払いをするという判断は、部門横断型チームが担うべき。

6.2025年までに、取締役会の40%は、適格な取締役が監督する専任のサイバーセキュリティ委員会を設置する

　サイバーセキュリティは取締役会の継続的な最重要課題となっており、取締役会レベルのサイバーセキュリティ委員会の設置や、より厳格な監督及び精査の実施が予想される。

7.2025年までに、CEOの70%は、サイバー犯罪、異常気象、市民の不安、政情不安などによる、同時発生的な脅威を切り抜けるために、組織的レジリエンスの文化を必須とする

　幅広いセキュリティ環境に対応するため、サイバーセキュリティを超えて組織的レジリエンスへと移行する必要がある。

8.2025年までに、攻撃者はオペレーショナル・テクノロジ環境を武器にして、人的被害を与えられるようになる

　マルウェアがITからOTへと広がると焦点はビジネス・ディスラプションから物理的被害へと移り、最終的にはCEOが法的責任を負うことになる。