ガートナージャパン株式会社は1月8日、日本の企業が2025年に押さえておくべきセキュリティとプライバシーに関する12の重要論点を発表した。
リスク・マネジメントとサイバーセキュリティの分野では、AIが新たな可能性と課題を同時に生み出しているとし、同社バイス プレジデント アナリストの礒田優一氏は「セキュリティとリスク・マネジメント(SRM)のリーダーは、そうした新しいリスク、脅威、環境の変化、法規制の動き、セキュリティのテクノロジや市場の多様化など、ますます混沌とするセキュリティとプライバシーの領域を俯瞰し、次なる一手を打ち出していく必要があります。」とコメントしている。
企業が2025年に押さえておくべきセキュリティに関する12の重要論点は、下記の通り。
論点1:新たなセキュリティ・ガバナンス
EUのNIS2指令やAI Act(AI法)、米国証券取引委員会(SEC)の新たなサイバーセキュリティの開示規則など、経営の責任を明確化し、リーダーシップを促進する法規制の制定が世界的に進行する中で、サイバー攻撃や内部脅威に加え、クラウド、AI、データ・アナリティクス(D&A)、サイバー・フィジカル、法規制のリスクも絡めた高度で複雑な意思決定が必要になっており、従来の中央集権的なセキュリティ・ガバナンスに限界が生じている。新しい時代に向けたセキュリティ人材の強化も重要課題となる。
論点2:新たなデジタル・ワークプレースとセキュリティ
論点3:セキュリティ・オペレーションの進化
ゼロトラスト、セキュア・アクセス・サービス・エッジ(SASE)などへの取り組みは、部分的な最適化にとどまるケースもあり、総合的な製品のログへの対処や、チューニングなどの運用対応、円安の影響によるサービス費用の上昇などの課題も上がっている。セキュリティ・オペレーション・センター(SOC)の運用について、多くの企業ではアウトソーシングを検討しているが、「インシデントや緊急時の判断と責任は自社にある」という意識が低い様子が見受けられる。
論点4:インシデント対応の強化
企業におけるセキュリティのインシデント対応は、セキュリティの議論から脱却し、事業継続計画(BCP)や危機管理など組織的な議論として再構築されるケースが増加している。
論点5:外部公開アプリケーションに対する攻撃への対応
論点6:マルウェア/標的型攻撃への対応
論点7:内部脅威への対応
PCの操作ログは多くの国内企業で取得されていますが、不正の兆候が埋没し、検知できない状況が見られる。退職予定者による内部不正に加え、「兼務」や「出向」といった日本で当たり前に行われている独特の人事施策は、新たに対策を採るべき分野として注目されている。
AIを活用した内部脅威の検知に期待が高まっているが、認証、権限管理、データ保護といったセキュリティの基本的施策が十分にできていないところに導入しても、期待する内部不正を検知することは難しいと Gartner は見ている。
論点8:法規制、サードパーティ/サプライチェーンのリスクへの対応
論点9:クラウドのリスクへの対応
論点10:サイバー・フィジカル・システム(CPS)のリスクへの対応
論点11:データ/アナリティクスのリスクへの対応
論点12:AIのリスクへの対応
