ガートナージャパンは1月11日、日本の企業がセキュリティに関して2024年に押さえておくべき10の重要論点を発表した。その概要は以下のとおり。
論点1:新たなセキュリティ・ガバナンス
社会全体としてセキュリティの取り組みにおける説明責任は増大傾向にあり、国内においても経営者の意識に変化が生まれる状況が増えている。
論点2:新たな働き方とセキュリティ
ワークプレースは、従来のオフィスなどの「働く場所」を中心としたものから、従業員の「働き方」を中心とした新しいものへと移行しつつあり、そうした働き方のパターンに応じてセキュリティにも多様なパターンが求められるようになってきている。
論点3:セキュリティ・オペレーションの進化
ゼロトラスト、セキュア・アクセス・サービス・エッジ(SASE)といったトレンドや、急速に変化する環境や脅威に対応するために、企業は脅威対策製品の導入を継続する一方、個々の製品のログへの対処や運用方法、運用負荷の増加などの課題を抱える組織が増えている。
論点4:インシデント対応の強化
OTやIoTの領域もサイバー攻撃の対象となる現在、企業が担うインシデント対応の範囲は、これまでのIT領域にとどまらず、自社製品あるいは設備などにまで拡大している。
論点5:外部からの攻撃への対応
ビジネス/テクノロジー環境の変化に伴い、企業が攻撃を受ける可能性のある脅威エクスポージャが増加しており、アタック・サーフェス・マネジメント(ASM)への関心が高まっている。
論点6:内部脅威への対応
内部脅威の対応範囲は広いため、まずはリスクの高いもの、例えば高度な機密情報を扱うユーザー、特権を行使する場面、あるいは退職を予定しているユーザーなど、特定のポイントにフォーカスして取り組みを進めることが重要。
論点7:法規制、サードパーティ/サプライチェーンのリスクへの対応
AI、データ/アナリティクス、サイバー・フィジカルなど、社会全体としてデジタル・トレンドが進む中、世界の地域/国の規制当局による新しい法案策定に向けた動きが活発になっている。
論点8:クラウドのリスクへの対応
マルチクラウドの利用が進み、セキュリティの構成を漏れなく評価し対応することが難しくなっている。また、利用する部門によってセキュリティ意識やルール、スキルにばらつきがある。
論点9:データ・アナリティクスのリスクへの対応
セキュリティ・チームと事業部門との分断や、事業部門側のセキュリティやプライバシーに対する認識不足などにより、セキュリティに関する議論が十分に尽くされないまま、大規模なデータ・アナリティクス・プロジェクトが進んでしまうことがある。
論点10:AIのリスクへの対応
生成AIの社内利用を超えて、顧客向け製品/サービスへの組み込みが増加するにつれ、AIのトラスト/リスク/セキュリティ・マネジメント(AI TRiSM)に取り組むなど、自社におけるAIのリスクを検討し、それらに向けた具体的な対応の必要性が高まる。