開催レポート

デジタル時代のセキュリティ : 新たな戦略で信頼を築き変化に対応せよ

ガートナー セキュリティ & リスク・マネジメント サミット 2017

リーダーは、レジリエンスを目指し、アダプティブに対応すべきである。
2017年7月12~14日の3日間、東京コンファレンスセンター・品川で『ガートナー セキュリティ & リスク・マネジメント サミット 2017』が開催された。テーマは「リスクを管理し、信頼を築き、変化を受け入れる」である。

デジタル・ビジネスは、生産性向上や顧客満足などの成果を生み出す一方で、組織を新たな脅威やリスクにさらす可能性も秘めている。デジタル・ビジネスの真の潜在力を引き出すには、企業と、そのシステムと従業員がデジタル・エコノミーの一員として信頼される必要がある。

ここでは、ビジネスを中断させることなく、深刻化するサイバーセキュリティ・リスクを管理できるようにするための革新的なテクノロジやプラクティスに触れた3つの講演を紹介する。

複雑化する時代に欠かせない「CARTA思考」

ガートナー セキュリティ & リスク・マネジメント サミット 2017

初日の基調講演では、バイス プレジデント 兼 最上級アナリストのニール・マクドナルド、バイス プレジデント 兼 ガートナー フェローのトム・ショルツ、バイス プレジデントのアール・パーキンスの3名が登壇し、「アダプティブなリスク・マネジメントにより、信頼を構築し変化へ対応する」をテーマに講演した。

3名は、今、私たちが生きている世界は白と黒ではなく、無限の数の曖昧なグレーがある新しい現実世界にいると語り、そうしたなかでリスクを管理して信頼を構築するためには、従来の継続的なモニタリングから、リアルタイムの継続的なアセスメント評価に転換しなければならないとし、CARTA(continuous adaptive risk and trust assessment)を強く推奨した。

ガートナー セキュリティ & リスク・マネジメント サミット 2017

CARTAとはいつでもどこでも継続的に適応し、リスクを常にモニタリングして評価することだと説明し、CARTAを実行、構築、計画の3つにあてはめて話を進めた。
実行では、CARTA思考を用いてイベントを常にモニターし、最もリスクが高いイベントに有効なリソースを向けるべきだと述べ、そのためには検知を速くするアナリティクスと、対応のスピード化をもたらす自動化がカギであると語った。

構築ではCARTA思考に近いCASB(cloud access security broker)を紹介。また、新規サービスの開発の際に、IT機能を本番化させる前の開発の初期段階における、組織にとって大きなリスクとなる問題点の洗い出し、それを継続的に行うことの重要性を指摘した。
計画では、パスワードのローテションは時代遅れであり、エビデンスベースの実践的なセキュリティを目指すべきだと説いた。

防御ではなく、検知・対応・予測能力に投資せよ

ガートナー セキュリティ & リスク・マネジメント サミット 2017

「優先順位をつけ、価値の高い資産には最善のセキュリティを実装すべきだ──」
「2017年のトップ・サイバーセキュリティ・トレンド」をテーマに講演したのは、アール・パーキンスである。

パーキンスは5つのセキュリティ・トレンドを紹介。まず、サイバーセキュリティのためのスキルと組織が変わりつつある点を指摘。AIを活用したセキュリティ、あらゆる場所でのアイデンティティ/アクセス管理、高度なネットワークエンジニアリングなどを示し、サイバーセキュリティに不可欠な新しいスキルセットは、すでに新しい段階に移行していると強調し、ビジネス成果にフォーカスし、ファシリテーターになろうと呼びかけた。

次に、クラウド・セキュリティが多くの企業にとって最優先課題になることを示し、課題解決のためにモラル・ハザードの特定、リスク許容度のバランスをとること、データ・オーナーシップ制度などを推奨。クラウドはもはや避けて通れない道だと語り、セキュリティが十分でないという理由でクラウドを避けるのはやめるべきだと述べた。

3つ目に、アダプティブ・セキュリティ・アーキテクチャが進化し続けていることを指摘。セキュリティ・アナリティクスは従来の記述的、診断的から予測的、処方的になりつつあること、高い効果のあるIAM機能の提供などを取り上げ、防御への投資ではなく、検知・対応・予測能力に投資すべきだと説いた。

4つ目に、アプリケーションとデータのセキュリティは開発オペレーション・センターが主導していると述べ、セキュリティを維持しながらアジリティを獲得するために、DevSecOpsの視点を育むこと、DCAP戦略の実装を勧めた。
5つ目に、デジタル・エコシステムが次世代セキュリティを促進していると語り、これらのトレンドから透けて見えるものとして、すべてが修正できるわけではない、資産を完全にセキュリティ保護することはできないと述べながらも、とるべき具体的な行動を5つほど示し、講演を締めくくった。

「セキュリティ・アジェンダ」トップ10発表

ガートナー セキュリティ & リスク・マネジメント サミット 2017

「日本におけるセキュリティ・アジェンダのトップ10:2017年」をテーマにしたのは、本サミットのチェアで、リサーチ ディレクターの礒田 優一である。
礒田は、複雑な環境下において完璧な防御はあり得ないが、少なくとも「予測」「予防」「検出」「対応」の4つのプロセスに柔軟性に富んだ姿勢で取り組むことが重要だと語り、セキュリティ・アジェンダのトップ10を公表した。

1つ目は「アウトサイダーの脅威」。従来型の外部公開サイトへの攻撃のほか、標的型やマルウェアなどすり抜けて入る攻撃があると述べ、従来型に対してはポリシーとガイドラインの見直し、改ざん検知、脆弱性管理と診断ツールが有効で、すり抜ける脅威に対しては多種多様で変化も速いため、常に動向を注視しておくべきだと語った。

2つ目にインサイダーの脅威を挙げ、従業員などによる人的な情報漏洩、ワークスタイルの多様化などで増加しているが、テクノロジだけでは防御できないため、教育なども含めた多角的な取り組みが肝要だと述べた。3つ目はエンドポイントのセキュリティを取り上げ、大規模なEPPベンダー、新興ベンダーなどが顧客獲得に向けた動きを活発化させているが、マーケット・ノイズに翻弄されないことが肝要だと指摘した。

4つ目はクラウドのセキュリティで、クラウドのセキュリティを漠然と語る時代は終わり、現在はマルチテナントセキュリティ、SaaSコントロール、IaaSコントロールが三大トピックであり、市場の動向を注視して議論しようと語った。5つ目はIAM。主にクラウドの認証管理のIDaas、モバイル管理のEMM、クラウド管理のCASBがあり、自社の計画をきちんと描きながら検討するべきだと述べた。

その後、検知と対応、法規制/グローバル化とセキュリティ、セキュリティ・ガバナンス、デジタル・ビジネスとセキュリティを取り上げ、最後にガートナーの提言で講演をまとめた。

ガートナー セキュリティ & リスク・マネジメント サミット 2017
リスクを管理し、信頼を築き、変化を受け入れる
2017年7月12日(水)- 14日(金)  東京コンファレンスセンター・品川

協賛企業   [PDFアイコンをクリックするとプレゼンテーション資料をダウンロードいただけます。]

 
富士通株式会社 PDF
ラピッドセブン・ジャパン株式会社 PDF(日本語)
  PDF(英語)
ルックアウト・ジャパン株式会社 PDF
株式会社ネットワークバリューコンポネンツ