揺るぎのない、セキュリティのファンダメンタルを

2019年8月5日(月)-7日(水)の3日間、東京・港区のANAインターコンチネンタルホテル東京にて、『ガートナー セキュリティ & リスク・マネジメント サミット 2019』が開催された。テーマは「新たな時代の幕開け 〜セキュリティのファンダメンタルを確立せよ〜」である。

セキュリティはユビキタスなものであり、あらゆるビジネス活動の根底には必ずセキュリティのファンダメンタルが存在し、すべてのアクティビティはその原理原則の上に成り立っている。ビジネスの俊敏さやイノベーションのためにテクノロジへの依存が高まるなか、このファンダメンタルを揺るがないものとして確立することは、今まで以上に重要なものとなっている。

セキュリティ/リスク管理のリーダーはどのようにリーダーシップを発揮し、何をすべきなのか。実践的な提言を行った4つの講演を紹介する。

セキュリティ/リスク・マネジメントのリーダーの新たな役割とは

「セキュリティへの支出は、2023年までに年平均成長率8.7%で増え続ける──」
初日の基調講演には、ディスティングイッシュト バイス プレジデント, アナリストのトム・ショルツ、バイス プレジデント, アナリストのジェイ・ハイザー、シニア ディレクター, アナリストのジエ・ジャンの3名が、「セキュリティの役割は進化する:リスク・マネージから価値の創出へ」をテーマに登場した。

ガートナー データ & アナリティクス サミット 2019

トム・ショルツ
ディスティングイッシュト
バイス プレジデント, アナリスト

ガートナー データ & アナリティクス サミット 2019

ジェイ・ハイザー
バイス プレジデント
アナリスト

ガートナー データ & アナリティクス サミット 2019

ジエ・ジャン
シニア ディレクター
アナリスト

最初に登壇したショルツが言及したのは、「オートメーションコンティニュアム」。これは、セキュリティを自動化する取り組みにおいては、自動化の範囲や粒度に応じて自動化のアプローチを変えるもの。粒度や範囲によって、「場当たり的な自動化」「限定的な自動化」「機能別の自動化」「統合的な自動化」「機動力のある自動化」の5つのアプローチに分かれるとした。

ショルツは、ポルシェが展開する「ポルシェ・パスポート」を紹介。定額料金を払うと利用者が好きなポルシェ車に乗れるようにしたサービスだ。ここでは、返車などをロボットによる業務自動化(RPA)し、運転パターンや利用状況をAIが学習している例を示した。

次に登場したハイザーは、オートメーションコンティニュアムについて言及。そのなかで、場当たり的な自動化としてプライバシー・インパクト・アセスメント(PIA)を紹介。Excelなどで管理しようとする企業が多いが、その多くが管理できなくなることから、PIAの自動化を推奨した。

最後に登場したジャンは、アイデンティティ管理の必要性について述べた。ある企業では、多くの従業員がポストイットにパスワードを書いて貼っておくという運用が横行していた。これを解決するためにこの企業が取った方策は、よりシンプルなパスワードにするとともに、セキュリティを確保するために、モバイルへのプッシュ通知など2要素認証にすることだった。さらに、データ保護の自動化の興味深い例も紹介し、講演を終えた。

4つの課題を克服し、防御と利便性のバランスをとろう

ガートナー カスタマー・エクスペリエンス & テクノロジ サミット 2019

矢野 薫
シニア プリンシパル, アナリスト

「『防御と利便性のバランスはとれない』といわれるが、それは本当だろうか──」
初日の午後に登壇したのは、本サミットのチェアを務めたシニア プリンシパル, アナリストの矢野 薫である。テーマは「デジタル・ワークプレースのセキュリティ:これからのセキュリティのために何が必要なのか」

 

矢野は、従来のセキュリティは、防御を優先するために利便性を諦めるか、利便性を優先するために防御を諦めるかの二者択一だったと指摘。デジタル・ワークプレースの環境では、柔軟性や利便性が確保できないと日々変動するリスクに耐えられない可能性があるため、従来のセキュリティの方法を当てはめるのをやめようと語り、防御と利便性の両方を手に入れるための4つの課題を挙げた。

1つは方向性の違い。これまでの「ゼロにするか諦めるか」の発想ではなく、これからのセキュリティは「枠の中に収める」発想こそ肝要であるとし、セキュリティのリスクをゼロにするのではなく小さくするという思考をもち、そこから議論を開始すべきだとした。
2つ目は前提の違い。これまでのセキュリティは「持ち出さない」「接続しない」「アクセスしない」だったが、これからは「外でも使う」「ネットワークにつながる」「いつでもどこでも見られる/触れる」が前提でなければならず、新しい使い方を前提とした新しいセキュリティ・ルールをつくるべきだとした。

3つ目はルールの違い。従来は「禁止」から始まっていたが、それを「許可する」ことから始め、ルールに従っているか、セキュリティのリスクが変化していないかを見続け、ユーザーの使い方に合わせてルールの強弱を変更できるようにするべきだと説いた。
4つ目はツールの違い。一度設定したら変える必要がなかったこれまでのツールと違い、デジタル・ワークプレースでは利用状況を見続け、設定を柔軟に変えることができるツールが求められているとし、これらの4つの課題を克服し、セキュリティと利便性のバランスがとれないことを言い訳にするのはやめようと語りかけた。

「キューブ」を使ってセキュリティの現状を把握せよ

ガートナー カスタマー・エクスペリエンス & テクノロジ サミット 2019

礒田 優一
シニア ディレクター , アナリスト

2日目に基調講演を行ったのは、シニア ディレクター, アナリストの礒田 優一だ。テーマは「日本におけるセキュリティの重要アジェンダ:2019年」である。

礒田は昭和から令和の時代のセキュリティを振り返り、サイバー攻撃だけでなく、自然災害、内部不正、プライバシーなど複雑化して混沌としている現状を指摘。完璧なセキュリティは存在しないためレジリエンスを目指すべきだとし、その実現のためのシンプルアンサーはアダプティブ・セキュリティ(城のアーキテクチャ)であり、これは今後の不変だと強調した。

混沌としたセキュリティの状況下では、セキュリティ全体を俯瞰して整理する必要があるとし、全体像がわかる図「セキュリティ・アーキテクチャ・キューブ」を示した。これは3つの切り口からなっており、その1つがアダプティブ・セキュリティで、何をすべきか(What)の切り口。2つ目がなぜ(Why)で、脅威があるからこそセキュリティが大事だと述べた。3つ目がどのように(How)、またはどこで(Where)の切り口で、サーバー、クラウド、IaaS、DevOpsなどを挙げた。

このキューブを使うことでさまざまな議論が可能になるとし、なかでも重要なテーマとして人材を取り上げた。サイバーセキュリティの人材不足はすでに深刻だが、育成、アウトソーシング、採用の順で強化すべきだとし、2019年は採用が増加し、今後はアウトソーシングと逆転する可能性があるかもしれないと述べた。

これからセキュリティで重要となるテクノロジはAIとオートメーションだが、いずれも理想と現実があり、AIや自動化で解決できることがある一方で限界もあるため、魔法のツールと思わずに現時点のリアリティを見ようと呼びかけた。
最後に、近くだけでなく遠くも見るべきだとし、未来志向型のセキュリティ対策を考えるべきだと述べた。

目指せ、クラウド時代のセキュリティのさらなる進化

ガートナー カスタマー・エクスペリエンス & テクノロジ サミット 2019

ジョン・ワッツ
シニア ディレクター , アナリスト

2日目の午後、「クラウド時代のネットワーク・セキュリティの現状」をテーマに講演したのが、シニア ディレクター, アナリストのジョン・ワッツだ。

SaaSアプリケーションの導入加速により、企業はネットワークを再設計して、リモート・オフィスからSD-WANなどの手段でインターネットに直接アクセスできるよう計らう必要に迫られている。今後、クラウド・ベースのセキュリティ・サービスをより多く購入することになるはずだ。そこでワッツは、クラウド・ベースのセキュリティ・サービスをスムーズに導入していくためのベスト・プラクティスを紹介した。

まず、セキュリティ投資においてクラウド・ベースのセキュリティ・サブスクリプションが
占める割合が、今後5年間で37%の増加が見込まれていることを指摘。さらに、クラウド・アプリケーションの成長などを紹介し、セキュリティもこうした変遷に迅速に対応しなければいけないと力説した。

2021年末までに、小規模/リモート支店のWAN接続にインターネットを使用する大企業は、2017年の35%未満から70%になるとし、さらに、2019年末までに、80%以上がSD-WAN/ハイブリッドWANをデプロイの予定であることを紹介した。

クラウド・ベースのセキュリティとして、CASB、リモート・ブラウザの分離、ゼロ・トラストのネットワークアクセスを次々と紹介。最後に、ネットワーク・チームと連携して、安全な方法でネットワークを進化させること、さらに、小規模な支店からクラウド・サービスをテストすることの2つを提言し、講演を締めくくった。

 

協賛企業   [PDFアイコンをクリックするとプレゼンテーション資料をダウンロードいただけます。]

日本アイ・ビー・エム株式会社 PDF
フォアスカウト・テクノロジーズ株式会社 PDF(日本語)
  PDF(英語)
ラピッドセブン・ジャパン株式会社  
メンロ・セキュリティ・ジャパン株式会社 PDF
OneLogin, Inc.