Gartnerは6月21日(現地時間)、企業がセキュリティ戦略を立案する際の前提とすべき8つの推奨事項を発表した。次の8つで、国による規制強化やサイバー攻撃の多様化、経営との関わりの拡大などを踏まえた事項が挙げられている
❶ 2023年までに、消費者プライバシー権の提供を企業に促す政府の規制は、世界の50億人とGDPの70%以上をカバーするようになる。
2021年時点で、消費者プライバシー権へのアクセスは、世界50カ国の約30億人が可能になっているが、今後も拡大し続ける。そのためGartnerでは、「消費者からのリクエストにかかるコストや処理時間などを把握するために、指標となるリクエストの追跡」を推奨している。
❷ 2025年までに、企業の80%が、単一ベンダーのSSE(統合セキュリティサービスエッジ)プラットフォームを選択し、Web、クラウドサービス、プライベートアプリケーションへのアクセスを統一する戦略を採用する。
「単一ベンダーのソリューションは、より緊密な統合を可能にし、大幅な運用の効率化とセキュリティ効果を実現する」(Gartner)
❸ 2025年までに、60%の組織がゼロトラストをセキュリティの出発点として採用する。しかし半数以上がそのメリットを実感できない。
「ゼロトラストの考え方は非常に強力だが、セキュリティの原則であると同時に組織のビジョンでもあるため、その効果を得るには、組織文化の転換と、それをビジネス上の成果と結びつける明確なコミュニケーションが必要になる」と、Gartnerは指摘している。
❹ 2025年までに、60%の組織が第三者との取引やビジネス契約の主要な判断材料として、サイバーセキュリティ・リスクを利用するようになる。
Gartnerの調査によると、サイバーセキュリティに関する取引先の情報開示を監視している企業は23%にとどまる。しかし今後、消費者の懸念と規制当局の関心が高まるため、「サイバーセキュリティ・リスクに関する情報開示を重要事項として、取引先に義務づけ始める」と予想している。
❺ ランサムウェアへの支払い・交渉などを規制する法律は、2021年は1%未満だったが、2025年までに30%の国で成立する。
Gartnerでは、サイバー攻撃者と交渉する前に、インシデント対応チームや法執行機関、あらゆる規制機関を関与させることを推奨している。
❻ 2025年までに、サイバー攻撃者は運用関連技術を武器として活用するようになり、OT関連への攻撃を行い、人的被害を引き起こすことに成功する。
OT(機器、資産、プロセス監視・制御用のハードウェア/ソフトウェア)に対するサイバー攻撃が一般的になり、より破壊的になりつつある。Gartnerでは、セキュリティおよびリスク管理のリーダーは「情報の盗難よりも、人や環境に対する現実的な危険についてより関心を持つべき」と注意を促している。
❼ 2025年までに、CEOの70%は、組織回復力を高めるための企業文化の醸成をリスクリーダーにを義務づける。サイバー犯罪や気候変動、市民騒動、政治的不安定などの脅威の中で生き残るため。
新型コロナの大流行により、従来の事業継続計画では大規模な混乱に対処できないことが露呈した。今後も混乱が続く可能性が高いことから、Gartnerでは、リスクリーダーは組織回復力(レジリエンス)を戦略的な必須事項として認識し、スタッフ、利害関係者、顧客、サプライヤーをも巻き込む組織全体のレジリエンス戦略の構築を推奨している。
❽ 2026年までに、Cレベルの幹部の50%が、リスクに関するパフォーマンス要件を雇用契約に組み込む。
Gartnerの最近の調査によると、取締役会のほとんどは、サイバーセキュリティを技術的な問題だけではなく、ビジネス上のリスクと認識するようになっている。その結果、サイバーリスクの処理に関する説明責任が、セキュリティのリーダーから上級のビジネスリーダーへと移行すると予想している。
「Gartner Unveils the Top Eight Cybersecurity Predictions for 2022-23」(英語)
https://www.gartner.com/en/newsroom/press-releases/2022-06-21-gartner-unveils-the-top-eight-cybersecurity-predictio
[i Magazine・IS magazine]
