2025年に日本企業が押さえるべきセキュリティとプライバシーの論点
ガートナージャパンは、2025年に日本企業が押さえておくべきという、セキュリティとプライバシーに関する12個の論点を発表した。AIの進化がリスクマネジメントとサイバーセキュリティ分野で新たな可能性と課題を同時に生み出しているとする。 今回の論点について同社バイス プレジデント アナリストの礒田優一氏は、経営者自らがリスクマネジメントやセキュリティの取り組みをステークホルダーに説明する必要性が高まっており、戦略不在でその場しのぎの対応を続ければ、責任を問われかねないと指摘する。同社が挙げた論点は次の通り。 新たなセキュリティガバナンス 近年、欧州連合(EU)の「NIS2指令」や「AI Act(AI法)」、米国証券取引委員会(SEC)の新たなサイバーセキュリティの開示規則など、経営責任を明確化し、リーダーシップを促進する法規制の制定が世界的に進行。サイバー攻撃や内部脅威に加え、クラウド、AI、データ/アナリティクス、サイバーフィジカル、法規制のリスクも絡めた高度で複雑な意思決定が必要になっているため、従来の中央集権的なセキュリティガバナンスに限界が生じている。新時代に向けたセキュリティ人材の強化も重要課題となっている。 新たなデジタルワークプレースとセキュリティ 企業では、新たな働き方が浸透することで人と情報があらゆる場所に分散し、使用するアプリケーションも多様化している。さまざまなデータがローカルおよびクラウド上に散在するようになったことに加え、生成AIの利用などの要因により、情報漏えいのリスクが高まっている。ワークプレースにおける生成AIの利用には大きな期待が寄せられているが、「情報の過剰共有」などに対する仕組み作りが急務となっている。従業員一人ひとりがセキュリティの当事者意識を持って自ら行動できるようなセキュリティ文化の醸成を目指す内容へと見直すことが求められている。 セキュリティオペレーションの進化 ゼロトラスト、セキュアアクセスサービスエッジ(SASE)などへの取り組みは、部分的な最適化にとどまるケースもあり、総合的な製品のログへの対処や、チューニングなどの運用対応、円安の影響によるサービス費用の上昇などの課題も上がっている。セキュリティ監視センター(SOC)の運用では、多くの企業がアウトソーシングにより補うことを検討しているが、「インシデントや緊急時の判断と責任は自社にある」という意識が低い様子が見受けられる。サイバーセキュリティのAIアシスタントなどのテクノロジーは進化の途上にあり、むやみにAIの導入を優先するのではなく自社の課題を認識し、その課題を解決できるかどうかという観点でテクノロジーを見極め、選択的に導入すべき局面になっている。 インシデント対応の強化 さまざまな攻撃手法が毎日のように生み出される現在、苦労してインシデントの調査や対処のための手順書を整備してもすぐに陳腐化してしまったり、想定すべき攻撃シナリオがあまりに多いために整備が追いつかなかったりするなどの課題が多くの企業で見られる。ランサムウェアなどサイバー攻撃の影響で長期的にビジネスが停止した事例が大きく報道されたことで、企業におけるセキュリティのインシデント対応は、セキュリティの議論から脱却し、事業継続計画(BCP)や危機管理など組織的な議論として再構築されるケースが増加している。 外部公開アプリケーションに対する攻撃への対応 近年、外部公開のウェブアプリケーションは、IaaS/PaaSで構築されることが多くなっている。マルチプラットフォームを前提としたセキュリティの課題を抱えている企業も増えているため、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)市場のベンダー製品の動向に着目する必要性が増している。 マルウェア/標的型攻撃への対応 AIを悪用した脅威の拡大が続くだけでなく、巧妙化している。また、企業の国内外拠点へのセキュリティ侵害も増加している。ビジネスやテクノロジー環境の変化に伴い、企業が攻撃を受ける可能性のある脅威エクスポージャーが増加し、アタックサーフェスマネジメント(ASM)へのニーズが高まり、継続的な脅威エクスポージャー管理(CTEM)に取り組む必要性を感じる組織が増加している一方で、既に導入した企業の中には運用に関して課題を抱えているケースも見られる。 内部脅威への対応 多くの国内企業はPCの操作ログを取得しているが、不正の兆候が埋没してしまって検知できない状況が見られる。退職予定者による内部不正に加え、「兼務」や「出向」といった日本で当たり前に行われている独特の人事施策は、新たに対策すべき分野として注目されている。AIを活用した内部脅威の検知に期待が高まっているが、認証、権限管理、データ保護といったセキュリティの基本的施策が十分にできていないところにそうしたツールを導入しても期待する内部不正を検知することは難しい。 法規制、サードパーティ/サプライチェーンのリスクへの対応 IT/デジタル、AI、サイバーセキュリティ関連の法規制制定の動きが世界で進行しているため、企業内のどの部門がこれをリードすべきか、どのように関与すべきかについて戸惑う企業が増えている。日本はそうした新たなデジタルトレンドや規制において必ずしも先進的とは言えず、日本の常識のみで判断することは、ビジネス上のリスクを高める状況になっている。 クラウドのリスクへの対応 マルチクラウドの利用が進み、セキュリティの構成について漏れなくアセスメントして対応することが難しくなっている。単純な設定ミスに気付いていないことも多く、継続的かつ能動的な取り組みが必要となっている。一方で、クラウド利用に際して各事業部門が主導して開始する例も増えており、また、そうしたクラウドにはSaaSのような形態にAIが組み込まれていることも増えている。そのため、従来の中央集権的なコントロール一辺倒では、運営に限界があると感じる組織が増加している。ツールも有効ではあるが、事業部門側でセキュリティの取り組みを運用するための能力を持つことが必要不可欠である。 サイバーフィジカルシステム(CPS)のリスクへの対応 サイバーとフィジカルの両空間の融合は、エネルギーや通信のほか、車両、医療、物流といった領域における自動化や自律化として進んでおり、こうした環境でのセキュリティ侵害は、単に自社のセキュリティの問題にとどまるものではなく、社会インフラの混乱を招くことにつながる。ITやセキュリティの部門と、製品やサービスに責任を持つ事業部門が協働で進めるなど、両部門の分断をなくして、組織的にCPSセキュリティに取り組める体制をつくることが急務となっている。 データ/アナリティクスのリスクへの対応 AIや生成AIの利用により企業内のあらゆる場所でさまざまなデータが使われるようになるにつれ、情報漏えいのリスクが高まることが懸念されている。構造化データだけでなく非構造化データに対してもアクセス権を付与する必要があるという点に大きな関心が寄せられている。AIや生成AIにより高まる情報漏えいリスクへ組織的に対処するために、セキュリティのリーダーとデータ活用推進あるいはデータ管理責任者とのさらなる連携、協働が求められている。 AIのリスクへの対応 パブリックな生成AIアプリケーションの利用について、従業員に注意喚起や、使い方についてのガイドラインの提供、トレーニングなど、何らかの対応を行った組織が多くなっている。AIが組み込まれたSaaSアプリケーションのセキュリティの対応についても問い合わせが増加傾向にある。自社独自のデータを利用し、プライベートな生成AIアプリケーションを構築して運用する形態も増えており、それに伴ってアタックサーフェスも拡大している。「AI TRiSM」(AIのトラスト/リスク/セキュリティマネジメント)の取り組みの重要性が高まっているが、日本では全体として、それらの取り組みがまだ未成熟な状況にある。
