昨今、適切なセキュリティ対策を講じることが企業にとって喫緊の課題となっています。しかしながら、ITの進化とともにサイバー攻撃も日々進化し、次から次へと新たな脅威が登場しているのが現状です。著しく変化するIT社会の中、こうした事故・事件を防ぐには、どのような対応が必要でしょうか。今回は、ガートナージャパン株式会社が発表したセキュリティ／リスクマネジメントのトレンドに関する調査をもとに、今後のセキュリティ対策について検討します。

ガートナーが発表した「セキュリティ／リスク・マネジメントのトップ・トレンド」とは

2022年3月9日、IT調査会社の大手・ガートナージャパン株式会社が2022年のセキュリティ／リスク・マネジメントのトップ・トレンドを発表しました。その内容は、各企業における“情報セキュリティ/リスク・マネジメントの責任者/担当者”が今後登場するであろう新たな脅威から会社を守るために、押さえておくべき具体的なトレンドについて紹介しています。

＜参考元＞ Gartner、2022年のセキュリティ／リスク・マネジメントのトップ・トレンドを発表（ガートナージャパン株式会社　2022年3月9日プレスリリース）

今回発表されたトレンドは、以下の7つです。

• トレンド1：攻撃対象範囲の拡大
• トレンド2：デジタル・サプライチェーンのリスク
• トレンド3：アイデンティティ脅威検知／対応の見極め
• トレンド4：意思決定の分散化
• トレンド5：ビヨンド・アウェアネス （セキュリティ意識）
• トレンド6：ベンダーの集約
• トレンド7：サイバーセキュリティ・メッシュ

プレスリリースで、アナリストでバイス プレジデントのピーター・ファーストブルック氏は「世界中の企業は、巧妙なランサムウェア、デジタル・サプライチェーンへの攻撃、埋め込まれた脆弱性の脅威に直面している」と述べています。

サイバー攻撃の代表としてよく挙げられるランサムウェアは、PCなどに入り込み悪事を働くマルウェアの一種ですが、ここ数年日本国内で急増していることが報告されています。その理由として、VPN機器やリモートPCからといった感染経路の多様化が挙げられており、これまでとは違う巧妙な手法が取られているようです。ランサム＝身代金という意味の通り、攻撃を受けると金銭を要求され、解決に莫大な費用がかかってしまうケースも報告されています。

また、資料ではLog4jのような脆弱性がサプライチェーンに広がっていることから、デジタル・サプライチェーンへのさらなる攻撃が出現するだろうと指摘しています。

直近では2022年3月にトヨタ自動車の取引先がサイバー攻撃を受け、日本国内の生産ラインを停止したニュースが記憶に新しいですが、サプライチェーンが攻撃の標的になっていることを露呈する事例となりました。

ガートナーは、2025年までに全世界の組織の45%が、ソフトウェア・サプライチェーンに対する攻撃を経験し、その割合は2021年から3倍に増加すると予測しており、今後はより一層のセキュリティ管理をサプライチェーン全体で行っていく必要があると言えます。

注目したい「トレンド5」セキュリティ意識

ここでは、上記7つのトレンドの5つ目、「ビヨンド・アウェアネス （セキュリティ意識）」について見ていきましょう。

情報漏洩をはじめとするセキュリティ事故の多くは、人為的ミスによるものです。

DigitalArtsが行った調査からも、国内におけるセキュリティインシデントの半数以上が人為的ミスを要因とし、毎年増加し続けていることが分かります。

＜参考＞国内セキュリティインシデント集計（2019年〜2021年）（デジタルアーツ株式会社）

多くの企業がセキュリティ意識向上を図るキャンペーンを行っているにもかかわらず、こうしたトラブルが後を絶たないのは、従来のアプローチが効果的ではないからだとガートナーは指摘します。

その代わり、ガートナーは全体的なセキュリティ行動／文化プログラム （SBCP） への投資を提唱し、組織全体によりセキュリティの高い、新しい考え方を促し、新しい行動を定着させることにフォーカスすると説明しています。

現状個々のコンプライアンス遵守に重点が置かれている日本企業のアプローチは、残念ながら時代遅れになっていると言わざるを得ません。今後はより組織的にセキュリティ意識を醸成していく必要があると言えるでしょう。

最新のセキュリティリスク対策を行うには外部サービスも有効

これまでご紹介したように、セキュリティ／リスク・マネジメントは世界共通の課題となっています。専門部署を立ち上げて取り組む企業もありますが、新たな脅威が頻発している中、外部の専門家を巻き込んで適切な対策を講じることをおすすめします。

今回は、そんな企業のセキュリティ問題を総合的に支援する日本パープルの「Coach Mamoru（コーチマモル）」をご紹介します。

Coach Mamoruはこれまでに多数の実績を持つ、信頼できるコンサルティングサービスです。課題の把握から運用、定着までを一括してサポートしており、企業の課題に合わせてサービス内容を柔軟にカスタマイズすることが可能です。今回ご紹介したセキュリティ対策にも精通しており、最新の知識・トレンドを含めた最善の支援を提供し、組織文化の構築に貢献するとしています。「企業の課題が明確になっていない」という場合ならなおさら、現状のリスクを把握することを目的に、一度相談してみてはいかがでしょうか。

昨今のセキュリティ対策は、最新の知識を持って先手の対応を講じることが大切

昨今日本でも、新型コロナウイルス感染症拡大をきっかけにハイブリッド・ワークとクラウドへの移行が加速し、分散化が進んでいます。コンプライアンスの遵守はもちろん重要なタスクではありますが、同様に新たな脅威への対策も企業の今後を左右すると言っても過言ではありません。最新の知識・トレンドとより広い視野を持ち、先手先手の対策が肝となるでしょう。今回ご紹介した外部サービスなどを活用して、組織的なセキュリティ改革を行いましょう。