本日シドニーで閉幕したガートナーのセキュリティ&リスク管理サミットの一環として、同社のアナリストは、2022年から2026年にかけてのサイバーセキュリティ分野における8つの予測を発表しました。ガートナーはセキュリティ環境におけるいくつかの大きな変化を予測しており、この分析会社はサイバーセキュリティ担当幹部に対し、今後2年間の組織体制にこれらの想定を組み込むよう強く求めています。
「古い習慣に陥って、過去と同じように全てを扱おうとすることはできません」と、ガートナーのシニアディレクター兼アナリスト、リチャード・アディスコット氏は述べています。「セキュリティとリスク管理のリーダーの多くは、大きな混乱はたった一つの危機からすぐに訪れることを認識しています。私たちはそれをコントロールすることはできませんが、私たちの考え方、哲学、プログラム、そしてアーキテクチャを進化させることはできます。」
ガートナーの8つのサイバーセキュリティ予測
分析会社は、企業が2023年末までに留意する必要がある点として、以下の予測を特定しました。
1. 2023 年までに、組織に消費者のプライバシー権の提供を要求する政府規制は、50 億人の国民と世界の GDP の 70% 以上を対象とすることになります。
プライバシー規制の拡大が続く中、ガートナーによると、昨年は50カ国で約30億人が消費者プライバシー権にアクセスしました。ガートナーは、この数字は今年後半から来年にかけてさらに増加すると予想しており、企業に対し、リクエスト単価や処理時間など、様々なプライバシー指標を用いてユーザーのリクエスト権利を追跡し、発生する可能性のある混乱をより適切に解消することを推奨しています。
2. 2025 年までに、企業の 80% が、Web、クラウド サービス、プライベート アプリケーション アクセスを単一ベンダーの SSE プラットフォームから統合する戦略を採用します。
ハイブリッドワークやリモートワークの人気と頻度が高まるにつれ、企業はSaaS(Security as a Service)アプリケーションセキュリティに加え、ユーザー向けに合理化・プライベート化されたWebアクセスを提供する統合セキュリティサービスエッジ(SSE)ソリューションを提供しています。ガートナーによると、この分野では、単一ベンダーのソリューションへの移行が、最も高い効率性とセキュリティ効果をもたらします。
3. 2025 年までに 60% の組織がセキュリティの出発点としてゼロ トラストを採用します。半数以上がそのメリットを実現できないでしょう。
ゼロトラスト・アーキテクチャは、多くの組織にとって依然として頼りになるモデルであり、その人気はますます高まっています。ガートナーは、多くの企業がこの動きを必要に応じて完全に受け入れず、組織的な観点からゼロトラスト・セキュリティを効率的に機能させるために必要な変更を行わないと予測しています。その結果、多くの企業が、ゼロトラスト・フレームワークがビジネスにもたらす潜在的なメリットを十分に理解する前に、このフレームワークを放棄してしまうことになるでしょう。
4. 2025 年までに、60% の組織が、サードパーティとの取引やビジネス契約を行う際の主要な決定要因としてサイバーセキュリティ リスクを考慮するようになります。
サードパーティに関連する攻撃件数は増加し続けていますが、企業はサイバーセキュリティの観点から、サードパーティの監視を強化する必要があります。ガートナーによると、セキュリティおよびリスク管理責任者のうち、サードパーティのサイバーセキュリティリスクをリアルタイムで監視しているのはわずか23%です。ガートナーは、組織がサードパーティとの取引に伴う潜在的なセキュリティリスクについて、より多くの情報を提供するようになると予測しています。これには、サプライヤーの監視から、サードパーティ企業の複雑なリスク評価の実施まで、さまざまな範囲が含まれます。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
5. 2025年までに、ランサムウェアの支払い、罰金、交渉を規制する法律を制定する国家は30%に達する見込みで、2021年の1%未満から増加している。
ランサムウェアの数は年々増加し続けており、ガートナーは、各国がランサムウェアによる支払いによる収益損失を軽減するための取り組みを強化すると予測しています。ランサムウェア集団は、現在、データの窃取と暗号化の両方を手口としているため、組織が潜在的な攻撃に直面する可能性に備えて、インシデント対応チームを設置することをガートナーは推奨しています。
6. 2025 年までに、脅威の主体は運用技術環境を兵器化し、人的被害を引き起こすことに成功するでしょう。
IoTが大都市で普及するにつれ、残念ながらこれらのデバイスは潜在的なサイバー脅威にさらされる可能性も高まっています。ハッカーが街灯などのデバイスにアクセスできる可能性は、人だけでなく環境にも現実世界の危険をもたらす可能性を高め、犯罪者がこれらのコネクテッドデバイスを悪用する機会を創出することになります。
7. 2025 年までに、CEO の 70% が、サイバー犯罪、悪天候、市民の騒乱、政情不安などの同時発生する脅威を乗り切るために、組織の回復力を高める文化を義務付けるようになります。
ガートナーによると、COVID-19パンデミックは、多くの業界に、大規模な混乱発生時の自社の対応の失敗に関する洞察を与えました。同社は、パンデミックから得られた教訓に基づき、今後3年間で企業が実施する計画とサポートの量が増加し、組織のレジリエンスが今後数年間の最優先事項の一つになると予測しています。
8. 2026 年までに、C レベルの経営幹部の 50% の雇用契約にリスクに関連するパフォーマンス要件が組み込まれるようになります。
これまでの予測を踏まえると、サイバーセキュリティは今後4年間で最も対処が必要なビジネスリスクの一つとなるでしょう。ガートナーは、潜在的なサイバー脅威への対応能力に応じて、経営幹部向けにインセンティブベースの契約が締結されるようになると予想しています。これは、経営幹部の責任と、今後のサイバーセキュリティへの対応を強化することを目的としています。
