ITに関する調査会社であるガートナーは、2019年3月に「Gartner Identifies the Top Seven Security and Risk Management Trends for 2019」と題して、2019年のトップ7のセキュリティならびリスクマネジメントのトレンドを発表しました。以下で解説いたします。
2019年: 7つのセキュリティリスク
1.リスクアペタイト・ステートメント (Risk Appetite Statements) はビジネスの結果と直結する
日本では耳慣れない言葉ですが、リスクアペタイト・ステートメントとは、「ビジネスにおけるリスクを、組織はどの程度許容するか」を明確にするためのドキュメントです。IT業界においては、「情報セキュリティ上のリスク」に絞った内容となる場合がほとんどです。
例えば、「より多くの個人情報を取得し、より積極的に活用する」ビジネス姿勢もあれば、「個人情報は最低限だけ取得し、用途は限定的なものとする」ビジネス姿勢もあります。法律に則っていれば、どちらが正しく、どちらが間違っているという話ではありません。あらかじめ組織おいて、「どこまでリスクを取るか」を明確にしておくことで、ビジネス上の判断、またはビジネスそのものの指針を立てることができます。
ガートナーは、このステートメントとの重要性が増し、情報セキュリティ責任者が会社の戦略会議に出席することが珍しくなくなると説明しています。
2.脅威の検知と対応のために重点を置いたセキュリティオペレーションセンターの設置
セキュリティ上の脅威が起こってから対策を取るのではなく、セキュリティに影響を及ぼす脅威をあらかじめ検知するために、組織に「セキュリティオペレーションセンター (SOC)」を設置するための投資が必要になるとガートナーは解説しています(SOCは社内に設置される例もあれば、アウトソースされる例もあります)
2022年には全SOCの50%は、セキュリティに対する脅威に対する洞察力を持ち、統合的なセキュリティアラートを出し、自動的に脅威に対応するようになっているといっても過言ではない、としています。
3.個別のデータセキュリティよりも、全体のデータセキュリティガバナンスフレームワークを優先させる
データセキュリティに関する各種の問題を解決するために、個別最適の製品を導入するのではなく、全体最適を目指すうえでのデータセキュリティガバナンスフレームワーク(DSGF)に沿って、データセキュリティに取り組むべきという内容です。
DSGFは、組織が持つデータ資産を識別・分類し、データセキュリティポリシーを定めるうえでの指針となります。
4.パスワードレス認証が市場をけん引する
ガートナーは、「パスワードを標的とするハッカーと戦ううえで、デバイスと関連づけたパスワードレスの認証方式は、セキュリティと利便性の両方を提供できる」としています。よって、一般消費者に加えて、組織内の従業員が利用するアプリケーションにも導入が進んでいくと推察しています。
5.情報セキュリティ製品ベンダーはより高いスキルとサービスを提供する
情報セキュリティ分野で足りていない人材は、2018年の100万人から、2020年には150万人に増加するとガートナーは推測しています。そして、人工知能を活用した情報セキュリティ製品における自動化は進展していくものの、人間が果たすべき役割はいまだ大きいため、各ベンダーは製品とその運用サービスを合わせて提供するようになるだろう、としています。
組織の中で、特定ベンダーの製品スキルを習得した人材を確保、トレーニングを提供することはかなりの投資となるため、運用まで含めたセキュリティ製品のアウトソースは今後進展いくという視点には納得感があります。
6.クラウドセキュリティ人材への投資
ITの主流であるプラットフォームがクラウドに移行しましたが、各組織の情報セキュリティ部門はそれに対応できていません。ガートナーは、2023年までにクラウド上で発生するセキュリティ問題の大多数は、ユーザーである組織側に問題があると推察しています。言い換えると、ユーザー側がクラウドプラットフォームに関する理解や知識が不足しているため、不十分なセキュリティ設定を適用したり、行うべき作業を行わないことがセキュリティホールの大部分の理由となっています。
クラウドの開発と革新は非常に速い速度で進展しているため、組織はそれについていけるよう必要なセキュリティに関する技能やガバナンスのためのツール、知識ベースに投資すべきとガートナーはコメントしています。
7.ガートナーが提唱するCARTAの重要性が増大
ガートナーが提唱する情報セキュリティのアセスメントツールであるCARTA (Continuous Adaptive Risk and Trust Assessment: 継続的な適応リスクと信頼評価)の重要性が増しているとしています。
パスワードレスについてトラスト・ログインの見地から
ガートナーの提唱する7つのリスクは網羅的なものです。IDaaSベンダーであるトラスト・ログインの見地から直結するリスクは「パスワードレス」に関するものです。
将来的には、パスワードを一切利用せずに、一度で安全な認証が実現できるのが理想的です。しかし現時点では、アメリカ国立標準技術研究所 (NIST) が発行しているガイドラインでも、2要素認証・多要素認証を推奨していることから、シングルサインオン製品であるトラスト・ログインでは「複数要素を利用して認証強度を高める」ことを推奨しています。
・参考記事
世界の電子認証基準が変わる:NIST SP800-63-3を読み解く
このため、トラスト・ログインでは、パスワードを一切なくすというアプローチをとっていません。パスワードをなくして、パスワードレス認証(例えば、指紋認証、タッチ認証)のみを行うことは、デバイス紛失時のリスクなど別種のリスクがあると考えるためです。
よって、パスワードに加えて、別な認証要素を併用する「多要素認証 (2要素認証)」をお客様に提唱しています。2019年6月時点で、トラスト・ログインでは以下の2種類の多要素認証を提供しております。
パスワード + クライアント証明書
パスワード + ワンタイムパスワード (Authenticator)
シングルサインオンと多要素認証にご興味のある方はぜひ資料請求をご利用ください。