[調査・レポート]

2022年8月2日(火)神 幸葉（IT Leaders編集部）

リスト

　米ガートナーによる今回の発表は、2022年7月25日～27日に都内で開催された「ガートナー セキュリティ&リスク・マネジメント サミット 2022」の基調講演で、日本の聴講者に向けて示されたもの。登壇したのは、米ガートナー アナリストでバイスプレジデントのジエ・ジャン（Jie Zhang）氏と、ディスティングイッシュト バイスプレジデントのトム・ショルツ（Tom Scholtz）氏である。両氏は、2023年以降に向けたサイバーセキュリティに関して、セキュリティ/リスクマネジメントのリーダーが注視すべき主要な仮説を8つ挙げて、それぞれについて解説している。

仮説1：2023年末までに、ユーザーのプライバシー権において、世界の50億人/GDP70%以上が政府の規制対象となる

　プライバシー規制が拡大する中で、プライバシーへの理解を深め、管理には「データ主体の権利のリクエスト（Subject Rights Request）」のためのソリューションを活用や部分的に自動化を進め、処理コストや非効率な箇所の特定など、複数の評価指標を用いて追跡することを同社は推奨する。

仮説2：2025年までに、企業の80%は、Web、クラウドサービス、プライベートアプリケーションへのアクセスを単一ベンダーのSSEプラットフォームに集約する

　ハイブリッドワークが一般的になり、セキュリティベンダーはユーザーに統合型のSSE（Security Service Edge、注1）ソリューションを提案するようになる。単一ベンダーが統合型のSSEを提供するメリットとして、統合の強化、使用するコンソール台数の削減、データの復号/検査/再暗号化を要する場所の削減などを挙げている。

注1：SSE（Security Service Edge）は、SASE（Secure Access Service Edge）フレームワークにおけるセキュリティ機能に特化したコンポーネント。Zero Trust Network Access（ZTNA）、Cloud Access Security Broker（CASB）、Secure Web Gateway（SWG）で構成される。

仮説3：2025年までに、企業の60%はセキュリティの出発点としてゼロトラストを採用する。しかし半数以上がそのメリットを得られず失敗する

　ゼロトラストモデルはセキュリティの原則であると同時に企業のビジョンでもある。そのメリットを享受するには、組織文化面の転換と、ゼロトラストをビジネス成果と結びつける明確なコミュニケーションが不可欠になると説いている。

仮説4：2025年までに、企業の60%は、サードパーティとの取引や契約における意思決定要因として、サイバーセキュリティリスクを重視するようになる

　サードパーティ（外部企業）に関連するサイバー攻撃が増えているが、同社の調査によると、サイバーセキュリティのリスクを把握するために、リアルタイムでモニタリングする企業は23%にとどまるという。

　消費者の懸念が増加すると同時に規制当局の関心も高まるなか、企業は、自社にとって重要なテクノロジーを供給するサプライヤーを単にモニタリングすることから、企業のM&A（買収・合併）に伴う複雑なデューデリジェンス（Due Diligence：適正評価）を行うことまで、サードパーティとビジネスを行う際の意思決定要因として、サイバーセキュリティリスクを重視するようになると見ている。

●Next：仮説が現実になったときに、もたらされる変化とは