2025.02.28(金)
- 注目検索ワード
投影されたスライドの表紙を見ると『The Good, the Bad and the Ugly』と副題が書かれている。これは映画『続・夕陽のガンマン』の原題ではないか。ガートナーの講演は、まるで大学の紀要論文のタイトルのような、きわめて実用的な(良い意味でだが)面白みがひとつもない講演タイトルが多い。だからそんな中で本セッションには大いに興味を引かれた。
認識を誤らせる心理に「確率的な損失と確定的な損失」の評価の違いがある。たとえば、100 %の確率で 1,000 万円損失するリスクと、10 %の確率で 1 億円を失うリスクがあった場合、一般的な人は後者を選ぶだろう。だが、期待値はどちらも同じ(1000万円)である。確率的な損失なら「自分は助かる側に入る」と、のんきに楽観性バイアスが語る幻想を信じてしまう。
犯罪組織には手に入れたデータを再販する部門があり、RaaS(Ransomeware as a Service)を運営しているケースもある。最近は脆弱性を悪用して侵入することが多いため、脆弱性やエクスプロイトの情報を収集、分析する部門もある。さながらソフトウェア会社のように運営されており、リクルートも行っている。こうした犯罪組織と関わることは、組織にとって大きなリスクとなる。
グループが M&A 等により海外子会社や拠点を増やした時期だ。セキュリティレベルはおろか、業務システムやポリシーも対策もバラバラな状態で海外拠点のインシデントも発生、セキュリティクライテリアの格差問題も認識されるようになった。モバイルやクラウド環境へのセキュリティ対応は、Okta、ZScaler、CrowdStrike といったフレームワークによってゼロトラストネットワークを構築した。そしてこれを全拠点に展開するが、グローバルで同じインフラを使うとなると、基準となるポリシー統一が不可欠となる。
ガートナー シニアディレクター・アナリストのデール・ガードナー氏は、業務への AI 活用におけるセキュリティ戦略として「AI TRiSM」を提唱している。AI TRiSM とは何か?
ランサムウェア攻撃への対策ポイントは何か? ガートナー シニアディレクター ウェイン・ハンキンス氏は「期待している話と少し違うかもしれないが、これから話すポイントは世界中の企業が実践している項目でもある」と前置きし、必要な7つのポイントについて講演を始めた。
ガートナージャパン株式会社は7月25日、2023年以降に企業のセキュリティに大きな影響を与え得るサイバーセキュリティに関する主要な仮説を発表した。
脆弱性ハンドリングにおいてもっとも効果的な対応策は「公開されたセキュリティパッチを当てること」だろう。これはゆるぎない事実であり、いまも将来も変わらない対策の基本中の基本といえる。
ガートナーのアナリストジョン・ワッツ氏は「トラスト(信頼)は時間をかけて育てていくものでゼロになるということは、本来あり得ない」といい、企業がゼロトラスト戦略を考える上でのヒント、アプローチを次のように語る。
攻撃者視点で見た企業の脆弱性とはどのようなものか、TLPTについての概要説明と、実施することによる効果や課題について高野氏が解説した。
利用するツールの数と、SOCの成熟度は比例しない」と語るガートナー バイス プレジデント アナリストのジェレミー・ドゥエン氏が、SOC運営に最適なセキュリティ・アナリティクス・ツールを選定するためのポイントを語った。
ガートナーのリサーチャー ロブ・マクミラン氏によれば、2020年までにすべての大企業が、CIO、CISOに対して最低年1回の取締役会での報告を求めるようになるという。セキュリティ担当者はどんな報告をすればいいのだろうか。
新日本有限責任監査法人 杉山一郎氏は、ガートナー セキュリティ&リスク・マネジメントサミット2016において、サイバー犯罪に対する企業の考え方、発想を転換すべきと訴える。
