こんにちは、さとうです。

2019年6月18日にGartner社から
「Gartner Top 10 Security Projects for 2019」
が公開されています。
ここでのセキュリティプロジェクトとは、セキュリティ上の重要施策と考えるのが良いでしょう。
近年、毎年公開されており、もう少し後の時期になると思いますが、日本語訳も公開されます。


80



冒頭では、
「セキュリティおよびリスク管理のリーダーは、これら10のセキュリティプロジェクトを実施して、サイバーセキュリティのニーズの変化に対応し、リスクを軽減する必要があります。」
とあります。
ここでは、それら10のセキュリティプロジェクトを見ていきましょう。

プロジェクト1:特権アクセス管理(PAM:Privileged access management)

特権アカウント(または管理者アカウントまたは高度に権限のあるアカウント)は、攻撃者にとって魅力的な標的です。 
PAMに関するプロジェクトでは、これらのアカウントを保護するために適用する必要があるコントロールを強調します。これらはリスクベースアプローチで優先順位付けをする必要があります。 
PAMに関するプロジェクトは、人間と人間以外のシステムアカウントをカバーし、自動化のためのAPIと同様に、オンプレミス、クラウド、ハイブリッド環境の組み合わせをサポートする必要があります。

プロジェクト2:CARTAにヒントを得た脆弱性管理(CARTA-inspired vulnerability management)

セキュリティチームは、膨大な数の脆弱性を処理できず、すべてにパッチを当てることもできません。 したがって、SRMは、セキュリティがあらゆる場所で常に適応的であるセキュリティに対する「継続的な適応型リスクと信頼管理」(CARTA)アプローチに焦点を当てる必要があります。
これには、CISOがビジネス上の利害関係者によって合意されたIT資産のビジネス上の価値と、それらに関連するリスクを確立して、それら資産に集中することの重要性を強調することが必要です。
さらに、組織はネットワークトポロジとITインフラストラクチャへの変更を理解する必要があります。

プロジェクト3:検出と対応(Detection and response)

完全な保護の選択肢は存在しませんが、CISOは検出と対応に関するプロジェクトを検討する必要があります。 
(中略)
エンドポイント保護プラットフォームをすでに持っている場合は、そのプラットフォームをエンドポイントの検出と応答を提供するためのオプションと見なします。
マネージドセキュリティサービスのアプローチについては、マネージドプロバイダに情報を提供するプロジェクトについて考えてください。 人工知能または機械学習機能があると主張するすべてのベンダーを徹底的にテストするようにしてください。

プロジェクト4:クラウドアクセスセキュリティブローカー(CASB:Cloud access security broker )

CASBは、複数のSaaSアプリケーションを採用している組織の可視性と管理のための管理ポイントを提供します。この種のプロジェクトを正当化するには、シャドーITを表面化させるためにクラウドアプリケーションの発見から始めます。
組織が、SaaSアプリケーションによって使用され共有されている機密データを管理および可視化しているかどうかを評価します。
各クラウドベースのサービスに必要な可視性と制御のレベルを決定してください。機密データの発見と保護に焦点を当てた短期契約を結んでください。

プロジェクト5:クラウドセキュリティ態勢管理(CSPM:Cloud security posture management 

クラウドサービスは高レベルの自動化とユーザーセルフサービスを提供しますが、ほとんどすべてのクラウド攻撃は顧客の設定ミス、管理ミスおよびミスの結果です。
クラウドリスクを軽減するためのCSPMプロセスとツールを検討してください。企業が1つのIaaSプラットフォームしか使用していない場合は、そのプロバイダにCSPMのオプションがあるかどうかを確認してください。そうでない場合は、CSPMプロバイダが、企業が使用している複数のクラウドをサポートしていることを確認してください。
クラウドベースのCSPMオプションは評価結果に基づいて自動的に変更を加えることができますが、企業がすでにCASBを使用している(または考えている)場合、マーケットリーダーはすでに十分に開発されたCSPMオプションを持っています。

プロジェクト6:ビジネスメール詐欺(BEC:Business email compromise

ビジネスメール詐欺(BEC)に関するプロジェクトは、セキュリティおよびリスクのリーダーがフィッシング攻撃や明確に定義されていないビジネスプロセスに対処するのに役立ちます。
これらのプロジェクトは、技術的な管理と組織固有のプロセスの内訳に焦点を当てています。
カスタマイズ可能な機械学習オプションは現在のEメールセキュリティシステムと統合することができ、セキュリティおよびリスクリーダーは現在のEメールセキュリティプロバイダにこれらのコントロールを提供するように頼むだけでなく、プロジェクトをセキュリティ認識トレーニングおよび他のエンドポイント保護と統合できます。

プロジェクト7:ダークデータディスカバリー(Dark data discovery

データセンターの統合またはクラウドの移行を開始する前に、ダークデータの発見に着手してください。これは、価値が低く未知のリスクをもたらすデータです。
組織のデータのフットプリントを削減することで、セキュリティリスクが軽減されるだけでなく、GDPRやその他の規制へのリスクのリスクも軽減されます。
複数のデータサイロにまたがって存在するデータ(ファイル共有、データベース、ビッグデータ、クラウドリポジトリなど)を調べてください。機密データが保存されているすべてのシステムに対して幅広いデータリポジトリサポートを提供するベンダにフォーカスしてください。

プロジェクト8:セキュリティインシデントレポート(Security incident report

セキュリティインシデントには、計画、準備、および適切な対応が必要です。このプロジェクトでは、既存の計画を更新するか、または対応を完全に見直すことに重点を置くことがあります。
現在の対応レベルと計画を改善できる場所を評価してください。
予防的および事後対応的なタスクに対処するために必要な柔軟性を提供するプロバイダからのインシデント対応の保持者を検討してください。

プロジェクト9:コンテナセキュリティ(Container security

開発者は、開発経路を介してデジタルビジネス能力をより迅速にプッシュするためにLinuxコンテナを使用することがますます増えていますが、これらのコンテナはそれぞれ、生産に投入する前に脆弱性と問題についてスクリーニングする必要があります。
コンテナセキュリティは、一般的な開発者ツールやCI / CDパイプラインと統合し、さまざまなセキュリティツールをサポートするための包括的なAPIと共に使用する必要があります。
既知の脆弱性と設定の問題をスキャンすることから始め、次にその戦略を実行時の製品に拡張してください。
より高度なソリューションでは、コンテナごとに詳細な「部品表」を作成し、それを実行時に実際に使用されているものと比較して、ライブラリやコードを削除できる場所を推奨できます。

プロジェクト10:セキュリティ評価サービス(SRS:Security rating services

デジタルエコシステムが複雑になるにつれて、セキュリティ上のリスクも増大します。内部のセキュリティとリスクに加えて、セキュリティとリスクのリーダーは、サプライヤ、規制当局、顧客、ビジネスパートナー、およびプラットフォームを検討する必要があります。
セキュリティ評価サービスを活用して、デジタルエコシステム全体にリアルタイムで低コストの継続的かつ独立したスコアを提供します。これは補足としてのみ使用されるべきです - それは全体像ではありません、しかしこれらのサービスは重要な革新です。
あなたの要件に対して複数のベンダーを評価し、SRSが選択基準の一部として使用されていることを確認してください。


なお、参考までに、昨年2018年のトップ10セキュリティプロジェクトは以下の通りでした。
https://www.gartner.com/jp/newsroom/press-releases/pr-20180710

1.特権アカウント管理 ⇒2019年も登場
2.CARTAに基づく脆弱性管理 ⇒2019年も登場
3.アクティブ・アンチフィッシング
4.サーバ・ワークロードのためのアプリケーション・コントロール
5.マイクロセグメンテーションおよびフローの可視性
6.検知/対応 ⇒2019年も登場
7.クラウド・セキュリティの態勢管理 (CSPM) ⇒2019年も登場
8.自動セキュリティ・スキャニング
9.クラウド・アクセス・セキュリティ・ブローカ (CASB) ⇒2019年も登場
10.ソフトウェア・デファインド・ペリメータ


Gartner社が外資系企業のため、上記のセキュリティプロジェクトは日本の観点だと多少進んだ印象を受けますが、将来的には日本でもセキュリティトレンドの一部となっていくことが予想されます。


さとう