新型コロナウイルス感染症 (COVID-19) の影響により、2020年は在宅勤務を取り入れる企業が急増したが、影響はそれだけにとどまらない。今後数年内での企業におけるオンライン化、デジタル化のトレンドを加速させる大きなインパクトがある。ガートナー ジャパンのアナリストでバイス プレジデントの礒田 優一氏は次のように述べている。

「2020年という混乱の年の中、企業によって明暗が分かれた要因は、『変化に対応ができたかどうか』です。3～5年の未来を見据えて変化に対応していくためには、それぞれの組織に合わせた未来志向型セキュリティが必要です」

　新たな時代を生き残るための差別化要因として、礒田氏は「セキュリティ」と「プライバシー」の重要性を説いており、セキュリティとプライバシーを再定義して拡張していく必要があると強調している (図1参照)。

図1. セキュリティの再定義、拡張／出典：ガートナー（2020年12月）

　セキュリティとプライバシーは、従来の「情報」を守るというミッションから、「企業」「従業員」を含めた「業務」を守るミッションへ、さらにその先の「顧客」を守るミッションへとアップデートしていくことが求められる。セキュリティとプライバシーの取り組みをレベルアップする上で、企業はアダプティブ・セキュリティ (Adaptive Security) とCARTA (Continuous Adaptive Risk and Trust Assessment：継続的でアダプティブなリスク／トラストのアセスメント) の考え方を取り入れたセキュリティを推進すべきである。

アダプティブ・セキュリティ

　ガートナーでは、「ハイレベル」なセキュリティのアーキテクチャ (フレームワーク) として、これまで一貫してアダプティブ・セキュリティを提唱。日本の城の築城における4つの視点 (縄張、石垣、天守閣、武者走) が、アダプティブ・セキュリティの4つの視点 (Predict [予測]、Prevent [防御]、Detect [検知]、Respond [対応]) に当てはまることからも、これは今後のデジタルの時代にも変わらない普遍的な原則であるとしている。

　礒田氏は次のようにも述べている。

「昨今バズワード化している『ゼロトラスト』ですが、企業はハイプに惑わされずに、アダプティブ・セキュリティの4つの視点を基本にして、継続的 (Continuous) に可視化して検証していく必要があります。可視化して検証する対象は、従来はハードウェアやネットワークなどのボトムが中心でしたが、クラウドの時代においては、内外関係なくトップダウンでの可視化と検証が必要になります。今後はさらにクラウド中心の世の中になるため、SASE (セキュア・アクセス・サービス・エッジ) など関連市場で起きるであろう大きな変化を注視することが必要です」

CARTA

　アダプティブ・セキュリティが「ハイレベル」なセキュリティのアーキテクチャ (フレームワーク) であるのに対し、CARTAは、デジタル・ビジネスの開発と運用の「現場レベル」のセキュリティを考える際のフレームワーク。礒田氏は次のように述べている。

「今までのセキュリティが乗用車でブレーキを頻繁にかけるセキュリティであったとするならば、新たな時代のセキュリティは、レーシング・カーのためにサーキットを作るセキュリティであるべきです。レーシング・カーにはスピードが求められますが、観客席に猛スピードで突っ込むようなことがあれば大惨事になります。ガードレールが必須であり、それがCARTAであるともいえます。マインドセット、プロセス、テクノロジに至るまでの大きなスタイル・チェンジが求められます」

人中心 (People Centric) のセキュリティ

　デジタル・ビジネスは、IaaS (サービスとしてのインフラストラクチャ)／PaaS (サービスとしてのプラットフォーム) 上での構築・展開が大半になっており、モダンな開発者によって牽引されている。礒田氏は次のように述べている。

「そうした現場のリアリティの理解がないままに、セキュリティの担当者が頭ごなしにセキュリティのルールを押し付けたとしても、それは機能しませんし、現場には無視されるでしょう。新たな時代のセキュリティは『人中心』に考える必要があります。人 (この場合、開発者) に自由と責任を与え、その人のリテラシーを高めます。またモニタリングやアナリティクスといったモダンなテクノロジの活用も重要になってきます。時代に取り残されないために、未来に向けて、組織ならびに自分自身を常にアップデートしていくことが重要です」