今回の発表にあたって、ガートナーのリサーチ バイス プレジデント 兼 最上級アナリストでガートナー名誉フェローのニール・マクドナルド氏は次のように述べている。

「情報セキュリティ部門と情報セキュリティのインフラには、新たに出現しつつあるデジタル・ビジネスの要件のサポートへの適応性とともに、ますます高度化している脅威に対応するための適応性も不可欠です。セキュリティおよびリスク管理のリーダーは、効果的なセキュリティおよびリスク管理のプログラムを策定、実行、維持し、デジタル・ビジネスのチャンスを実現させながらリスクを管理していくために、最新のテクノロジ・トレンドに全力で取り組まなければなりません」

　ガートナーが発表した注目すべき情報セキュリティ・テクノロジのトップ10は以下のとおり。

クラウド・アクセス・セキュリティ・ブローカ （CASB）

　CASBは、複数のクラウド・プロバイダーの環境を介して、安全かつコンプライアンスに適合した環境で、クラウド・サービスを活用するために欠かせないコントロール・ポイントを情報セキュリティ担当者に提供します。

　多くのサービスとしてのソフトウェア （SaaS） アプリケーションでは可視性とコントロールのオプションに限りがありますが、SaaSを導入する企業がますます増えるにつれて、可視性とコントロールを求めるセキュリティ部門の不満が高まっています。

　個々のクラウド・サービス間に存在する多くのギャップを埋めるCASBソリューションによって、最高情報セキュリティ責任者 （CISO） は、サービスとしてのインフラストラクチャ （IaaS） プロバイダーやサービスとしてのプラットフォーム （PaaS） プロバイダーを含め、成長中のクラウド・サービス環境全体を通じて、このようなギャップを埋めていくことができます。

　CASBは、企業が利用するエンタプライズ・クラウド・サービス全体を通じて、ポリシーの設定や挙動モニタリング、リスクの管理といったCISOにとって最も重要なニーズを満たします。

エンドポイントの検知／対応 （EDR）

　より効果的なエンドポイント保護の実現および、潜在的な不正アクセスの検知と迅速な対応への必要性の高まりを背景に、EDRソリューションの市場は急速に規模を拡大しています。

　通常、EDRツールは膨大な数のエンドポイント・イベントとネットワーク・イベントを記録し、これらの情報をエンドポイントでローカルに格納するか、一元化されたデータベースに格納します。

　次に、既知の侵入痕跡 （IOC: Indicators of Compromise） のデータベースや挙動分析、機械学習などを活用することで、内部ユーザーからの脅威を含む不正アクセスの兆候を早期に示すデータを継続的にチェックし、これらの攻撃に迅速に対応します。

エンドポイントのセキュリティ保護に対するノンシグネチャ型アプローチ

　マルウェアの脅威に対する純粋なシグネチャ・ベースのアプローチは、高度な標的型攻撃に対しては効果がありません。一般的なマルウェアによるシステム侵入への対応策であるメモリ保護やエクスプロイトの防御、またシグネチャに替わる手段として、マルウェアを検出／ブロックする数学的モデルを使った機械学習ベースのマルウェア防御策など、従来のシグネチャ・ベースのアプローチを補う新たな手法が数多く登場しています。

ユーザー／エンティティ挙動分析 （UEBA）

　セキュリティ情報／イベント管理 （SIEM） によって幅広い範囲のセキュリティ・モニタリングが可能になるように、UEBAでは、広範にわたるセキュリティ分析が可能になります。UEBAは、ユーザーの振る舞いに関してだけではなく、例えばエンドポイントやネットワーク、アプリケーションといった他のエンティティについても、ユーザーを中心に置いた分析を提供します。このように、さまざまなエンティティにわたる分析の相関関係によって分析結果の精度が高まるとともに、より効果的に脅威を検知することが可能になります。

マイクロセグメンテーションおよびフローの可視性

　いったんエンタプライズ・システムへの侵入に成功した攻撃者は、通常、他のシステムに水平方向に自由に行き来することができます。このような脅威に対抗するために登場した新たな要件が、エンタプライズ・ネットワークにおける水平方向のトラフィックの「マイクロセグメンテーション （より細かいレベルのセグメント化）」です。

　さらに、通信フローに対する可視性とモニタリング機能を提供するソリューションもあります。可視化ツールによって運用環境の管理者およびセキュリティ管理者は、フローのパターンを把握し、セグメンテーションのポリシーを定義することで、ポリシーから外れた挙動をモニタすることができます。

　また、伝送中のデータ保護のためにワークロード間でネットワーク・トラフィックを任意に暗号化する機能 （通常はポイント間のIPsecトンネル） や、ワークロード間での暗号分離機能を提供しているベンダーもあります。

DevOpsのためのセキュリティ・テスト

　DevOpsにおけるワークフローは、セキュリティがその一部として統合される必要があります （「DevSecOps」）。

　この新しいDevSecOpsの作業モデルでは、スクリプト、「レシピ」、ブループリント、テンプレートを活用することでセキュリティ・インフラの基盤を確立します。これには、開発環境におけるアプリケーション・テストやランタイム時のネットワーク接続性といったセキュリティ・ポリシーも含まれます。

　また、システムを本番環境にリリースする前に、開発プロセスの段階で既知の脆弱性を発見する自動セキュリティ・スキャンを実行するソリューションもあります。モデルやブループリント、テンプレート、ツールなど、セキュリティの確保の方法には関係なく、現在のワークロード環境を反映したポリシーに基づいて、基盤となるセキュリティ・インフラを透過的でコンプライアンスに沿った形で自動的に構築する、というコンセプトおよび最終的な目標は、すべてに共通しています。

インテリジェンス主導型セキュリティ・オペレーション・センター （SOC） のオーケストレーション・ソリューション

　防御テクノロジやネットワーク境界、イベント・ベース・モニタリングを超えるインテリジェンス主導型SOCは、インテリジェンス （情報） を目的に構築し、セキュリティ・オペレーションにかかわるあらゆる局面に情報を提供できるように活用しなければなりません。

　「検知と対応」という新しいセキュリティのコンセプトにおける課題に対応するために、インテリジェンス主導型SOCも、適応性に優れたアーキテクチャとコンテキスト・アウェア型のコンポーネントによって、従来の防御のフレームワークのさらに先へと進んでいく必要があります。

　このような情報セキュリティに必要な変革をサポートするために、従来型のSOCをインテリジェンス主導型SOCへと進化させなければなりません。この進化を実現する主要なテクノロジ （イネーブラ） が、SOCプロセスの自動化とオーケストレーション （調整） です。

リモート・ブラウザ （ネットワーク分離）

　ほとんどの攻撃は、エンドユーザーを標的にした電子メールやURL、悪意あるWebサイトなどを通じたマルウェアへの感染を出発点にしています。

　このリスクに対する新しいアプローチの1つが、ブラウザのセッションをリモートの「ブラウザ・サーバ」から提供する方法です。ブラウザ・セッション （Linuxベースが典型的） は、社内で実行しているサーバから提供するか、クラウド・ベースのサービスとして提供します。

　このようにブラウジング機能を他のエンドポイントや企業ネットワークと切り離すことで、マルウェアがエンドユーザーのシステムに侵入することを防ぎます。

　このようにして攻撃のリスクをサーバ・セッションにシフトすることで、新たなブラウズ・セッションごと、タブを開くたび、またはURLへのアクセスごとに、既知の正常な状態にリセットされます。これにより企業は、攻撃対象となる箇所を大幅に縮小しています。

偽装テクノロジ （Deception）

　偽装テクノロジは、攻撃者の識別プロセスを妨害したり除外したりする偽装や策略、攻撃者の自動化ツールの中断、攻撃者の活動の遅延や不正アクセスの妨害などを行うテクノロジです。

　たとえば、偽装機能によってニセの脆弱性やシステム、シェア、Cookieなどを作成した場合、正当なユーザーはこれらのリソースを見たりアクセスしたりすることはないため、これらのニセのリソースに攻撃者が攻撃を仕掛けると、攻撃が進行中であることが明確になります。

　偽装テクノロジはネットワークやアプリケーション、エンドポイント、データなどの分野に出現しており、最高レベルのシステムは、複数の手法を組み合わせて提供されています。ガートナーは、偽装ツールや偽装戦術を採用し、攻撃者への偽装作戦に積極的に取り組む企業の割合が、2018年までに10％に達すると予測しています。

広域なトラスト・サービス

　セキュリティ保護の範囲をオペレーショナル・テクノロジおよびモノのインターネット （IoT） にまで広げてほしいというニーズがセキュリティ部門に多く寄せられるようになるのに伴い、大規模に信頼性のプロビジョニングと管理を実現するための新しいセキュリティ・モデルが不可欠になります。

　トラスト・サービスは、大規模な環境に展開できるとともに、数十億個のデバイス （その中には処理能力に限界のあるものも多く含まれる） のニーズをサポートできるように構築されています。

　大規模な分散型のトラスト・サービスや合意ベースのサービスを求めている企業は、セキュアなプロビジョニング、データの完全性、機密性、デバイスの識別、認証などを含むトラスト・サービスに焦点を当てる必要があります。いくつかの最先端のアプローチでは、分散型トラストおよびブロックチェーンのようなアーキテクチャによって、大規模な環境に分散しているトラスト・サービスおよびデータの完全性を管理しています。

　ガートナーは本日から13日までの3日間、東京コンファレンスセンター・品川において「ガートナー セキュリティ＆リスク・マネジメント サミット 2016」を開催している。本サミットでは、ガートナーの国内外のアナリストやコンサルタントが、実証済みのプラクティスと戦略を紹介し、リスク／セキュリティ・リーダーが一貫してデジタル・ビジネスを支え、費用対効果の高いセキュリティ対策を牽引できるよう、さまざまな知見を提供している。