EDRやSDPの動向は？ 2020年以降のセキュリティトレンド大解剖

スマートフォン決済サービスへの不正アクセス被害や大量の情報漏洩（ろうえい）など、2019年もさまざまなセキュリティインシデントが発生し、あらためてセキュリティ対策の重要性が浮き彫りになった年だった。そこで今回は、2019年上半期に行った国内情報セキュリティ市場予測について見ていきながら、各カテゴリーでの動きや今後のセキュリティにおいて重視すべきポイントなどについて紹介する

[登坂恒夫，IDC Japan]

アナリストプロフィール

登坂恒夫（Tsuneo Tosaka）：IDC Japan ソフトウェア＆セキュリティリサーチマネージャー

国内情報セキュリティ市場（セキュリティソフトウェア市場、セキュリティアプライアンス市場、セキュリティサービス市場）を担当。市場予測、市場シェア、ユーザー調査など同市場に関するレポートの執筆、データベース製品のマネジメントの他、さまざまなマルチクライアント調査、カスタム調査を行う。

■目次

• 【1】苦戦するアプライアンス、セキュリティソリューション予測
  • 情報セキュリティ製品市場に属するカテゴリー
  • 好調なSaaSに沈むアプライアンス、セキュリティ製品予測
  • 運用面に課題の残る「EDR」、普及のカギは自動化に
  • インシデントレスポンスの自動対応領域が広がる「xDR」
  • 半数以上を占めるUTMが市場を下支え、アプライアンス動向
  • セキュリティ領域におけるオンプレミス、クラウド動向
• 【2】環境変化におけるセキュリティトレンド
  • OS切り替えというインパクトから解放される「Windows 7」終了
  • ローカルブレークアウトがカギに、働く環境の変化
• 【3】セキュリティの環境整備において考えておきたい視点

【1】苦戦するアプライアンス、セキュリティソリューション予測

情報セキュリティ製品市場に属するカテゴリー

　さまざまな脅威にさらされている企業において、セキュリティ対策は欠かすことのできない重要な施策だ。IDCでは、ソフトウェアとアプライアンス製品を含めた国内の情報セキュリティ製品市場とセキュリティサービス市場について、その予測を発表している。IDCが情報セキュリティ市場として定義しているソリューションは、ID管理などに代表される「アイデンティティー／デジタルトラスト」をはじめ、「ネットワークセキュリティ」「エンドポイントセキュリティ」「メッセージングセキュリティ」「Webコンテンツインスペクション」「セキュリティAIRO」「その他セキュリティ」「セキュリティサービス」の8つの領域だ。そして、それぞれの領域にクラウドサービスを含めたソフトウェアやセキュリティアプライアンスが存在している。

好調なSaaSに沈むアプライアンス、セキュリティ製品予測

　今回紹介するのは、2019年上半期までの実績に基づいた、2019年から2023年までのセキュリティ製品に関する予測だ。2019年の国内情報セキュリティ製品市場を見てみると、ソフトウェア製品の市場規模は前年比3.8％増の2638億円で、その内SaaS（Software as a Services）型セキュリティソフトウェアの市場規模は前年比14.5％増と予測しており、比較的堅調なトレンドにある。逆に、セキュリティアプライアンス製品の市場規模は前年比2.6％減の536億円と予測、国内セキュリティサービスの市場規模は前年比4.9％増の8275億円と予測している。

　2018年から見た2019年という観点では、メールをはじめとした標的型攻撃が2018年に増加したことで、エンドポイントおよびメッセージングに関するセキュリティが成長したため、2019年はその反動でエンドポイントセキュリティやメッセージングセキュリティは鈍化すると予測。一方で、コンシューマー向けのエンドポイントセキュリティは家庭向けPCの出荷台数が伸びた影響で2019年度の成長率は高く、企業のアプリケーションがクラウドにシフトしたことで、アクセス管理やID管理などアイデンティティー／デジタルトラスト製品についても高い成長率となると予測している。

　ソフトウェアやSaaS領域の成長率が堅調な一方で、セキュリティアプライアンス市場はその需要が低下する見込みだ。もともとセキュリティアプライアンス市場はUTM（Unified Threat Management）製品が半数以上を占めており、市場をけん引している状況にある。中でもメッセージングセキュリティやWebセキュリティを中心にアプライアンスからSaaSへニーズが移行していることから、カテゴリーによってはマイナス成長の分野もあるなど、比較的厳しい状況になってくると予測している。

　セキュリティサービス市場については、日常的に利用している業務システムのクラウドシフトがいっそう進むことで、クラウド環境へのセキュリティシステムの構築や運用管理サービスの需要が拡大することになるだろう。

運用面に課題の残る「EDR」、普及のカギは自動化に

　エンドポイントセキュリティにおいては、その対象となるデバイスは現在でもPCがその中心にあるものの、スマートフォンをはじめとしたモバイルデバイスやセンサーを含めたIoTデバイスも新たな保護対象として検討していくことが求められてくる。その意味でも、今後もエンドポイントに対するセキュリティの需要は堅調だろう。

　外部脅威の高度化の影響からも、エンドポイントセキュリティの需要が堅調な要因と考えられる。標的型も含めた外部脅威の高度化により、ネットワーク側で防御することも踏まえて、さまざまな対策を検討する必要があるが、どんな対策を施したとしても完全に防御することは現実的に難しく、どんな形であれ侵入を許してしまうことになる。その場合、最終的に攻撃が着弾する先はサーバやPCなどのエンドポイントになるため、侵入されてもいち早く解決できるエンドポイントの環境づくりが重要になってくる。その意味でも、エンドポイントセキュリティは今後も需要の高まりが期待される。

　侵入後の迅速な対応に効果を発揮するソリューションとしてEDR（Endpoint Detection & Response）が挙げられるが、実際の振る舞いを判断したうえでの対応が必要になるなど、運用管理面での負担が懸念されており、導入が進んでいない実情も見て取れる。セキュリティ専任の人材が社内にいればいざ知らず、専任者がいない状況でEDRを社内で運用することは負担も大きなものになるはずだ。一方で、振る舞いの監視や解析も含めたサービスを利用することで運用負担を軽減させる向きもあるが、それなりのコストが発生することになる。シグネチャベースのアンチマルウェアなどと併用していくことで、コスト面で運用が困難になるケースもあるだろう。そこで求められるのが、EDR運用の自動化だ。自動化も含めてEDRの改善が進んでいくことで、さらなる市場の拡大が期待できるはずだ。EDR市場が大きくなったことで成長率自体は以前よりも鈍化するものの、堅調な市場を下支えするソリューションの1つであることは間違いない。

インシデントレスポンスの自動対応領域が広がる「xDR」

　侵入を前提とした対策については、何もエンドポイントだけに限った話ではなく、最近はネットワークやクラウドも含めて全体のインシデントレスポンスの自動対応が求められている。そこで、クラウド上にデータレイクを構築してあらゆるログを収集し、インシデントへの自動対応を目指す“xDR”といった概念を提唱するベンダーも現れ始めている。ネットワーク領域も含めたソリューションとなると、従来のエンドポイントセキュリティを提供してきたベンダーだけでなく、例えばパロアルトネットワークスやシスコシステムズのようなネットワークベンダーがエンドポイントのセンサーを自社のソリューションに組み込んでインシデントレスポンスの自動対応が可能なソリューションを提供する動きも出ている。群雄割拠となりつつあるEDR領域だが、ネットワーク側だけではインシデントへの対処が難しいため、あくまでも脅威が着弾するエンドポイントがベースになってくることは間違いない。

半数以上を占めるUTMが市場を下支え、アプライアンス動向

　セキュリティアプライアンス市場を見てみると、その中心にあるのが、複数のセキュリティ機能をアプライアンス内に実装して集中管理可能な統合脅威管理、いわゆるUTM（Unified Threat Management）だ。このセキュリティアプライアンス市場では、主にファイアウォール／VPNやUTM、IPS／IDSなどのネットワークセキュリティをはじめ、メッセージングセキュリティ、フィルタリングが可能なプロキシをはじめとしたWebセキュリティなどの領域に属するソリューションが主なものだが、市場の半数以上を占めているのがUTMであり、ファイアウォールなど単機能のアプライアンス市場は縮小傾向にある。

　セキュリティアプライアンス市場全体では、IT環境がクラウドにシフトしている傾向にあり、メッセージングセキュリティ、Webセキュリティなどを中心にSaaS型のセキュリティソリューションへ移行しつつある。その結果、アプライアンス製品の需要そのものは低下すると予測している。そもそも、Office 365など守るべきコンテンツがクラウドへ移行した場合、オンプレミス上にメッセージング関連のセキュリティアプライアンスは導入する必要はない。Webセキュリティについても、業務システムのSaaS利用が進んでいるため、Zscalerのようにクラウド上でゲートウェイセキュリティを提供するソリューションへシフトしていくことになるだろう。結果としてセキュリティアプライアンス市場全体でみると厳しい状況にあり、市場の中心となっているUTMですら、年間平均成長率（CAGR：Compound Annual Growth Rate）ベースでは1.9％ほど、Webセキュリティは0.8％、メッセージングセキュリティはマイナス6％ほどになると予測している。

セキュリティ領域におけるオンプレミス、クラウド動向

　大きくオンプレミスとクラウドという環境でセキュリティソリューションを見てみると、オンプレミス自体は成長率が鈍化し、クラウドについては2桁成長を果たすと予測している。ただしオンプレミスの市場自体が縮小するわけではなく、基本的にはオンプレミスが継続的に市場を下支えしていきながら、成長をドライブするものとしてクラウドソリューションの市場が拡大していくという姿だ。

　クラウドセキュリティの中核となるのは、アクセスコントロールを中心としたアイデンティティー／デジタルトラストの領域で、最近では信頼のおける境界がないことを前提に全ての通信を確認する「ゼロトラスト」の原則に基づいたSDP（Software Defined Perimeterと呼ばれるものも登場している。これは、クラウド環境にSDPによる境界を設け、そこで各クラウドサービスへのアクセス制御を行うだけでなく、VPNをはじめとした通信領域でのアクセス制御も同時に行うことになる。

【2】環境変化におけるセキュリティトレンド

OS切り替えというインパクトから解放される「Windows 7」終了

　2020年1月14日にWindows 7のサポートが終了となり、マイクロソフトからのセキュリティ更新プログラム提供が行われなくなるなか、多くの企業がWindows 10への移行を進めており、すでに移行済みの企業も少なくない。当然ながら、エンドポイントのOSや端末そのものが変わるタイミングでは、特にエンドポイントに対するセキュリティを新たに見直す契機となり、特にパフォーマンスの課題でインフラ刷新を検討するケースも出てくる。今回は2023年までの予測だが、特にOS周りでインパクトのあるイベントは、今回のWindows 7からの移行が最も大きなものとなるだろう。Windows 8.1については2023年1月10日に終了予定だが、Windows 7の方が多くの企業が利用されており、Windows 8.1の終了インパクトはさほど大きなものにはならないとみている。

　なお、Windows 10からは常に最新バージョンの環境が利用できるという、マイクロソフトとしてマイグレーションの考え方も大きく変わってくるため、Windows10以降はOSの終了という概念が発生しない。順次リリースされてくるバージョンを適用するかどうか判断していくことになるため、環境変化としてクライアントOSに関連した大掛かりな終了イベントは、今後意識する必要はなくなってくるはずだ。

ローカルブレークアウトがカギに、働く環境の変化

　リモートワークやテレワークなどといった働き方に対応する企業が増加しているが、セキュリティへの対応は、どの程度クラウドを利用するのかによって変わってくると考えている。これまで社内で利用してきたシステムを社外からでも利用できるようにしていく際に、オンプレミスにシステムを置いた環境のままであれば、従来通りVPNを経由して社内ネットワークにアクセスさせ、インターネットも社内ネットワーク経由で利用させる構成になるだろう。ただし、これからはクラウドを利活用することが有力な選択肢の1つとなってくるはずで、その場合は従来通りの用法を採用するのか、直接端末からクラウド接続させるローカルブレークアウトを採用するのかという選択に迫られる。

　パフォーマンスを考えると、直接クラウドアクセスできた方が利用者のメリットは大きいが、管理者からすると管理監視に向けた環境づくりが別途必要になってくる。これは、企業のポリシーに依存する部分もあるが、今後デジタルトランスフォーメーションを意識した働き方へシフトしていくためにも、ローカルブレークアウトを行い、クラウド側のセキュリティで対処していくという流れが加速していくのではと予測している。その視点で考えれば、SaaS型のクラウドセキュリティが伸びていく要因となるはずだ。

　なお、個人が自宅などからクラウドサービスを利用する場合、個人的に利用しているクラウドサービスと法人が許可しているクラウドサービスをうまく切り分けるための環境づくりが必要になるものの、利便性の観点からローカルブレークアウトにシフトしていくことは十分考えられる。ただし、拠点という単位で考えた場合は、従来のVPN接続とあまりコストが変わってこないことも手伝って、日本では拠点からのローカルブレークアウトが遅れている傾向にあるのが実態だ。

【3】セキュリティの環境整備において考えておきたい視点

　IDCが重視しているのは、“セキュリティ＆トラスト”という考え方だ。さまざまな攻撃が押し寄せていることからもサイバーセキュリティはますます重要になってくるが、世界中で人材不足が叫ばれていることからも、インシデントレスポンスの自動化などの強化が間違いなく求められてくるだろう。また、デジタル化がいっそう進むなかで、データの信頼性が企業におけるリスクとして顕在化してくることになるのは間違いない。データの信頼性を確保するトラストの考え方についても同時に考える必要があり、データ保護や情報ガバナンスに対する取り組みが、これまで以上に重要になってくる。サイバーセキュリティとデジタルトラスト、この両方の視点を持つことがリスク回避に欠かせないものになる。

　データの信頼性という意味では、数年前から脅威として顕在化してきたビジネスメール詐欺、いわゆるBEC（Business Email Compromise）についても言及しておきたい。BECは企業の担当者をだまして攻撃者が用意した口座に送金させる詐欺で、巧妙に細工されたメールを使って相手をだますもの。2015年には日本航空が約3億8000万円の被害に遭ったことが報道され、2019年にはトヨタ紡織の欧州子会社で約40億円、日本経済社米子会社で約32億円の被害に遭っているのが表面化した実例だ。このBECは、システム上の脆弱（ぜいじゃく）性ではなく、人のオペレーションも含めた業務プロセス上の脆弱性をうまく利用したものといえる。そのリスクを回避する意味でも、人手を介在させずに業務プロセスが運用できる形に持っていくことが必要で、システム化することでデータの改ざんなどが把握できるようになり、データの信頼性を確保することにもつながってくる。

　このBECの例からも、サイバーセキュリティだけではない、デジタルトラストの領域にも意識を向けていく必要があることは理解いただけるはずだ。