Gartnerが勧めるセキュリティツールの選び方

サイバーセキュリティ対策ではさまざまなツールを組み合わせたり、統合ツールを導入したりする場合が多い。ツールの量は増える一方だ。このような現状に対してGartnerがある提言を発表した。

[Naomi Eide，Cybersecurity Dive]

　Gartnerのアナリストがセキュリティツールの選び方について示唆に富む提言を発表した。

セキュリティツール選びの指針とは

　Gartnerのリー・マクマレン氏（VPアナリスト）は2023年6月5日にメリーランド州ナショナルハーバーで開催された「The Gartner Security & Risk Management Summit」で、企業のセキュリティツールを次のように選ぶべきだと語った。

　マクマレン氏の提言は「最小限の有効なツールセット」を採用するというものだ。脅威に対する監視や対応、防御のために必要な技術を最小限にするよう提案した。

　どういう意味だろうか。これはベンダーの統合を求める訴えだ。Gartnerのデータによると、セキュリティリーダーの4分の3がこれを支持し、または取り組んでいる（注1）。しかし、実際には新しい技術の探求に関連する相談を、統合や削減に関するものよりもはるかに多くGartnerが受けているという。

　統合、削減したいのに、新技術を求めてしまう理由は心理的な問題、さらにいえば旺盛な探求心のためだという。「（探求心によって）ツールが本当に付加価値をもたらすかどうかを確信する前に購入または取得しようとしてしまう」（マクマレン氏）

ツールは少ない方が良い

　Gartnerはカンファレンスに参加した4300人以上の人々が共通のテーマを議論するためには、まずツールは少ない方が良い点を強調した。データ量やサイバーセキュリティの専門家、管理体制を増やしても、実際には、保護が強固になるわけではない。

　「複雑に張り巡らされた既存の技術は、次の技術を追い求めるあなた方だけのものではない。サイバーセキュリティの分野では、自分たちが設計していないアーキテクチャを受け継いでいることが多く、一度に全てを新しくすることはできない。多くのサイバーセキュリティ技術は、企業の他の部門の技術選択によって形作られているため、新技術だと思われるものは新たに開発されたものではなく買収によって得たものであり、穴を埋めるためだけのものということもある」（マクマレン氏）

　中核製品にセキュリティ機能を組み込むことで、組織が集中型セキュリティソリューションを受け入れやすくしようとベンダーは試みている。Microsoftのセキュリティ部門の売上高は、顧客がセキュリティスタックを統合したことによって過去2年間で倍増した（注2）。

　マネージドセキュリティサービスを提供するNuspireの調査によると（注3）、CISO（最高情報セキュリティ責任者）やIT部門の意思決定者は、サイバー分野に投資するための追加の資金にアクセスできるものの、既存のセキュリティツールの価値の最大化に注力していることが明らかになった。彼らの目標は、より洗練されたシンプルなセキュリティ環境の構築だ。

脆弱性という用語がいけない

　Gartnerが指摘するように、企業が実際にスタックを統合し、簡素化の実現を確認することが問題になっている。

　このような動きを助ける方法が一つあるという。脆弱（ぜいじゃく）性に関する用語や組織が積極的に対応する必要がある課題に関する用語を変えることだ。マクマレン氏は次のように述べる。「脆弱性ではなく、ここではあえて、露出（exposure）と言っている、これは、最小限の効果的なマインドセットの変化の一部だ。世の中には無限に脆弱性の恐れがある。しかし、露出の量は有限だ」と彼は言った。

出典：When adopting security tools, less is more, Gartner says（Cybersecurity Dive）

注1：Security vendor consolidation a priority for majority of organizations worldwide（Cybersecurity Dive）

注2：Microsoft surpasses $20B in security revenue as enterprise customers consolidate（Cybersecurity Dive）

注3：CISOs still expect cyber budget increases amid economic pressure（Cybersecurity Dive）