ガートナーがセキュリティのハイプ・サイクルを公開。今後注目すべきトピックは？

セキュリティ投資の重要性が失われることは無いというのが一般的な理解である一方、世間のニーズや注目度合いはトレンド性に強く影響されているのも事実です。

調査会社のガートナーは、このようなセキュリティ分野のトレンド性をハイプ・サイクルという形でグラフ化し、世の中のリテラシー向上を促しています。

ガートナージャパンの発表した「セキュリティのハイプ・サイクル」

ガートナーが公開しているハイプ・サイクル^※1とは、特定のトピックが過度に持ち上げられたのち、幻滅期を経てそのトピックの本来の役割や重要性への冷静な理解が実現するサイクルをグラフ化したものです。これまでに100以上のハイプ・サイクルを手がけ、あらゆる領域での動向を掴む上で役立てられています。

AIや暗号資産など新規性の高い分野は登場当初、本来有している価値以上に高く評価され、その後期待していたほどではなかったと、参加者が極端に減少する幻滅期が訪れるものです。このような評価の上下を経て、はじめて本来の価値と役割を取り戻し、進化を遂げるというパターンがあらゆる分野で共通しており、セキュリティ領域においてもこれが当てはまることを、ガートナーは説明しています。

セキュリティのハイプ・サイクルは定期的な更新が行われており、2024年版では新たに

• サイバーセキュリティの継続的なコンプライアンスの自動化
• サイバーリスク・マネジメントにおけるAI
• サイバー・フィジカル・システムのリスク・マネジメント

の3項目が追加されました。

CCCAの略称でも知られるサイバーセキュリティの継続的なコンプライアンスの自動化は、ハイプ・サイクルの中では現状「過度な期待」のピーク期にあたるとされており、これから幻滅期にさしかかり、その後に安定期に入っていくと考えられます。

サイバーリスク・マネジメントにおけるAIは、現在黎明期にあるとの見方です。サイバーリスク・マネジメントの評価とモニタリングをAIに任せることで、効率化と強化を実現するこのソリューションは、今後10年で主流の技術となっていくことが期待されます。

サイバー・フィジカル・システム（CPS）のリスク・マネジメントも、現在黎明期にあるという評価です。生産システムや自動運転、インフラといった領域で実装される同技術も、CPSの導入がより広がったタイミングでスポットライトが当たるという考え方で、大きなポテンシャルを秘めていると言えるでしょう。

※1 Gartner、「日本におけるセキュリティ (リスク管理、アプリ／データ、プライバシー) のハイプ・サイクル：2024年」を発表

ガートナーが考えるAI・DXの可能性と懸念

セキュリティのハイプ・サイクルを考える上で、ガートナーが前提としているのがAIやDXが有する可能性、そして誤った使われ方によってもたらされうる懸念です。

世界各国でこれらのテクノロジー活用に関する法規制が行われる中、同社は企業における法の遵守を最低限の事項と考えています。その上で信頼性や堅牢性、公平性の実現につながる取り組みを進めるべきとしており、この前提を踏まえることで、ハイプ・サイクルをより正確に読み解くことができるでしょう。

中でも同社が懸念しているのは、クラウドネイティブな環境に移行したことで生じるセキュリティリスクや、ソフトウェアサプライチェーンで生じるリスクです。DXやAIの導入によって従来の業務がアップデートされると、それに伴う新しいセキュリティ上の問題が生じることは、依然として軽視される傾向にあります。このような認識と実情のギャップを少しでも小さくしていくことが、現在求められているセキュリティ投資のあり方とも言えるでしょう。

ハイプ・サイクルを踏まえた理想的なセキュリティ投資の方向性とは

セキュリティ対策企業の喫緊の課題と言われていますが、脅威が差し迫っている実情とは裏腹に、これらに対抗するための備えは一朝一夕に獲得できるものでは無い点は見落とされやすい事実です。セキュリティ投資の強化には、社内での議論の成熟やリテラシーの底上げが求められるため、想定よりも多くの時間がかかることを見越した対策が求められます。

ガートナーの公開するハイプ・サイクルに目を通し、黎明期、ピーク期、幻滅期、啓発期、生産性の安定期という段階への理解を深め、俯瞰的に自社に今必要な施策、これから必要になるであろう施策を考えることが、セキュリティ投資の第一歩とも言えるでしょう。