Gartner、サイバーセキュリティ戦略策定に役立つ8大予測を発表：人間中心型の設計やゼロトラストがキーワードに

2. 2024年までに、最新のプライバシー規制が消費者データの大半をカバーするが、プライバシーを競争上の優位性として、武器にすることに成功する組織は10％未満にとどまる

　企業はプライバシープログラムによって、より広範なデータの利用、競合他社との差別化、顧客、パートナー、投資家、規制当局との信頼関係の構築が可能になることを認識し始めている。Gartnerは、競争が激化する市場で組織が差別化を図り、揺るぎない成長を遂げるために、セキュリティリーダーが欧州連合（EU）のGDPR（一般データ保護規則）に沿った包括的なプライバシー基準を強制することを勧めている。

3. 2026年までに大企業の10％が、包括的で成熟した、測定可能なゼロトラストプログラムを導入する（現在の導入率は1％未満）

　成熟したゼロトラストの実装を広く展開するには、さまざまなコンポーネントを統合、構成する必要があり、それは非常に技術的で複雑になる場合がある。その成功は、ビジネス価値への転換に大きくかかっている。小さく始めることで、ゼロトラストの考え方が進化し続け、ゼロトラストプログラムの利点をよりよく把握し、複雑さを一歩ずつ管理することが容易になる。

4. 2027年までに従業員の75％が、IT部門の目の届かないところで技術を入手、変更、構築するようになる（2022年時点では41％）

　CISOの役割と責任範囲は、施策の責任者から、リスクに関する意思決定の支援者へと移行しつつある。サイバーセキュリティの運用モデルを再構築することが、今後の変化のカギを握る。Gartnerは、CISOが技術や自動化を超えて考え、従業員と深く関わり、その意思決定に影響を与え、従業員が適切な知識を備えて情報に基づいた行動を取れるようにすることを勧めている。

5. 2025年までにサイバーセキュリティリーダーの50％が、企業の意思決定を促進するためにサイバーリスクの定量化を活用しようとして失敗する

　Gartnerの調査によると、サイバーリスクの定量化を採用した企業の62％が、信頼とサイバーリスク認識という定性的な面での向上を成果として挙げているが、リスク軽減、コスト削減、実際の意思決定への影響など、実体的な成果を挙げている企業は36％にとどまっている。セキュリティリーダーは、ビジネス部門を説得するために自己流で分析するのではなく、意思決定者が求める定量化に力を注ぐべきだ。

6. 仕事関連のさまざまなストレスにより、2025年までにサイバーセキュリティリーダーの半数近くが転職し、25％は全く別の職務に就く

　サイバーセキュリティ専門家の仕事上のストレスが増加し、仕事の継続が困難になるケースが多くなっている。新型コロナウイルス感染症（COVID-19）のパンデミック（世界的大流行）と業界全体の人材不足が、この状況に拍車を掛けてきた。Gartnerは、ストレスをなくすことは非現実的だが、サポートを受けられる文化の中で働いていれば、人々は、困難でストレスの多い仕事にも対応できると指摘している。文化の転換を促進する就業ルールの変更が、その助けになる。

7. 2026年までに取締役会の70％が、サイバーセキュリティの専門知識、経験を持つメンバーを1人含むようになる

　サイバーセキュリティリーダーがビジネスパートナーとして認められるためには、取締役会と企業のリスク選好度（リスクの高い資産への投資を増やすこと）を認識する必要がある。これにより、サイバーセキュリティプログラムが、「好ましくない事態の発生をいかに防ぐか」だけでなく、「企業がリスクを効果的に取る能力をいかに向上させるか」を示すことができる。Gartnerは、CISOが変化を先取りし、取締役会に対してサイバーセキュリティの促進と支援を呼び掛け、信頼と支援の向上に向けて、より緊密な関係を築くことを勧めている。

8. 2026年までにTDIR（脅威の検知、調査、対応）機能の60％以上が、エクスポージャー（外部にさらされているリスク）管理データを利用し、検知した脅威の検証と優先順位付けを行うようになる（2023年3月時点の割合は5％未満）

　接続の拡大や、SaaSやクラウドアプリケーションの利用に伴い、組織の攻撃対象領域が拡大する中、企業はより広範な可視化に加え、脅威とエクスポージャーを常にモニタリングするための中心的な場所を必要としている。TDIRの機能は、検知、調査、対応を管理できる統合プラットフォームまたはプラットフォームエコシステムを実現し、セキュリティ運用チームにリスクとその潜在的影響の全体像を提供する。