Author:

Dominic Trott

2020年3月

Sponsored by

IDC TOPLINE

IDC #EUR146102020

セキュリティのビジネスインパ

クトを運用効率で実証

セキュリティのビジネスインパクトを運用効率で実証はじめに

セキュリティ部門は、ビジネス目標の達成を支援しなければな

らないという強いプレッシャーを受けている。最高情報セキュリ

ティ責任者（CISO）は、セキュリティ部門の価値命題を単なる技

術専門家の集団から、コストの削減、リスクマネジメント、デジタ

ルトラストなどのビジネス成果に即した、真の意味でビジネスを

サポートする機能へ転換しようとする動きが強まっている。

セキュリティ部門の変わらぬ価値や重要性を実証するために欠

かせない要件ではあるが、この変革は、言うほど簡単なことで

はない。CISO がこの変革を実現するうえで必要な特性を確立

することに関心が強まっている。IDC はヨーロッパの CISO の

調査対象者から、以下の 2 点を具体的な要件として明確化し

た。

CISO が譲ることのできない必要不可欠な 2 つの属性

がある：

1. 技術的能力

2. セキュリティ運用管理に対するコントロール指向の

プログラム的アプローチ

さらに上のレベルとして、コミュニケーション、関係構

築、財務的な判断、リスクマネジメントなど、一連のビジ

ネス志向の能力がある。

『IDC/McAfee InfoBrief Security Integration and Automation:

The Keys to Unlocking Security Value』（IDC

#EUR145302619）によると、セキュリティに対する認識は良い

方向に変化している。2017 年に実施した IDC Security Policy

Survey, 2019（n = 702）では、49％の企業がセキュリティをブ

ロッカー（阻害要因）と見なしていた。しかし 2019 年には、63％の企業がセキュリティを効率性のイネーブラ

ー（促進要因）として、あるいは競争優位性の要因として認識している。

IDC の調査から、ビジネス関係者におけるセキュリティに対するネガティブな認識が打ち破られ、CISO が目

標として発達させるべき一連の特性が明確になった点で、セキュリティが進歩していることが分かる。しかし、

このような方向への進歩を実証するためには、具体的にどのようなステップを実行すればよいのだろうか? 本

レポートでは、セキュリティ部門が自分自身をベンチマークする対象として、成熟度の 3 つのレベルを示す。さ

らに IDC の調査を基に、ビジネス上のメリットを提示する。

セキュリティ変革に向けた IDC のブループリント

セキュリティは、次々と発見される脅威ベクトルおよび脆弱性への対策として新しいテクノロジーを導入／統

合することを重視し、技術的な分野として進化した。その結果、セキュリティ運用には内向きの傾向がある。お

そらくこれを端的に表しているのが、セキュリティ部門で最も多く計測されている主要業績評価指標（KPI）で

ある。

主な統計データ

»セキュリティはすでに進歩している。63％

の企業がセキュリティをイネーブラー（促

進要因）として認識している。

»統合型セキュリティ管理を導入すると、セ

キュリティ部門が週あたり平均 2.8 日を節

約可能になる。

»セキュリティ統合による最大の成果とし

て、1) より迅速なレスポンス、2) より効果

的なレスポンス、3) 脅威インテリジェンス

の共有促進がトップ 3 に挙げられている。

» 62％の企業がセキュリティ自動化の利用

拡大を計画している。

»統合によってセキュリティ自動化イニシア

ティブのインパクトが強化されると回答し

た企業は 88％に上っている。

»セキュリティ自動化による最大のメリット

は、1) 効率の向上、2) 時間の節約、3) コストの節約である。

»セキュリティ自動化の主な対象分野として

は、1) ソフトウェア更新、2) 既知の脅威

の発見、3) コンプライアンス違反ワークロ

ードの発見、4) デバイスおよびワークロ

ードへの新しいポリシーのプッシュが挙げ

られている。

要約

IDC #EUR146102020 Page | 2

セキュリティのビジネスインパクトを運用有効性で実証

ヨーロッパで活動する 750 人以上のセキュリティ責任者を対象に IDC が実施した調査によると、2019 年に

多く使われたセキュリティ KPI のトップ 10 は、3 つを除いてすべて、イベント発生件数、既知の脆弱性件数、

インシデントの検知／解決までの平均所要時間などの「古典的」なセキュリティ指標である。

いずれもセキュリティ運用における重要なテーマであるが、事業部門おいてはほとんど意味がない。それば

かりか、これらの指標だけを重視していると、ビジネス目標に合致したセキュリティではなく、セキュリティの有

効性を実証するための段階的な改善に注力している現状が、いつまでも続くことになる。実際、このアプロー

チは、セキュリティをビジネスとは別に扱う文化を助長する事例の証拠である。

これは、セキュリティにおけるビジネスの現実を追求する方向性とは正反対である。セキュリティとビジネスの

結び付きが、企業および経営者による目標達成への重要なイネーブラーであると実証することで、セキュリテ

ィ責任者が自らの役割や影響力を高めることでがきると考えると、特にそうである。

IDC は、セキュリティ部門と CISO がこの好機を有利に活かせるよう支援するため、3 ステップのブループリン

トを開発した（Figure 1 を参照）。このブループリントは、セキュリティに対するビジネス成果志向のアプローチ

の構築を望むセキュリティ部門のためのロードマップとなる。さらに、セキュリティ部門が自社の置かれている

状況を市場と対照比較するためのベンチマークとしての役割も果たす。ヨーロッパのセキュリティ責任者 750

人以上を対象とする IDC の調査では、市場の 40％がステージ 1、38％がステージ 2、22％がステージ 3 に

位置付けられている点に留意されたい。

FIGURE 1 セキュリティ変革への 3 ステップのブループリント

Source: IDC, 2020

セキュリティにおけるオペレーショナルエクセレンス

IDC #EUR146102020 Page | 3

セキュリティのビジネスインパクトを運用有効性で実証

FIGURE 2 セキュリティ能力の向上を阻害する主な要因

Q. 貴社の IT セキュリティ能力の向上を妨げている要因は、どれだとお考えですか? 各項目について「1 = 妨げていない」から「5 = 非常に妨げてい

る」までの数字で評価してください。

上位 2 つの回答のみ（パーセンテージは、各テーマに対して 4 または 5 と回答した人の割合） Source: IDC and McAfee, 2019

統合

最も多く挙げられた 2 つの主要な阻害要因は、断片化したセキュリティツールが環境に残存していることを表

している。うまく連携しない、複数のポイントソリューションである。セキュリティ担当者がセキュリティツールの

統合と運用に追われ、高価値の業務に集中することができない状況を物語っている。

IDC が 2019 年に実施したヨーロッパのセキュリティ調査で、セキュリティベンダーを選択する際の最大の要

因として「統一されたセキュリティ」（すなわちセキュリティ製品環境の合理化、サードパーティ製品の統合）が

挙げられていたのも、当然のことである。ただし、それ以外にもセキュリティ製品の統合に対する関心の強さ

を示す、より広範なエビデンスがある。IDC/McAfee InfoBrief で指摘されているように、次のように複数のメリ

ットがある。

統合型セキュリティ管理システムを採用した場合、セキュリティ部門が週あたり平均 2.8 日を節約でき

るようになる（5.6 人の FTE（フルタイム当量）が週 37.5 時間勤務する場合）。

統合型セキュリティ環境に期待されるメリットのトップ 3 は、より迅速なレスポンス（36％）、より効果的

なレスポンス（35％）、脅威インテリジェンスの共有が促進されること（29％）である。

エンドツーエンドのセキュリティ管理アプローチを採用した場合、場当たり的なアプローチを採用して

いる同業他社と比べて、先へ進んだ情報セキュリティだという自信を持つ確率は 4 倍大きい。

IDC #EUR146102020 Page | 4

セキュリティのビジネスインパクトを運用有効性で実証

自動化

FIGURE 3 セキュリティ管理を自動化した場合に期待される成果

Q. セキュリティ管理の自動化を今後も続けたい／さらに増やしたい理由は何ですか?Source: IDC and McAfee, 2019

セキュリティ環境の統合が進むと、セキュリティタスクやプロセスの効果的な自動化を推進する機会が生じ

る。これら 2 つの概念を組み合わせることの重要性は、IDC の調査結果からも裏付けられている。統合によ

って得られるメリットが、自動化によって増幅される。InfoBrief で報告されているように、62％の企業がセキュ

リティ自動化の利用をさらに増やす計画であり、88％の企業が、統合はセキュリティ自動化イニシアティブの

インパクトを強化すると回答している。

統合と同様、セキュリティの自動化によって得られるビジネス上のメリットが複数あることが、調査結果から読

み取れる。おそらく当然のことではあるが、セキュリティ自動化の利用拡大を検討している企業が、これらのメ

リットを「伝統的な」（技術的／セキュリティ運用上の）期待事項よりも優先している点は興味深い。Figure 3

に、上位 4 つのメリットを示す。

FIGURE 4 セキュリティ管理の自動化の対象となる主なタスク

Q. セキュリティ管理タスクを自動化する対象となる、主な優先分野はどれですか?Source: IDC and McAfee, 2019

これらが自動化の主な理由であるとすれば、その次の問題は明らかに、どの分野を自動化するかである。

Figure 4 に、IDC の調査で浮上した 4 つの主要テーマを示す。

外面化

IDC/McAfee InfoBrief で明らかになったように、セキュリティソリューションの自動化ツールの導入に関して

は、場当たり的なアプローチからエンドツーエンドスイートまで、成熟度に違いが見られる。企業によって成熟

度はまちまちだが、どの企業も統合と自動化のメリットを活かすにあたって、外部の専門企業と共同作業する

機会があるのが普通である。ただし、この分野でイニシアティブを開始する際は、検討すべき課題があること

を忘れてはならない。

セキュリティ部門および購買担当者は、統合／自動化プロジェクトによって潜在的にベンダーロックインが生

じるのを避けるか、少なくとも軽減するよう注意する必要がある。きちんと連携するテクノロジーの採用や、サ

効率性の向上

低価値のタスク

に費やす時間の

短縮

時間の

節約

コストの

節約

セキュリティソフトウェア

更新の自動化

コンプライアンス違反のデバ

イスおよびワーク

ロードを自動的に発見

既知の脅威を自動的に

発見

デバイスおよびワーク

ロードへの新しいポリシー

のプッシュ

IDC #EUR146102020 Page | 5

セキュリティのビジネスインパクトを運用有効性で実証

ードパーティ統合によるセキュリティ製品環境の合理化を追求する「統一されたセキュリティ」のような原則

は、ほとんどのセキュリティベンダーが価値命題の中心としている。しかし購買担当者の立場では、唯々諾々

とベンダーのクロスセールスに従うのではなく、そういった概念がどのようにユーザーの利益になるのかをサ

プライヤー候補に問いただす必要がある。

セキュリティ部門および購買担当者が、次の 3 つの重要な基準によってパートナー候補を審査することを

IDC は推奨する。

第一に、ベンダーのポートフォリオ製品は、どの程度うまく相互に連携するか?

第二に、セキュリティベンダーは最低でも、統合された複数の自社製ソリューションが全体としてどの

ように連携するかを示す必要がある。

第三に、当然のことに思えるが、M&A による市場統合は、必ずしも「ネイティブ」統合エクスペリエン

スの提供を意味しない。

どのベンダーも単独では、あらゆる顧客ニーズをすべて満たすことは不可能である。それがセキュリティ製品

市場の現実である。つまり、セキュリティ製品環境は本質的にマルチベンダーである。したがって購買担当者

は、ベンダーがどのようにサードパーティ製品との統合に対応しているかを確認する必要がある。ベンダーは

最低でも、買い手の企業（またはそのパートナーのシステムインテグレーター）が複数のツールを連携させる

ためのインターフェイスを提供し、API により自社製品を統合可能にしていることを実証する必要がある。

プロバイダーが少なくとも、関連する市場セグメントの最も戦略的なパートナーに関して「ネイティブ統合」を実

証することができれば理想的である。しかし、実際のセキュリティ製品ベンダー市場の複雑性や多様性を考え

ると、より現実的な要件として、オープン標準に対するベンダーのコミットを確認するのが妥当である。市場の

みならず、ベンダー1 社のポートフォリオでさえ多様性がある。したがって、ベンダーロックインのリスクを最小

化しながら「一枚ガラス」のような統合エクスペリエンスを実現するための最強の選択肢は、オープン標準お

よび統合コミュニティということになる。

結論

セキュリティ部門、特にセキュリティ責任者が、ビジネス成果に及ぼすセキュリティのインパクトを理解し、実証

して全社的な影響力を高めていく必要があることは明らかである。セキュリティ変革に関する IDC のブループ

リントで示されているように、企業によって手法や成熟度は異なるが、ほとんどの企業にとって、セキュリティ

環境におけるオペレーショナルエクセレンスの実現に努めることが第一歩となる。

セキュリティのオペレーショナルエクセレンスへの変革プログラムを成功に導く 3 本の柱は、統合、自動化、

外面化である。コストの削減、運用効率、時間の節約、スタッフの定着／活用を中心にビジネス成果を高め

る、エビデンスに裏付けられた機会の利用である。

これらのメリットをどのような分野で、どのように実現するかについて、詳細は『IDC/McAfee InfoBrief

Security Integration and Automation: The Keys to Unlocking Security Value （IDC #EUR145302619）』

を参照されたい。

アナリストの紹介

スポンサーからのメッセージ

セキュリティの変革はホットな話題であり、ほとんどの環境で統合および自動化の推進がオペレーショナルエク

セレンスの向上に役立つことは、疑いようのない事実である。しかし、統合および／または自動化のメリットを

実現するのは、言葉で言うほど簡単なことではない。

企業は、オープン標準を採用しているベンダー、つまり、セキュリティソリューションへのプラットフォームアプロ

ーチだけでなく、ベンダーロックインや単一ベンダーへの依存性のないプラットフォームの提供を積極的に模索

し、必要に応じて独自のソリューションを購入することのできるベンダーと共同作業をする必要がある。あらゆ

る隣接市場で最高のソリューションを提供可能な単独のベンダーは存在しない。したがって、提供元に関わら

ず最高のソリューションにアクセスし、それでもなお、残りのセキュリティ資産との統合が可能になる方法を検

討する必要がある。複数のソリューションに広がる形で、可視性や構成能力を提供する単一の管理コンソール

によってこれを実現できれば理想的である。

IDC/McAfee InfoBrief 全文（http://www.mcafee.com/epo-idc-research）を読み、さらに詳しい情報を確認す

ることをお勧めする。

Dominic Trott、European Security and Privacy リサーチディレクター

Dominic Trott は IDC の European Security and Privacy 分野のリサーチディレクターである。ア

ナリストチームのマネージャーを務めると同時に、IDC の European CISO アウトリーチプログラ

ムを担当し、IDC の European CISO Advisory Board および European CISO Hub パネルの議

長を務めている。CISO が果たす役割の進化、セキュリティによるビジネス成果のサポート、統合

／自動化／オーケストレーションによるセキュリティの効率化、トラストの未来など、ヨーロッパの

セキュリティ実務家が直面している主な課題が Trott の注力対象である。

About IDC

International Data Corporation (IDC) is the premier global provider of market intelligence, advisory services, and events for the information technology, telecommunications, and consumer technology markets. IDC helps IT professionals, business executives, and the investment community make fact-based decisions on technology purchases and business strategy. More than 1,100 IDC analysts provide global, regional, and local expertise on technology and industry opportunities and trends in over 110 countries worldwide. For 50 years, IDC has provided strategic insights to help our clients achieve their key business objectives. IDC is a subsidiary of IDG, the world's leading technology media, research, and events company.

IDC UK

5th Floor, Ealing Cross, 85 Uxbridge Road London W5 5TH, United Kingdom 44.208.987.7100 Twitter: @IDC idc-community.com www.idc.com

Global Headquarters

5 Speen Street Framingham, MA 01701 USA P.508.872.8200 F.508.935.4015 www.idc.com

Copyright and Restrictions

Any IDC information or reference to IDC that is to be used in advertising, press releases, or promotional materials requires prior written approval from IDC. For permission requests contact the Custom Solutions information line at 508-988-7610 or permissions@idc.com. Translation and/or localization of this document require an additional license from IDC. For more information on IDC visit www.idc.com. For more information on IDC Custom Solutions, visit http://www.idc.com/prodserv/custom_solutions/index.jsp.

Copyright 2020 IDC. Reproduction is forbidden unless authorized. All rights reserved.