DX化に向けたセキュリティ対策の重要性|今後の課題や対策

DX化に向けたセキュリティ対策の重要性|今後の課題や対策

dx化によって企業のセキュリティリスクは高くなる恐れがあるとご存じですか?

この記事では「DX化におけるセキュリティ対策」について解説します。

結論、企業はDX化と合わせて、セキュリティ対策も同時に進めていかなければいけません。

DX化だけを進めようとしてしまえば、リスクが高まる一方です。

その他にも「サイバーセキュリティの体制を構築する方法」についても解説するので、DX化を検討している企業は、ぜひセキュリティについても検討してください。

また「不正アクセスの事例」について知りたい方は、こちらで解説を行っていますので、ぜひ確認してみてくださいね。

DXにおけるセキュリティの重要性

DXにおけるセキュリティの重要性

2020年代からよく知られるようになった「DX化」ですが、DX化にはセキュリティにおける大きな問題点があります。

それが、データの集約が難しい点です。

昨今では、IoT やクラウド化、デバイスの進化によってさまざまな場所からのデータの収集・保存・分析を行っています。

そのため、それぞれの場所でセキュリティ対策を行う必要があるのです。

ただ、すべての場所においてセキュリティ対策を行うとなれば、人材も必要になりますし、すべてを管理できるようなシステムやツールなども必要になります。

DX化でとくに懸念されるリスク

DX化でとくに懸念されるリスク

DX化でとくに懸念されるリスクとしてあげられるのが、以下の2つです。

  • 情報漏洩
  • データ破損

トレンドマイクロ社が2021年に発表したセキュリティインシデントによってもたらされた被害は、以下のような順位になっています。

  • 業務提携先に関する情報の漏洩…36%
  • 技術情報に関する漏洩…29.7%
  • データ破壊・損失(ランサムウェア以外)…28.8%
  • 従業員に関する個人情報の漏洩…26.1%
  • 顧客に関する個人情報の漏洩…22.5%

DX化は情報の出入りが激しくなり、範囲も拡大します。

その分、情報漏洩の可能性も高まると言えるでしょう。

DX化によるセキュリティへの弊害

DX化によるセキュリティへの弊害

DX化の導入は、企業の未来にとって必要なものです。

しかし、DX化によるセキュリティへの弊害もあります。

  • 管理工数の増加
  • セキュリティが追い付かない

それぞれの理由により、DX化を行ったとしても、セキュリティレベルの低下が考えられます。

なぜDX化でセキュリティレベルが低下してしまうのかについて、以下で解説します。

管理工数が増える

DX化を進めていくと、その分セキュリティ範囲が広がり、管理工数が増えます。

複数システムの連携が前提となるDX化では、管理工数の手間は避けられません。

しかし、一つひとつのセキュリティ対策を万全にしようとすると、DX推進に向けたリソースが奪われてしまいます。

結果的に「DX化推進のためのセキュリティ強化が原因でDX化が進まない」といった、矛盾が起きてしまう可能性があるのです。

セキュリティが追い付かない

DX化のセキュリティ強化におけるスピードが追い付かない可能性もあります。

一般的に、セキュリティ強度をあげるための対策は、通信やデータ処理の負担になりやすいからです。

そのため、スピードや利便性が重視されるDX化では、セキュリティ対策が追い付かないケースがよくあります。

とくにモバイル端末は攻撃の標的になりやすく、大きなリスクを抱える形になってしまうのです。

DX時代に考えるべきセキュリティ問題

DX時代に考えるべきセキュリティ問題

DX時代に考えるべきセキュリティ問題として、以下の2つがあります。

  • クラウド利用によるリスク
  • セキュリティ対策範囲の拡大によるリスク

企業は、2つの問題点について考えておかなければいけません。

DX化導入において、必ずぶつかる壁と言っても過言ではないからです。

以下では、どのような問題となるのか解説します。

クラウド利用によるリスク

DX化において、クラウドの導入は必要不可欠と言っても過言ではありません。

2022年現在では、ほとんどの企業がクラウドサービスを利用しており、従来のようにデータを社内に保管している企業は少なくなりました。

しかし、クラウドを利用するということは、社外にデータを保存しているということです。

当然クラウドサービス側でもセキュリティ対策を講じていますが、自社でのコントロールができません。

クラウドサービス側に依存してしまうため、障害などが発生した場合には、自社にも影響が及んでしまいます。

セキュリティ対策範囲の拡大によるリスク

DX化の一つとして、リモートワークがあります。

とくに「新型コロナウイルス感染拡大」の影響によって、オフィスに出勤する形から自宅などで業務を行う形へと変化しました。

このような形は、働き方としてはメリットですが、セキュリティ対策としては「セキュリティ対策範囲の拡大」といったデメリットになる面があります。

オフィスにあるパソコンだけではなく、従業員それぞれが使用しているパソコンやモバイル機器などの対策も行わなければいけなくなったのです。

DX時代のセキュリティ対策

DX時代のセキュリティ対策

DX化導入に向けてのセキュリティ対策として、以下5つを考えておきましょう。

  • システムやツールを使った対策
  • リモートツールへの対策
  • 人的リスクへの対策
  • ソフトウェアへの対策
  • 導入ツールのセキュリティ対策

DX化の導入において、それぞれの対策は必要不可欠です。

以下では、どのようなポイントを重視するべきかについて解説します。

システムやツールを使った対策

システムやツールを使った対策は、DX化推進以前から行われています。

社内のデータを守るためのツールです。

たとえば、ファイアーウォールや不正侵入防御などの対策ソフトがあります。

さらに、Webサイトの改ざんや嬢王漏洩を防ぐためのWeb Application Firewall(WAF)の導入も検討しておくと良いでしょう。

リモートツールへの対策

リモートツールへの対策

リモートワークが主流になっている昨今では、従業員の使用するすべての端末へのセキュリティ対策を行わなければいけません。

プライベートで使用しているパソコンで社内のネットワークにアクセスする可能性もあるため、情報漏洩のリスクが高まります。

そこで行っておくべき対策が、ゼロトラストセキュリティです。

ゼロトラストセキュリティについては後述しますが、すべてのアクセス要求やユーザー、端末を疑うことを基本としているのがゼロトラストセキュリティ。

リモートワークを実施している企業は、セキュリティ対策の一環として検討しておきましょう。

人的リスクへの対策

DX化に限ったリスクではありませんが、情報セキュリティについては人的リスクへの対策も考えておかなければいけません。

企業がどれだけツールを導入してセキュリティ対策を講じても、従業員のセキュリティへの意識が低ければ、情報漏洩などに繋がる危険性があります。

そのため、企業は情報セキュリティに関する育成や研修などを行って、レベルを高めていかなければいけません。

また、万が一サイバー攻撃を受けた際の対処なども検討し、教育する必要があります。

ソフトウェアへの対策

ソフトウェアへの対策

ソフトウェアやツールの情弱性については、しっかり確認しておきましょう。

DX化導入において、様々なソフトウェアやツールを導入した場合、これらの確認は必須です。

たとえば、一部ソフトウェアに情弱性がある場合、サイバー攻撃のターゲットとなってしまいます。

「ソフトウェアやツールのセキュリティは信頼できるものか」「常に最新版にアップデートされているか」などを確認しておきましょう。

導入ツールのセキュリティ対策

DX化によって新たなツールを導入する際は、ツール自体のセキュリティを確認しておましょう。

セキュリティ対策の甘いツールでは、サイバー攻撃から自社を守れません。

たとえば、ファイル等の暗号化ができたり、機能面でセキュリティ対策ができたりするような、多機能の物を選ぶと良いでしょう。

業務を効率化させるためのツールのなかには無料のものもありますが、費用で選ぶのではなく、セキュリティの強度で選ぶようにしましょう。

DX時代のセキュリティで知っておくべきこと

DX時代のセキュリティで知っておくべきこと

DX時代のセキュリティで知っておくべき内容として、以下の2つがあります。

  • ゼロトラスト
  • サイバーセキュリティ経営ガイドライン

DX化導入のセキュリティを高める上で、それぞれについて理解しておくと良いでしょう。

ゼロトラスト

ゼロトラストとは、すべてのアクセスに対して認証を行う方法。

米国の市場調査会社Forrester Research社の調査員ジョン・キンダーバーグ氏が2010年に提唱したセキュリティモデルです。

「あらゆるユーザー、リクエスト、サーバーは信用できない」という考え方に基づいています。

ゼロトラストモデルで構築したネットワークを活用すれば、セキュリティ課題の解決はもちろん、DXや働き方による改革が前進するでしょう。

サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドラインとは、サイバーセキュリティ対策の推進を促すために策定されたガイドラインです。

サイバーセキュリティ経営ガイドラインに記されている経営者が認識すべき3原則は、以下のとおり。

  • 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
  • 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
  • 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

(引用元:サイバーセキュリティ経営ガイドライン Ver 2.0

サイバーセキュリティ経営ガイドラインでは、主に経営者がリーダーシップを発揮してセキュリティにおけるレベルを高めることを推奨しています。

サイバーセキュリティ経営の重要10項目

サイバーセキュリティ経営ガイドラインに記載されている「サイバーセキュリティ経営の重要10項目」を紹介します。

経営者が、責任者となる担当幹部に対して以下の項目を指示するべきとされています。

  • 指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
  • 指示2 : サイバーセキュリティリスク管理体制の構築
  • 指示3 : サイバーセキュリティ対策のための資源(予算、人材等)確保
  • 指示4 : サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
  • 指示5 : サイバーセキュリティリスクに対応するための仕組みの構築
  • 指示6 : サイバーセキュリティ対策における PDCA サイクルの実施
  • 指示7 : インシデント発生時の緊急対応体制の整備
  • 指示8 : インシデントによる被害に備えた復旧体制の整備
  • 指示9 : ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
  • 指示10: 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

(引用元:サイバーセキュリティ経営ガイドライン Ver 2.0

10項目を参考にしながら、セキュリティ問題をどのように解決していくか考える必要があります。

サイバーセキュリティの体制を構築する方法

サイバーセキュリティの体制を構築する方法

サイバーセキュリティのレベルアップについては、社内の体制を整える必要があります。

しかし、体制構築について、どのように進めれば良いかわからない企業も多いでしょう。

以下では、サイバーセキュリティの体制を構築する方法として、2つを解説します。

セキュリティ統括機能

セキュリティ統括機能とは、担当幹部や経営層をサポートする形でセキュリティ対策を行う機能です。

大きく分けると、以下の3つになります。

  • 方針策定
  • 実務(実務支援)
  • 支援

これらのセキュリティ統括機能は、既存のリスクマネジメント機能と区別して検討することが望ましいです。

外部委託との連携

セキュリティ対策の実務は、自社で行うとともに、外部委託も検討しましょう。

外部委託すれば、自社でのリソースをあけられるからです。

自社で必ず実施しなければならないのは、経営判断に直結する分野やリスクマネジメントにあたる分野など。

タスクを明確化したら、外部委託先と連携をとて、責任範囲を明確にしましょう。

DX化はセキュリティ意識も高めなければならない

DX化はセキュリティ意識も高めなければならない

DX化を進めている企業は、セキュリティ意識を持ちながら進めていきましょう。

DX化は業務の効率化につながりますが、同時にリスクも高まります。

ただ効率化だけを考えてしまうと、企業のリスクが高くなり、最悪の場合は大きな信用喪失に繋がってしまうかもしれません。

DX化を検討している企業は、セキュリティに関する危機意識を持ち、会社全体で対策を考えておきましょう。

カテゴリー:
移管記事
タグ:
DX
リスク
サイバーセキュリティ
セキュリティ