DX推進にはITの活用が不可欠であり、それに伴いセキュリティリスクも増加します。そこでDX推進と並んで求められるのが、サイバーセキュリティの強化です。企業・自治体などの組織や個人として、適切なサイバーセキュリティの対策を講じることで、セキュリティリスクの軽減につながります。しかし、「具体的に何から取り組むべきか?」「そもそも、本当にサイバーセキュリティを強化する必要があるのか?」と、セキュリティ対策に着手できずにいる経営者や事業主の方も多いのではないでしょうか。
本記事では、DX推進におけるサイバーセキュリティの意味や重要性、サイバーセキュリティを理解するうえで役立つ2つの考え方、具体的な対策、取り組む際のポイントについて解説します。
サイバーセキュリティとは?
サイバーセキュリティとは、情報の機密性・完全性・可用性を確保するための取り組みや技術全般です。ここでの「機密性」は認証された人のみにアクセスが限定される状態を意味し、「完全性」は破壊や改ざんのない状態、「可用性」は中断なくアクセス可能な状態を指します。
サイバーセキュリティ対策の目的は、インターネットやコンピュータを安心して利用するために、大切な情報の漏えいやデータの破壊、サービスの利用不能を防ぐことです。
DX推進におけるサイバーセキュリティの重要性
2015年に内閣サイバーセキュリティセンター(NISC)が発足し、国をあげてのサイバーセキュリティ強化が進められていますが、なぜここまで重要視されているのか気になるのではないでしょうか。DX推進におけるサイバーセキュリティの重要性の高まりには、明確な理由があります。
ここでは、サイバーセキュリティを強化しない場合のリスクと、セキュリティ関連の事件や出来事(セキュリティインシデント)について解説します。
DX推進でサイバーセキュリティを強化しないリスク
DX(デジタルトランスフォーメーション)の本質は、「デジタル技術を活用し、社会や人々の暮らしをより良いものにすること(*)」です。そのため、利用者をセキュリティリスクにさらすことは避けなければなりません。DX推進するうえでサイバーセキュリティを強化しないと、組織や個人にとって次のようなリスクが懸念されます。
- 個人情報の漏えい
- 刑事罰や損害賠償を被る
- 社会的な信頼を失う
- 事故発生時の対応に時間や費用がかかる
- ビジネス活動が停止し、機会損失が発生する
情報の改ざんや漏えいなどの事故や事件につながる可能性があり、企業にとって大きな損失をもたらす恐れがあります、企業はDX推進に伴うセキュリティリスクを把握し、対策を講じる責任があるといえるでしょう。
昨今のセキュリティインシデントの増加
DX推進時にサイバーセキュリティが重要視されるようになった背景には、昨今のセキュリティインシデントの増加があります。セキュリティインシデントとは、情報セキュリティに関する事故・攻撃・事例のことです。
セキュリティインシデントには、マルウェア感染・不正アクセスなどのサイバー攻撃のほか、記録媒体の紛失・自然災害・設備不良・内部不正なども含まれ、組織や個人の安全を脅かし、事業運営に影響を及ぼす可能性があります。
警察庁の広報資料によると、2022年(令和4年)のランサムウェア被害報告件数は230件となっており、前年の1.5倍へ増えていることが分かります。
被害は企業・団体を問わず広い範囲に及び、自動車関連企業では生産・販売停止、医療機関では電子カルテシステムの障害で手術や受診停止など、経済活動や国民生活への影響が見られます。
中には、システムの復旧に2か月以上かかったり、5,000万円以上の費用を要したりと、甚大な被害が確認されている事例もあります。
DX推進に求められるサイバーセキュリティの2つの考え方
サイバーセキュリティは専門的な領域ではありますが、次の基礎的な考え方を念頭に置いておくことで、理解しやすくなるはずです。ここでは、DX推進に求められるサイバーセキュリティの2つの考え方をご紹介します。
ゼロトラストセキュリティ
ゼロトラストセキュリティは、すべてのアクセスや端末を信頼できないものとして扱い、セキュリティ対策を適用する考え方です。
クラウドサービスの普及やモバイル端末の活用、テレワークの増加により、企業システムの「社内」と「社外」の境界が曖昧になっており、境界型セキュリティでは情報資産を守ることが難しくなっています。
ゼロトラストモデルは、これらのセキュリティリスクを解消するために注目されています。具体的な対策としては、2段階認証や多要素認証、通信の暗号化、アクセスや動作のモニタリングとログ保存などがあげられます。
エンドポイントセキュリティ
エンドポイントセキュリティは、インターネットや社内LAN、仮想環境下の末端に接続された端末をサイバー攻撃から保護するためのセキュリティ対策です。ひと言でいうと、「端末に対するセキュリティ」です。エンドポイントセキュリティでは、データや操作のモニタリング、記憶媒体の自動暗号化など基本的な対策を行い、さらにEPP・EDR・NGAVなどのツールを併用します。
EPP:パターンマッチング方式やヒューリスティック方式を用いたアンチウイルスソフト。既知のマルウェアを検知して攻撃を防ぐ
EDR:エンドポイントを監視し、不審な挙動や侵入を検知し、被害を最小限に抑えるための対応を行うツール
NGAV:機械学習やふるまい検知により、未知のマルウェアを検知する次世代のアンチウイルスソフト
DX推進におけるサイバーセキュリティの対策
DX推進におけるサイバーセキュリティの基本の考え方を理解できたところで、具体的な対策を見ていきましょう。ネットワークセキュリティ・端末セキュリティ・クラウドセキュリティの3つを軸に解説します。
ネットワークセキュリティの強化
ネットワークセキュリティは、端末やクラウドを結ぶネットワークのセキュリティです。従来の企業ネットワークは、オンプレミス(自社運用)の閉じたネットワークであったため、ファイアウォールやIPS・IDSなどの境界型セキュリティが用いられてきました。
しかし現在は、テレワークやハイブリッドワークにより、従業員のパソコンから社外のインターネット環境を経由して社内リソースにアクセスする機会が増えています。境界型セキュリティでは対応できない状況も多く、ネットワークやデバイスの振る舞いからサイバー脅威を迅速に検知する、ゼロトラストセキュリティへの移行が求められています。
具体的な対策は、多要素認証を取り入れることです。多要素認証とは、知識情報・所持情報・生体情報から複数の要素を組み合わせた本人認証であり、パスワードや秘密の質問、端末認証、指紋やフェイス認証などがその例です。多要素認証は、承認作業を2回繰り返すだけの2段階認証よりもセキュリティを強化できます。
端末のセキュリティ強化
DX推進時に企業が管理すべき端末は、多岐にわたります。IoT機器へのセキュリティ対策やハッキングリスクの管理、テレワーク環境でのノートPCのセキュリティ対策など、異なる要素に対するセキュリティ対策が必要です。端末のセキュリティ強化には、EDR(Endpoint Detection and Response)が有用です。EDRはエンドポイントでの検出と対応を行うシステムであり、ネットワークに接続されたすべての端末やサーバーを監視し、怪しい動きを検出して対処します。
エンドポイントでウイルスを閉じ込めることができ、サイバー攻撃の被害を最小限に抑える効果が期待できます。
クラウドセキュリティの強化
DX時代では多くの業務システムがクラウドへ移行し、マルチクラウドの使用が一般的になってきました。
クラウド上でセキュリティ対策を実施する場合、パブリッククラウドにおけるセキュリティポリシーの対応や、利用時のセキュリティ管理と監視が難しいという課題が存在します。クラウドセキュリティの強化には、SASE(Secure Access Service Edge)のセキュリティモデルを参考にすると良いでしょう。SASEはネットワークを仮想化し、インフラ自体にセキュリティ機能を持たせるセキュリティモデルであり、クラウドセキュリティの強化に適しています。
すべてのアクセスのチェックと承認に加えて、利便性や運用の最適化も包括しており、ゼロトラストとは異なるアプローチを取っていることが特徴です。
DX推進時のサイバーセキュリティの課題
DX推進時によくあるサイバーセキュリティの課題をまとめました。自社での課題と照らし合わせながら参考にしてみてください。
DX推進とサイバーセキュリティへの取り組みのズレ
情報セキュリティ会社のNRIセキュアが実施したセキュリティ実態調査によると、DXに取り組んでいる日本企業の割合は76.5%に達したが、セキュリティ戦略への取り組みはわずか21.7%にとどまる結果となっています。
2019年時点でのDXの取り組みは約30%であり、1年で大きな伸長が見られたものの、セキュリティ対策が遅れているのが現状です。
対応の遅れは、予算や人員が十分に割かれないことにつながるため、意識改革と早急な対応が必要といえます。
出典:企業における情報セキュリティ実態調査2020|NRIセキュア、企業における情報セキュリティ実態調査2019|NRIセキュア
サイバーセキュリティに精通した人材の不足
サイバーセキュリティ強化に必要な人材が不足していることも、課題の一つです。総務省が発表した「サイバーセキュリティ政策の動向」のまとめによると、日本のサイバーセキュリティ人材は「質的にも量的にも不足している」とされています。
また、IT人材全体の需要が拡大する一方で、日本の労働人口、特に若年層は減少が見込まれており、IT人材の需給ギャップが2030年までに最大で約79万人に拡大する可能性があると試算されています。
今後さらに、サイバーセキュリティに精通した人材の確保や、社内での育成が急務となるでしょう。
出典:令和4年版 情報通信白書|セキュリティ人材の育成に関する取組|総務省、 IT 人材需給に関する調査|経済産業省
安全にDXを推進するためのサイバーセキュリティのポイント
セキュリティリスクを避け安全にDXを推進するためには、次の3つのポイントを押さえてサイバーセキュリティ強化に取り組むことが大切です。
現状のセキュリティ対策とのギャップを埋めること
自社で現状行っているセキュリティ対策がある場合は、従来の方法と目指すセキュリティレベルのギャップを埋めることが第一歩となります。ネットワーク・端末・クラウドの各セキュリティについて、まずは現状の課題を洗い出し、対策すべき点を明確にしましょう。
組織全体でセキュリティに対する意識を向上させること
サイバーセキュリティ対策は、情報システム部門など特定の部署だけで対応するものではなく、組織全体でセキュリティに対する意識を向上させることが重要です。DX推進担当とセキュリティ担当が情報共有することや、研修などの社内教育を通して社員のリテラシーを向上させるなど、部署間で連携して取り組む必要があります。
優先順位を決めて取り組むこと
DX推進とサイバーセキュリティ強化は同時に進めることが理想ですが、あらゆる対策を一度に実行するのは現実的ではないため、優先順位を決めて取り組むことがおすすめです。サイバーセキュリティ対策の優先順位を決める際には、ISO27001の基準を参考にすると良いでしょう。ISO27001は、ISMS(情報セキュリティマネジメントシステム)の要求事項を定めた国際規格です。
基本的な情報セキュリティ管理項目を網羅しているため、ISMSに基づいたセキュリティ管理を実施することで、必要最低限のセキュリティ管理を抜け漏れなく実現するのに役立つはずです。
まとめ
サイバーセキュリティは、情報の機密性・完全性・可用性を確保するための取り組みや技術です。DX推進時のサイバーセキュリティを軽視すると、情報の改ざんや漏洩などの事故や事件につながり、企業にとって大きな損失をもたらす恐れがあります。
サイバーセキュリティの基本の考え方である「ゼロトラストセキュリティ」「エンドポイントセキュリティ」を理解したうえで、ネットワーク・端末・クラウドの各セキュリティ対策を実施しましょう。DX推進とサイバーセキュリティ強化を同時に進めるためには、優先順位を決めて取り組むことがおすすめです。組織全体でサイバーセキュリティへの意識を高め、セキュリティを強化しましょう。
コメント