DXで必要な情報セキュリティ対策の3つのポイント|リスクと対策について解説
「DX」はデジタルトランスフォーメーション(Digital Transformation)の略で「データやデジタル技術を使って、顧客目線で新たな価値を創出していくことやビジネスモデルや企業文化等の変革に取り組むこと」と定義されています(経済産業省デジタルガバナンス実践の手引きより引用)。DXはメリットが多くありますが、一方で情報セキュリティリスクが増大する危険もあります。今回はDX推進のためのセキュリティ対策について解説します。
目次
DXの段階
DXにはいくつかの段階があり、デジタイゼーション、デジタライゼーションを経てDX(デジタルトランスフォーメーション)となります。
第1段階 デジタイゼーション(アナログ業務のデジタル化)
国連開発計画(UNDP)の定義では「既存の紙のプロセスを自動化するなど、物質的な情報をデジタル形式に変換すること」とされています。例として従来は紙で行っていた業務を電子化したり、電話やFAXのやり取りをチャットやメールに切り替えたりすることがあげられます。デジタイゼーションによりアナログデータをコンピュータでデジタル処理できるようになり社内での保存や共有がしやすくなります。
第2段階 デジタライゼーション(プロセスのデジタル化)
国連開発計画(UNDP)の定義では「組織のビジネスモデル全体を一新し、クライアントやパートナーに対してサービスを提供するより良い方法を構築すること」と定義されており、第1段階のデジタイゼーションでデジタル化されたデータを用いてビジネスプロセスの効率化や自動化を行います。例としてECサイトによる販売やRPAツールの導入による業務の自動化などがあげられます。
第3段階 デジタルトランスフォーメーション
第2段階のデジタライゼーションをさらに拡張し、ビジネスモデルの変革を図ります。IT技術を活用して新たな領域へ事業を展開したり、既存のビジネスに新たな付加価値をつけたりすることなどです。例としてはサブスクリプションの動画配信サービスやIoT機器を利用したスマートファクトリーなどがあげられます。
DX推進により生じるセキュリティリスク
DXは多くのメリットがありますが、情報セキュリティのリスクもあります。ここではどのようなセキュリティリスクがあるのか解説します。
データの集中、連携による被害の拡大
DXでは多くの企業が大量のデータを集約しクラウドやサーバで保管します。データを一か所に集めておくことは、分析や共有には便利ですが一度攻撃者に侵入されてしまうとデータすべてが被害を受けてしまい、データが分散している場合と比べて被害が大きくなる可能性があります。また、データが分散していてもシステムが互いに連携している場合も注意が必要です。どこか1つのシステムが攻撃され攻撃者から侵入されてしまうと連携しているシステムも攻撃を受けてしまう可能性があります。
攻撃機会の増加
DXではデータの共有、連携のために今までインターネットに接続されていなかった端末がインターネットに接続されたり、社内ネットワークが新たな外部との接点を持ったりします。外部との接点が増えると攻撃者が侵入するための入口が増え、サイバー攻撃を受けるリスクが高まります。 クラウドを利用している場合にも注意が必要です。クラウド自体はクラウドサービスプロバイダによってセキュリティ対策が実施されている場合が多く安全性が高いと考えられます。しかし、社内からクラウドまでの通信が盗聴されたり、クラウドのログイン情報を盗まれて不正にアクセスされたりする危険があります。 また、サプライチェーンなど企業間でデータの共有や連携を行っている場合にはサプライチェーン攻撃のリスクも高まります。
人的ミスの増加
DXに伴い新たな技術やツールを導入する場合に、従業員のトレーニングや経験が不足することで誤操作や設定不備が起こり、情報が流出したりセキュリティホールを生む原因になったりします。また、DXによってシステムが複雑になることで管理が煩雑化し、脆弱性の対応が遅れるなどの管理ミスが起こる可能性があります。
内部不正の増加
DXによって従業員が今までよりもデータへアクセスしやすくなります。データのアクセス権が広がると悪意ある内部者が機密情報を外部へ流出させるリスクが高まります。特にクラウド環境やリモートワーク等では従業員の監視が難しく不正が発生しやすくなります。
関連コラム
このようにDX推進と情報セキュリティ対策は切り離せないものになっています。日本政府もDXとセキュリティは並行して進めるべきとしており、2021年にNISCが策定した「サイバーセキュリティ戦略※1」の中で「デジタル化の進展と併せて、サイバーセキュリティ確保に向けた取組を、あらゆる⾯で同時に推進」と明記されています。サイバーセキュリティ対策はあらゆるデジタル化の前提となるもので、いわば情報セキュリティ対策はDX推進の第0段階といえます。
※1サイバーセキュリティ戦略の概要
https://www.nisc.go.jp/pdf/policy/kihon-s/cs-senryaku2021-gaiyou.pdf
DXの情報セキュリティ対策
DXの推進にあたりどのような対策を行えば良いか解説します。情報セキュリティ対策は「物理的対策」「人的対策」「技術的対策」の3つがあります。それに沿って対策を解説していきます。
物理的対策
物理的対策とはデータの保管場所への出入りを物理的に制限する対策です。部外者が簡単に侵入できない仕組みを作ることで、データの入ったPCやサーバを盗難から守ることができます。例として社内の入退館を管理することや防犯カメラの設置、PCの保管場所に鍵をかけるなどがあげられます。DX事例の中でも特にスマートファクトリーやスマートロジスティクスなどは物理的侵入による攻撃のリスクが高いとされているため、優先的に物理的対策を行うことが望ましいです。
人的対策
人的対策とは従業員のミスや不正を防ぐ対策です。DXで新しいシステムを導入するような場合には、従業員のリテラシー不足や経験不足から、操作ミスや設定不備等が発生し情報漏えいにつながってしまう可能性があります。JNSAの報告書※2によると情報漏えいの約半分は誤送信や紛失等で起こっており、人的対策を行うことが重要であることがわかります。対策例としては従業員教育の実施や標的型メール訓練などリテラシー向上に関わる対策やマニュアルや社内ルール作りのような社内の体制作りなどがあります。
※2 2018年情報セキュリティインシデントに関する調査報告書より引用
技術的対策
技術的対策はハードウェアまたはソフトウェアでセキュリティを強化する対策です。ウイルス対策ソフトの導入やデータの暗号化などがあげられます。技術的対策は多岐にわたりすべてを紹介することはできないため、DXのセキュリティリスクに対する対策の例をいくつか紹介します。
ゲートウェイ対策
外部ネットワークからのサイバー攻撃や、内部からの不正な通信よる情報漏えいなどを防ぐためのセキュリティ対策です。社外と社内のネットワークの境界を通る通信を監視し不正な通信があった場合には通知やブロック等を行います。UTMやファイアウォール、IPS/IDS製品などが該当します。DX推進で新たに社内ネットワークから社外ネットワークへ接続する場合などは導入が推奨されます。
エンドポイント対策
PCやスマートデバイス、サーバ等をウイルス感染や不正アクセス、不正利用から守る対策です。エージェントソフトを端末にインストールして利用するものが一般的です。ウイルス対策ソフト、EDRのようなウイルス等の脅威から防御するものや資産管理ソフト、MDM(Mobile Device Management)などの内部不正の防止や脆弱性の管理を行うものもあります。DXでは内部不正が増加するリスクがあることから資産管理ソフト、MDMの導入が推奨されます。
クラウド対策
クラウド利用時の盗聴や不正利用をされることを防ぐ対策です。対策として通信の暗号化やアクセス管理ツール、多要素認証の導入などがあります。DX推進に伴いクラウドを利用する場合には導入が推奨されます。
まとめ
DXでは新システムの導入に気を取られてセキュリティ対策は二の次になりがちです。ですが、セキュリティ対策を怠ると情報流出や業務停止を招く可能性があります。セキュリティ対策を確実に行い安心してDXを勧められる体制を整えましょう。