国をあげてDXの重要性が叫ばれているなか、DX推進に意欲的な日本企業が増えてきました。一方で、DX推進にはITの活用が欠かせませんが、IT活用と同時に増えるのがセキュリティリスクです。DXの本質は、デジタルテクノロジーを活用して社会をより良いものにすることです。DXを進めることによって、不用意に消費者をセキュリティリスクにさらすことは避けなければいけません。企業は、DX推進に伴うセキュリティリスクについて把握するとともに、対策を講じて消費者を守る責任があります。
ここでは、DX推進に伴うセキュリティリスクと対策について、必要な考え方やポイントを説明します。
DXの推進とセキュリティリスク
昨今のIT環境においては「クラウド」が普及しており、DXを推進する際も多くのクラウドサービスを利用することが考えられます。
経済産業省が公開しているDXレポート 2.1においても、デジタル社会の実現に向けて求められるデジタル産業の構造について、次のように記載されています。
「市場との対話の中で迅速に変化する必要性や、1社で対応できない多様な価値を結びつける必要性から、固定的ではないネットワーク型の構造となる」
引用元:DXレポート2.1(PDF)|経済産業省 デジタル産業への変革に向けた研究会
DX推進により激化する市場変化へ迅速に対応するには、クラウド技術が有効であることが示唆されています。
またDX推進により、ITを活用する場、データが存在する場、データにアクセスする場や端末などが増えていきます。これは、セキュリティリスクの発生するポイントが増加することを意味します。
さらにDXによって、働き方改革やBCP対策としてのテレワーク導入が進むことも期待されており、テレワークの普及によって、アクセスする端末や場所がいっそう多様化します。
DX推進に伴い、以上のような環境の変化が想定されます。その一方で、従来のセキュリティ対策ではその変化に対応しきれないという問題があります。DXを推進するなら、セキュリティ対策の対象範囲を広げ、強化する必要があるのです。
このあと、DX推進により生じるセキュリティリスクについて、押さえておきたい基礎知識を紹介します。
セキュリティリスクはどこにあるのか
クラウドサービスが普及するにつれて、従来のOSやソフトの脆弱性などを悪用したサイバー攻撃に加え、昨今はエンドポイント(Endpoint)をターゲットにした攻撃が増えています。エンドポイントとは、ネットワークに接続されたサーバーやパソコン、スマートフォンなどの機器や端末を指します。DX推進に伴い、企業のネットワークに接続するエンドポイントは増加し、かつ多様化することが考えられます。テレワークなどで使用する私物の端末では、セキュリティ対策は個々のユーザーのリテラシーに頼ることになり、十分な対策がなされないケースも考えられます。
中小企業も攻撃の対象
サイバー攻撃の対象となるのは、企業の業種・業態・規模などは関係ありません。中小企業でも非営利団体でもターゲットになりえることを理解しなければいけません。
特に中小企業は、サプライチェーン攻撃の対象として狙われやすい存在です。サプライチェーン攻撃とは、大企業のグループ会社や取引先をターゲットにサイバー攻撃を行い、そこを足がかりにして本命である大企業に侵入する手口です。強固なセキュリティ対策ができていない中小企業が多く狙われています。事例を2件紹介します。
- 自動車部品メーカーの場合
2022年2月、国内の自動車部品メーカーである中小企業がランサムウェアの被害にあいました。そこから取引先である自動車メーカーへの攻撃を食い止めるため、自動車部品メーカーではサーバーをすべて停止し、生産をいったんストップさせました。
自動車メーカーへの攻撃を食い止めることはできましたが、生産をストップしたことによる損失が発生しました。
- 電機メーカーの場合
2020年1月、国内の電機メーカーから保有する機密情報や個人情報の漏えいが発覚しました。海外にある関係会社へのサイバー攻撃が発端で、典型的なサプライチェーン攻撃です。
攻撃者はネットワークをたどって本社である電機メーカーまでたどり着き、不正アクセスに成功しています。漏えいした情報には防衛省に関連するものもあるとされ、大きな問題になりました。
攻撃者
サイバー攻撃を行っているのは、金銭目的の犯罪グループ、政治目的の団体、国家などさまざまです。被害にあう企業とは直接関係がない攻撃者も多くいます。
そのため、被害を避ける方法はセキュリティの強化しかありません。
攻撃の種類は
主に次のような種類のサイバー攻撃があります。
- ランサムウェア
端末のデータや画面をロックして操作できなくしておき、データの復旧や流出防止と引き換えに身代金を要求するサイバー攻撃です。
- 標的型攻撃
特定のターゲットから機密情報などを詐取するための攻撃です。
- サプライチェーン攻撃
サプライチェーンの関係性を利用し、セキュリティの強固な大企業ではなく、子会社や取引先などをターゲットとして侵入していく攻撃です。
- ビジネスメール詐欺
なりすましメールをビジネスアカウントに送信し、金銭を詐取する攻撃です。
- 内部不正による情報漏えい
社員や元社員などの関係者による情報漏えい、情報の悪用です。
- 不正ログイン
不正に入手したIDとパスワードで、正当なユーザーになりすましてログインし、情報を詐取したり不正な操作を行ったりする攻撃です。
- 脆弱性対策情報の公開に伴う悪用増加など
公開された脆弱性対策情報を利用し、対策していないユーザーを狙う攻撃です。
参考:情報セキュリティ10大脅威 2021|IPA 独立行政法人 情報処理推進機構
DX推進に必要なセキュリティの考え方
DXを推進しながらセキュリティ対策を行うときに重要な概念が、「ゼロトラストセキュリティ」と「エンドポイントセキュリティ」のふたつです。
ゼロトラストセキュリティ
ネットワークへのすべてのアクセスや端末を「信頼できないもの」として対策を講じる考え方です。従来のように「ネットワークの内側だから安全」「社員のIDだから安全」と考えてそのままアクセスを許すのではなく、すべてのアクセスに対して同じようにセキュリティ対策を行います。
具体的な対策としては、2段階認証や多要素認証による認証の強化、通信の暗号化、アクセスや動作のモニタリングとログ保存などが挙げられます。
エンドポイントセキュリティ
従来のセキュリティ対策は、社内ネットワークとインターネットとの境界線で防御する「境界型セキュリティ」が一般的でした。
しかし、クラウドサービスが普及している昨今、重要なデータは社内だけでなく社外にも保管されています。またDX推進により、エンドポイントの種類も数も増えることになります。
以上のことから、従来の境界型セキュリティでは十分な対策とはいえないのです。
そこで必要とされるのがエンドポイントセキュリティ、つまり、エンドポイントである端末と、その内部にあるデータやアプリケーションを保護するという考え方です。
エンドポイントセキュリティでは、データや操作のモニタリング、記憶媒体の自動暗号化など、基本的な対策を講じたうえで、例えば次のようなツールを併用します。
- EPP(Endpoint Protection Platform)
パターンマッチング方式を利用したアンチウイルスソフトです。エンドポイントで既知のマルウェアを検知し、サイバー攻撃の侵入を防ぎます。
- EDR(Endpoint Detection and Response)
「エンドポイントでの検知と対応」です。エンドポイントを監視して不審な挙動をするアプリケーションやアクセスを発見したり、サイバー攻撃の侵入を検知したりします。侵入されても被害を最小限に抑えるためのツールです。
- NGAV(Next Generation Antivirus)
「次世代アンチウイルス」ともいわれ、機械学習やふるまい検知により、未知のマルウェアを検知します。
DXとセキュリティ強化は同時に行う
DXの推進に比例してリスクは増加します。また、前述のとおりDX推進によりこれまでのセキュリティ対策では防ぎきれないようなリスクも考えられます。
十分なセキュリティ対策を講じないまま、あるいは古いセキュリティ対策のままで、DXだけ先に進めようとするのは非常に危険です。
DXの推進とセキュリティの強化は同時進行する必要があります。
安心してDXを推進するために押さえておきたいセキュリティのポイント
DXを推進するために押さえておきたいセキュリティのポイントを紹介します。
意識しておきたいセキュリティ対策
DXを安心して推進するために、次のような対策を確実に実行しましょう。
- ID管理の徹底
社員が業務に利用するシステムやサービスの、IDやパスワードなどの情報を適切に管理することは、セキュリティの基本であり、ゼロトラストセキュリティにおいても必須です。一方で、あらゆるアクセスに認証が必要であったり複雑な管理があったりすると、業務効率の低下につながり、ビジネスにマイナスの影響を与えかねません。そのため、セキュリティの強化とユーザー・管理者の利便性の両立が求められます。
- データガバナンス
データガバナンスとは、データを効率的に活用するため、適切に管理する取り組みです。情報漏えいや不正アクセスを防ぐために必要です。例えば、全社共通のデータの運用規則を制定し、遵守させることが挙げられます。
- ワークロード管理
システムの負荷を把握し、パフォーマンスを最適化するための管理です。例えば、クラウドサービスの利用状況や設定状況を把握し、適切に管理します。
- 運用管理
システム設計の段階から、セキュリティ対策の運用管理の方法を規定しておきます。例えば、「日々の管理でインシデントや脆弱性の発見について情報を収集し、対応する」といった方針を決めます。
DX担当とセキュリティ担当の連携
DX推進を担当するのは、経営者や管理職、情報システム部門、各業務部門などさまざまでしょう。一方、セキュリティを担当するのは多くの場合、情報システム部門ではないでしょうか。
DXによりセキュリティリスクが増大すると、情報システム部門など特定の部門だけで対策をすることが困難になります。作業量が非常に多く、範囲も多岐にわたるため、下記のようにセキュリティツールを導入して自動化することをおすすめします。
- DX担当や現場スタッフなどへのセキュリティ教育と社内ルールの策定・周知の2点をシステム化する
- セキュリティ対策と端末管理は、できるだけツールを利用して自動化する
- セキュリティツールで、アクセス管理、アクセスログや操作ログ、認証ログの保存・管理などを行う
セキュリティ対策を効率化するとともに、普段からDX推進担当と情報を共有し、連携を密にしておくことが大切です。また、サイバー攻撃の前兆など不審な点があれば、現場のDX担当はすぐにセキュリティ担当に連絡するよう取り決めておくとよいでしょう。
DX推進と同時にセキュリティ対策を強化しよう
DXでは多くのデジタルツールを導入し、業務フローや企業全体を変革します。それに合わせて、セキュリティリスクも増大していくことを理解しておかなくてはいけません。安全にDXを進めるには、セキュリティ対策の範囲を広げてエンドポイントでのセキュリティを強化する必要があります。また「ゼロトラストセキュリティ」を基本的な考え方として導入することも大切です。 DX推進に集中するあまり、セキュリティ対策が後回しになっていては、サイバー攻撃を防げずに、重大な事態に陥る可能性もあります。そうなると、DX推進の流れを止めてしまうことにもなりかねません。DX 推進と同時にセキュリティ強化も進行させることを念頭において対策を講じていきましょう。
関連するサービス
VPNとは?ノーログ方式を採用し、高セキュリティで専門家からも高い評価【NordVPN】
