ログイン
DX推進で必要なサイバーセキュリティとは?重要性や課題・リスクを解説
DXを推進する上では、サイバーセキュリティの対策も並行して行っていくことが非常に大切です。本記事では、サイバーセキュリティとはそもそも何かについて、さらにDX推進におけるセキュリティ対策の重要性、課題、対策方法などを解説します。
目次
サイバーセキュリティとは
サイバーセキュリティとは、企業などが保管しているデジタル化された情報が、サイバー攻撃により改ざんされたり外に漏れるのを防ぐことです。
またサイバー攻撃とは、サイバーセキュリティを破って侵入してくる攻撃であり、近年国内外でその脅威が深刻度を増しています。
令和3年中のサイバー犯罪の検挙件数が12,275件(暫定値)と過去最多を記録しているほか、ランサムウェアによる被害が拡大するとともに、不正アクセスによる情報流出や、国家を背景に持つサイバー攻撃集団によるサイバー攻撃が明らかになるなど、サイバー空間をめぐる脅威は、極めて深刻な情勢が続いている。[引用:警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)」より]
サイバーセキュリティについてきちんと理解し、予算を回して人員を配置できている企業はまだ少なく、課題の多いテーマです。企業にとって重要な情報を守っていくためにも、サイバーセキュリティについて知り、早急に対応していく必要があります。
DX推進でサイバーセキュリティが重要な理由
DXとはデジタルトランスフォーメーションの略で、デジタルツールを活用して、生活やビジネスを含めた社会全体をより良くしていくことを意味します。企業がDXを推進するうえで、サイバーセキュリティについての意識を高めることは非常に重要です。
なぜなら、セキュリティ対策が不十分な場合、情報の改ざんや漏洩という事故・事件につながり、企業として大きな損失を被ることになるからです。
DXを推進していく中で、並行してサイバーセキュリティについてどう対応していくのか、両輪で考えていく必要があります。
▷レガシーシステムとは?課題や放置するリスク・脱却する方法をわかりやすく解説
▷レガシーシステムの問題点とは?懸念リスクと脱却に必要な手法や人材
サイバーセキュリティが機能していないときのリスク
実際に、サイバーセキュリティが機能していないとどんなことが引き起こされてしまうのか、具体的に説明します。
下記に記載した内容は決して大げさなことではなく、どの企業にも起こり得るリスクです。当事者として1つずつ向き合っていきましょう。
(1)個人情報の漏洩
個人情報が漏洩した場合、金銭的な損失はもちろん、企業への信頼も大きく失われてしまいます。クレジットカードやマイナンバーカードなどのIDを不正利用した犯罪に巻き込まれたり、慰謝料や損害賠償金として多額の支払いを求められる可能性があります。
また、住所や電話番号は、個人への迷惑行為や犯罪行為に使われるケースもあります。情報漏洩した個人情報が振り込め詐欺などに悪用されるなど、社会に大きな影響を与えるケースも考えられます。
(2)ビジネスが止まり機会損失が起きる
情報漏洩した企業は、事後対応に時間を割く必要があり、企業活動にも大きな影響が出ます。またサイバー攻撃によってシステムが停止した場合も営業活動が止まるため、機会損失が発生します。
⼀般社団法⼈⽇本サイバーセキュリティ・イノベーション委員会の調べによると、ビジネス停止による機会損失は、5営業日あたり20億円にものぼるとしています(年商1,000億円企業の場合)。
このことからもわかる通り、サイバー攻撃の被害を受けると、最悪の場合、業績悪化で倒産などの事態も招きかねません。
[出典:⼀般社団法⼈⽇本サイバーセキュリティ・イノベーション委員会「サイバーリスクの数値化モデル」]
(3)刑事罰や損害賠償を受ける
サイバーセキュリティが機能していない環境下で情報漏洩が起きた場合、個人情報保護法に関する罰則規定が適用されます。その内容に沿った形で、企業に対して2度と同じようなことが発生しないように国からの改善命令が出されます。その通りに行わず、改善命令を無視してしまうと、1 年以下の懲役又は100 万円以下の罰金が科されてしまいます。
また、利益を得るためを目的とした故意の情報漏洩に対しては、実行した個人に対して1年以下の懲役または50万円以下の罰金刑が下されます。さらに、会社に対しては1億円以下の罰金刑が科されます。
[出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」]
(4)事故対応に時間やコストが発生する
情報漏洩などの事故が起きた際には、影響範囲の特定や損害の特定、被害者や関係者への報告、さらに、関係省庁への連絡も必要になります。二次被害の防止策を打つとともに、原因の特定や今後の対策など、再発防止策の検討も行います。
一連のプロセスには時間やコストがかかり、組織体制の再構築など大がかりな改革も伴います。IBMの調査によると、情報漏洩時の平均コストは1件あたり385万ドル(約5億円)かかると試算されています。
[出典:IBM「2020年 情報漏えい時に発生するコストに関する調査」]
(5)社会的な信用を失う
セキュリティ対策に不備があり、被害を受けると、社会的な信用も失ってしまいます。企業に預けた情報がきちんと管理されていないと世間に公表されてしまうため、株価下落を引き起こします。
また、新規取引や取引の継続を考え直すクライアントも出てくるでしょう。結果として事業が立ち行かなくなり、倒産などにつながるケースも考えられます。
(6)水道や電気などインフラが止まる
近年、増加傾向にあるのがインフラ設備に対するサイバー攻撃です。電気・水道・ガスの中でも特にここ最近は、電力インフラに対するサイバー攻撃の数が増えています。
サイバーセキュリティが機能していない場合、水道が止められたり、ガスが通らなかったり、停電が起こったりします。一般市民の日常生活を守るためにもインフラ設備に対するサイバーセキュリティ対策は非常に重要なポイントです。
▷日本におけるDXの課題とは?推進を阻む問題点や解決策を徹底解説
DX推進時におけるサイバーセキュリティの課題
サイバーセキュリティ対策の不備は大きなリスクに直結するものの、日本企業の多くは海外企業と比較して取り組みが進んでいないのが現状です。
なぜ対策が進まないのかについて、4つの課題を挙げながら解説していきます。
(1)CISOが少ない
CISOとは、Chief Information Security Officerの略称であり、「最高情報セキュリティ責任者」を指します。企業において、情報管理の最高責任者であり、サイバーセキュリティについて人材を配置したり、関係各所との調整や関係部署への指示命令を行う役割を持っています。
サイバー攻撃を受けた時に必要なのは、スピード感のある対応と、的確な対処についての指示命令ですが、日本の企業は関心が薄いこともありCISOの人数が少ないという課題があります。
米国などの海外企業に比べてCISOの設置や定着が進んでいない理由としては、IT人材が不足しているのも一因ですが、そもそも企業においてCISOの役割や責任が明確になっていないことも挙げられます。
また、経営層とCISOのコミュニケーション不足や、CISOから経営層へ的確な情報の伝達ができていないことも、定着が進んでいない理由の1つです。
企業がデジタル化を進めることでDX化を図るためには、セキュリティへの対策は必須です。DXとセキュリティ対策を両輪で進めるためにも、CISOの配置を含めた、組織体制の再構築が求められます。
▷DX推進で経営者が担う役割とは?よくある課題や成功へ導く考え方
(2)セキュリティに使う予算が少ない
予算を十分に確保できていないことも、サイバーセキュリティ対策が遅れている理由の1つです。
一般社団法人日本情報システム・ユーザー協会(JUAS)が2020年度における企業のIT投資やIT戦略の動向をまとめた「企業IT動向調査報告書 2021(※)」によると、情報セキュリティー関連費用がIT予算の15%以上を占めると回答した企業は32.6%になると発表しています。
ただ、経営陣の多くはセキュリティに回す予算を「コスト」ととらえています。コストではなく、「投資」であるという考え方に転換できれば、より多くの予算を回すことができるものの、なかなか進まないのが現状です。
まだ自社でサイバーセキュリティによる事故や事件が発生していないからと後回しにすることで、結果的に大きな損害を被る可能性があることを理解し、最重要な経営課題として早急に取り組む必要があるでしょう。
[※出典:一般社団法人日本情報システム・ユーザー協会(JUAS)「企業IT動向調査報告書 2021」]
(3)人材不足
人材不足も大きな課題の1つです。総務省が2018年に発表した資料(cw-daichifukumoto)によると、2016年時点で情報セキュリティ人材が13.2万人不足していると推計されています。
さらに2020年には、不足数が19.3万人に増加し、 中小企業(従業員数5人〜99人、100人〜299人)では、2016年時点で最大15.6万人不足と推計されています。
またIT人材全体でも、2030年に約79万人の需給ギャップが生じると試算されています。これだけ多くのIT人材が不足しているために、本来人材を割くべきサイバーセキュリティ対策に十分な人材を配置できていないのです。
1つ目のCISOの不足にも通ずる点がありますが、人手不足により個々の業務量が圧迫され、結果として知識レベルも上がらないというサイクルが引き起こされています。
[※出典:総務省「我が国のサイバーセキュリティ人材の現状について」]
▷DX人材に必要なスキルや知識とは?育成方法やマインドセットも解説
(4)社内と社外の境界が薄れている
DXより以前には、「境界型セキュリティ」という形式が一般的なセキュリティシステムでした。これは平たく言えば社内間のみ、つながりを持つことができるオンプレミス構築と呼ばれるものです。
社内にいて、社内のみに限定されるアクセスであればセキュリティ対策はこれで良かったのですが、テレワークなどの普及により、社外から様々な端末を使ってシステムにアクセスするケースが増えてきました。
社内と社外の明確な境界線がなくなりつつある今、セキュリティシステムもクラウドへの移行が求められています。
▷DX推進に欠かせないクラウド化とは?活用メリットやシステム移行について
DXにおけるセキュリティ対策のポイント
DXを推進していく上で、セキュリティ対策を行うには何が必要なのかについてポイントごとにまとめていきます。
(1)組織全体でセキュリティの意識を高める
まずは、会社組織全体の意識をあげる必要があります。特に、現場と経営陣との温度差やセキュリティに対する知識が少ないことは、推進スピードを遅くしてしまいます。
予算を確保し、目線を揃えて対策していくために経営会議で実際の打ち手を検討したり、勉強会などを開催することでリテラシーをつけていくことが大切です。
▷DX推進の鍵となるアジャイル型組織とは?重要な理由やメリットについて
(2)サイバートランスフォーメーションを進める
次に重要なことは「サイバートランスフォーメーション」を進めていくことです。サイバートランスフォーメーションとは最先端のデジタル技術を用いて、新たなセキュリティを作り出すことを意味します。
DXの推進と同時に、サイバー攻撃もよりいっそう多様化しています。セキュリティも進化していくことで攻撃に耐えることができます。
その際には最先端のデジタル技術である、AI(人工知能)やデータアナリティクスなども活用して、より高い次元のセキュリティ対策を講じていく必要があります。
▷DXとAIの関係性|AIの活用事例やDXとAIの違い・DX推進の秘訣
(3)経営者が動く
予算を生み出すことにもつながりますが、企業内で経営者が当事者意識を持ってセキュリティ対策について考えることは必要不可欠なポイントです。
日本の経営層が情報セキュリティの意思決定に関わる割合は6割近くに上るものの、欧米諸国と比較すると高くないという調査結果がでています。
このことからも、現状ではサイバーセキュリティへの対策を現場に任せている企業が多い傾向にあると言えます。また、専門的な知識がないと内容を理解できないため、経営者の中で優先度が下がるケースもあります。
そういった状態を放置すると、セキュリティリスクがよりいっそう高まり、重大な事故につながる恐れがあります。経営者が前線に立ち、どうしていきたいか明確なビジョンを掲げることが重要です。
[出典:独立行政法人情報処理推進機構(IPA)「企業の CISO や CSIRT に関する実態調査 2017-調査報告書-」]
(4)ゼロトラストセキュリティの考え方を理解する
社内と社外の境界が薄れているという課題の部分(境界型セキュリティ)でもお伝えしましたが、テレワークの普及により、社内のみならず社外から様々な端末を利用したアクセスが増え、セキュリティ対策もより複雑化しています。
そこで、もともと信頼(トラスト)をしない、つまりすべてのネットワークに悪意があると疑うという前提のもと、セキュリティを敷いていくゼロトラストという考え方が重要になります。
従来は社外からのアクセスには注意深く監視を行う一方で、社内アクセスにはそこまで目を配っていないケースが一般的でした。ゼロトラストセキュリティとはすべてのアクセスを毎回調査し、その都度承認していくものになります。
費用は大きくかかってしまうものの、これからはより安全性の高いゼロトラストセキュリティへの理解を深め、セキュリティ対策を構築することが求められます。
▷DXとテレワークの関係性とは?よくある課題や推進ポイントを解説
(5)サイバーセキュリティ人材の育成を進める
コロナ禍によって急速に進んだ新しい日常生活は、テレワークなどの働き方改革を大きく進めたと言われています。働き方の変化によって、セキュリティ対策も変化しています。今後、進化していくサイバー攻撃から守るためには新しいIT人材の育成が必要不可欠となります。
政府機関もサイバーセキュリティ人材の育成強化に乗り出しており、セミナーや講習会などを開くなど人材育成を進めています。企業においても、資格の取得や外部のセミナーや講習会などを活用して、人材育成の強化を図る必要があります。
またスキルのある人材がより成長できるような環境を整備することや、適材適所に人材を配置することも重要です。
▷DXエンジニアとは?人材価値や必要なスキル・おすすめの資格を解説
DXにおけるセキュリティ対策の具体例
ここで、実際にセキュリティ対策を強化するにはどのようなことに取り組めば良いのかについて、具体例をご紹介します。
2要素認証を取り入れる
しばしば2段階認証と2要素認証は同意義だと思われるケースがありますが、まったく違います。2段階認証とは、承認作業を2回繰り返すことを指すため、内容がどのようなものかはまったく関係ありません。
一方、2要素認証は下記3つの認証から、2つを組み合わせることを意味します。
- 知識認証(パスワードや秘密の質問など)
- 所有情報(スマートフォンやICカードなど)
- 生体情報(指紋やフェイス認証など)
2要素認証は、1つだけの時よりも強いセキュリティシステムとなります。
クラウドベースでセキュリティを保護するSASEを用いる
SASE(サシー)とはSecure Access Service Edgeの略です。様々な情報をクラウド上で管理することが増えた今、外部からのクラウドアクセスに対応できるセキュリティ対策がSASEとなります。
ゼロトラストとの違いは、すべてのアクセスをチェック・承認していくことに加え、ユーザーの利便性や最適化された運用までを包括しているという点にあります。
クラウドを安全なスペースとしていくために、SASEという考え方を取り入れていきましょう。
サイバー攻撃を検知するEDRを取り入れる
EDR(Endpoint Detection and Response)は、エンドポイントでの検出と対応という意味です。つまりネットワークにつながっているすべての端末やサーバを監視し、怪しい動きがあれば検出して対処してくれるシステムを指します。
エンドポイント(ネットワークから最終着地している端末)でウイルスを閉じ込めておくことができるため、被害が広がる危険性が減少しサイバー攻撃の影響を最小限に抑えることができます。
さらに再発防止のための調査を行うことで、同じ事象が起きないように対処できます。
▷テレワークで必須のセキュリティ対策10選!事故事例や問題点も徹底解説
DXとサイバーセキュリティ対策は両輪で進めよう
DXを進めていくことは、高度化したサイバー攻撃を受けるリスクも同時に高まるということです。複雑化していくサイバーセキュリティ対策ですが、DXの推進と同じくらい危機感を持ちながら取り組むことが求められます。
DXとセキュリティ対策の強化を進めていくためにも、まずは自社のシステムや人材、組織体制を見直すところからはじめてみてはいかがでしょうか。
▷DXの成功事例15選!先進企業から学ぶDX推進を成功させるポイント
DXの記事をもっと読む
-
ご相談・ご質問は下記ボタンのフォームからお問い合わせください。
お問い合わせはこちら