DX推進で必要なサイバーセキュリティとは?重要性や課題・リスクを解説

2022/5/13 2022/06/06

DX

DX

DXとサイバーセキュリティ

DXを推進する上では、サイバーセキュリティの対策も並行して行っていくことが非常に大切です。本記事では、サイバーセキュリティとはそもそも何かについて、さらにDX推進におけるセキュリティ対策の重要性、課題、対策方法などを解説します。

ビズクロ編集部がおすすめ!

DX推進に向けたご提案

  • 圧倒的な中小企業への支援数
  • 豊富なDXソリューション
  • 完全無料で丁寧なヒアリング
Chatwork DX相談窓口 デバイス画像

Chatwork DX相談窓口では、専任のDXアドバイザーが無料で丁寧にヒアリングを実施し、最適なDX推進に向けたご提案をさせていただきます。

サイバーセキュリティとは

サイバーセキュリティとは、企業などが保管しているデジタル化された情報が、サイバー攻撃により改ざんされたり外に漏れるのを防ぐことです。

またサイバー攻撃とは、サイバーセキュリティを破って侵入してくる攻撃であり、近年国内外でその脅威が深刻度を増しています。

令和3年中のサイバー犯罪の検挙件数が12,275件(暫定値)と過去最多を記録しているほか、ランサムウェアによる被害が拡大するとともに、不正アクセスによる情報流出や、国家を背景に持つサイバー攻撃集団によるサイバー攻撃が明らかになるなど、サイバー空間をめぐる脅威は、極めて深刻な情勢が続いている。

[引用:警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)」より]

サイバーセキュリティについてきちんと理解し、予算を回して人員を配置できている企業はまだ少なく、課題の多いテーマです。企業にとって重要な情報を守っていくためにも、サイバーセキュリティについて知り、早急に対応していく必要があります。

DX推進でサイバーセキュリティが重要な理由

DXとはデジタルトランスフォーメーションの略で、デジタルツールを活用して、生活やビジネスを含めた社会全体をより良くしていくことを意味します。企業がDXを推進するうえで、サイバーセキュリティについての意識を高めることは非常に重要です

なぜなら、セキュリティ対策が不十分な場合、情報の改ざんや漏洩という事故・事件につながり、企業として大きな損失を被ることになるからです。

DXを推進していく中で、並行してサイバーセキュリティについてどう対応していくのか、両輪で考えていく必要があります。

レガシーシステムの問題点とは?懸念リスクと脱却に必要な手法や人材

サイバーセキュリティが機能していないときのリスク

実際に、サイバーセキュリティが機能していないとどんなことが引き起こされてしまうのか、具体的に説明します。

下記に記載した内容は決して大げさなことではなく、どの企業にも起こり得るリスクです。当事者として1つずつ向き合っていきましょう。

(1)個人情報の漏洩

個人情報が漏洩した場合、金銭的な損失はもちろん、企業への信頼も大きく失われてしまいます。クレジットカードやマイナンバーカードなどのIDを不正利用した犯罪に巻き込まれたり、慰謝料や損害賠償金として多額の支払いを求められる可能性があります。

また、住所や電話番号は、個人への迷惑行為や犯罪行為に使われるケースもあります。情報漏洩した個人情報が振り込め詐欺などに悪用されるなど、社会に大きな影響を与えるケースも考えられます。

(2)ビジネスが止まり機会損失が起きる

情報漏洩した企業は、事後対応に時間を割く必要があり、企業活動にも大きな影響が出ます。またサイバー攻撃によってシステムが停止した場合も営業活動が止まるため、機会損失が発生します。

⼀般社団法⼈⽇本サイバーセキュリティ・イノベーション委員会の調べによると、ビジネス停止による機会損失は、5営業日あたり20億円にものぼるとしています(年商1,000億円企業の場合)。

このことからもわかる通り、サイバー攻撃の被害を受けると、最悪の場合、業績悪化で倒産などの事態も招きかねません。

[出典:⼀般社団法⼈⽇本サイバーセキュリティ・イノベーション委員会「サイバーリスクの数値化モデル」]

(3)刑事罰や損害賠償を受ける

サイバーセキュリティが機能していない環境下で情報漏洩が起きた場合、個人情報保護法に関する罰則規定が適用されます。その内容に沿った形で、企業に対して2度と同じようなことが発生しないように国からの改善命令が出されます。その通りに行わず、改善命令を無視してしまうと、1 年以下の懲役又は100 万円以下の罰金が科されてしまいます。

また、利益を得るためを目的とした故意の情報漏洩に対しては、実行した個人に対して1年以下の懲役または50万円以下の罰金刑が下されます。さらに、会社に対しては1億円以下の罰金刑が科されます。

[出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律(概要)」]

(4)事故対応に時間やコストが発生する

情報漏洩などの事故が起きた際には、影響範囲の特定や損害の特定、被害者や関係者への報告、さらに、関係省庁への連絡も必要になります。二次被害の防止策を打つとともに、原因の特定や今後の対策など、再発防止策の検討も行います。

一連のプロセスには時間やコストがかかり、組織体制の再構築など大がかりな改革も伴います。IBMの調査によると、情報漏洩時の平均コストは1件あたり385万ドル(約5億円)かかると試算されています。

[出典:IBM「2020年 情報漏えい時に発生するコストに関する調査」]

(5)社会的な信用を失う

セキュリティ対策に不備があり、被害を受けると、社会的な信用も失ってしまいます。企業に預けた情報がきちんと管理されていないと世間に公表されてしまうため、株価下落を引き起こします。

また、新規取引や取引の継続を考え直すクライアントも出てくるでしょう。結果として事業が立ち行かなくなり、倒産などにつながるケースも考えられます。

(6)水道や電気などインフラが止まる

近年、増加傾向にあるのがインフラ設備に対するサイバー攻撃です。電気・水道・ガスの中でも特にここ最近は、電力インフラに対するサイバー攻撃の数が増えています。

サイバーセキュリティが機能していない場合、水道が止められたり、ガスが通らなかったり、停電が起こったりします。一般市民の日常生活を守るためにもインフラ設備に対するサイバーセキュリティ対策は非常に重要なポイントです。

日本におけるDXの課題とは?推進を阻む問題点や解決策を徹底解説

DX推進時におけるサイバーセキュリティの課題

サイバーセキュリティ対策の不備は大きなリスクに直結するものの、日本企業の多くは海外企業と比較して取り組みが進んでいないのが現状です。

なぜ対策が進まないのかについて、4つの課題を挙げながら解説していきます。

(1)CISOが少ない

CISOとは、Chief Information Security Officerの略称であり、「最高情報セキュリティ責任者」を指します。企業において、情報管理の最高責任者であり、サイバーセキュリティについて人材を配置したり、関係各所との調整や関係部署への指示命令を行う役割を持っています。

サイバー攻撃を受けた時に必要なのは、スピード感のある対応と、的確な対処についての指示命令ですが、日本の企業は関心が薄いこともありCISOの人数が少ないという課題があります。

米国などの海外企業に比べてCISOの設置や定着が進んでいない理由としては、IT人材が不足しているのも一因ですが、そもそも企業においてCISOの役割や責任が明確になっていないことも挙げられます。

また、経営層とCISOのコミュニケーション不足や、CISOから経営層へ的確な情報の伝達ができていないことも、定着が進んでいない理由の1つです。

企業がデジタル化を進めることでDX化を図るためには、セキュリティへの対策は必須です。DXとセキュリティ対策を両輪で進めるためにも、CISOの配置を含めた、組織体制の再構築が求められます。

DX推進で経営者が担う役割とは?よくある課題や成功へ導く考え方

(2)セキュリティに使う予算が少ない

予算を十分に確保できていないことも、サイバーセキュリティ対策が遅れている理由の1つです。

一般社団法人日本情報システム・ユーザー協会(JUAS)が2020年度における企業のIT投資やIT戦略の動向をまとめた「企業IT動向調査報告書 2021(※)」によると、情報セキュリティー関連費用がIT予算の15%以上を占めると回答した企業は32.6%になると発表しています。

ただ、経営陣の多くはセキュリティに回す予算を「コスト」ととらえています。コストではなく、「投資」であるという考え方に転換できれば、より多くの予算を回すことができるものの、なかなか進まないのが現状です。

まだ自社でサイバーセキュリティによる事故や事件が発生していないからと後回しにすることで、結果的に大きな損害を被る可能性があることを理解し、最重要な経営課題として早急に取り組む必要があるでしょう。

[※出典:一般社団法人日本情報システム・ユーザー協会(JUAS)「企業IT動向調査報告書 2021」]

(3)人材不足

人材不足も大きな課題の1つです。総務省が2018年に発表した資料(cw-daichifukumoto)によると、2016年時点で情報セキュリティ人材が13.2万人不足していると推計されています。

さらに2020年には、不足数が19.3万人に増加し、 中小企業(従業員数5人〜99人、100人〜299人)では、2016年時点で最大15.6万人不足と推計されています。

またIT人材全体でも、2030年に約79万人の需給ギャップが生じると試算されています。これだけ多くのIT人材が不足しているために、本来人材を割くべきサイバーセキュリティ対策に十分な人材を配置できていないのです。

1つ目のCISOの不足にも通ずる点がありますが、人手不足により個々の業務量が圧迫され、結果として知識レベルも上がらないというサイクルが引き起こされています。

[※出典:総務省「我が国のサイバーセキュリティ人材の現状について」]

DX人材に必要なスキルや知識とは?育成方法やマインドセットも解説

(4)社内と社外の境界が薄れている

DXより以前には、「境界型セキュリティ」という形式が一般的なセキュリティシステムでした。これは平たく言えば社内間のみ、つながりを持つことができるオンプレミス構築と呼ばれるものです。

社内にいて、社内のみに限定されるアクセスであればセキュリティ対策はこれで良かったのですが、テレワークなどの普及により、社外から様々な端末を使ってシステムにアクセスするケースが増えてきました。

社内と社外の明確な境界線がなくなりつつある今、セキュリティシステムもクラウドへの移行が求められています。

DXにおけるセキュリティ対策のポイント

DXを推進していく上で、セキュリティ対策を行うには何が必要なのかについてポイントごとにまとめていきます。

(1)組織全体でセキュリティの意識を高める

まずは、会社組織全体の意識をあげる必要があります。特に、現場と経営陣との温度差やセキュリティに対する知識が少ないことは、推進スピードを遅くしてしまいます。

予算を確保し、目線を揃えて対策していくために経営会議で実際の打ち手を検討したり、勉強会などを開催することでリテラシーをつけていくことが大切です。

(2)サイバートランスフォーメーションを進める

次に重要なことは「サイバートランスフォーメーション」を進めていくことです。サイバートランスフォーメーションとは最先端のデジタル技術を用いて、新たなセキュリティを作り出すことを意味します。

DXの推進と同時に、サイバー攻撃もよりいっそう多様化しています。セキュリティも進化していくことで攻撃に耐えることができます。

その際には最先端のデジタル技術である、AI(人工知能)やデータアナリティクスなども活用して、より高い次元のセキュリティ対策を講じていく必要があります。

(3)経営者が動く

予算を生み出すことにもつながりますが、企業内で経営者が当事者意識を持ってセキュリティ対策について考えることは必要不可欠なポイントです。

日本の経営層が情報セキュリティの意思決定に関わる割合は6割近くに上るものの、欧米諸国と比較すると高くないという調査結果がでています。

このことからも、現状ではサイバーセキュリティへの対策を現場に任せている企業が多い傾向にあると言えます。また、専門的な知識がないと内容を理解できないため、経営者の中で優先度が下がるケースもあります。

そういった状態を放置すると、セキュリティリスクがよりいっそう高まり、重大な事故につながる恐れがあります。経営者が前線に立ち、どうしていきたいか明確なビジョンを掲げることが重要です。

[出典:独立行政法人情報処理推進機構(IPA)「企業の CISO や CSIRT に関する実態調査 2017-調査報告書-」]

(4)ゼロトラストセキュリティの考え方を理解する

社内と社外の境界が薄れているという課題の部分(境界型セキュリティ)でもお伝えしましたが、テレワークの普及により、社内のみならず社外から様々な端末を利用したアクセスが増え、セキュリティ対策もより複雑化しています。

そこで、もともと信頼(トラスト)をしない、つまりすべてのネットワークに悪意があると疑うという前提のもと、セキュリティを敷いていくゼロトラストという考え方が重要になります。

従来は社外からのアクセスには注意深く監視を行う一方で、社内アクセスにはそこまで目を配っていないケースが一般的でした。ゼロトラストセキュリティとはすべてのアクセスを毎回調査し、その都度承認していくものになります。

費用は大きくかかってしまうものの、これからはより安全性の高いゼロトラストセキュリティへの理解を深め、セキュリティ対策を構築することが求められます。

(5)サイバーセキュリティ人材の育成を進める

コロナ禍によって急速に進んだ新しい日常生活は、テレワークなどの働き方改革を大きく進めたと言われています。働き方の変化によって、セキュリティ対策も変化しています。今後、進化していくサイバー攻撃から守るためには新しいIT人材の育成が必要不可欠となります。

政府機関もサイバーセキュリティ人材の育成強化に乗り出しており、セミナーや講習会などを開くなど人材育成を進めています。企業においても、資格の取得や外部のセミナーや講習会などを活用して、人材育成の強化を図る必要があります。

またスキルのある人材がより成長できるような環境を整備することや、適材適所に人材を配置することも重要です。

DXにおけるセキュリティ対策の具体例

ここで、実際にセキュリティ対策を強化するにはどのようなことに取り組めば良いのかについて、具体例をご紹介します。

2要素認証を取り入れる

しばしば2段階認証と2要素認証は同意義だと思われるケースがありますが、まったく違います。2段階認証とは、承認作業を2回繰り返すことを指すため、内容がどのようなものかはまったく関係ありません

一方、2要素認証は下記3つの認証から、2つを組み合わせることを意味します。

  • 知識認証(パスワードや秘密の質問など)
  • 所有情報(スマートフォンやICカードなど)
  • 生体情報(指紋やフェイス認証など)

2要素認証は、1つだけの時よりも強いセキュリティシステムとなります。

クラウドベースでセキュリティを保護するSASEを用いる

SASE(サシー)とはSecure Access Service Edgeの略です。様々な情報をクラウド上で管理することが増えた今、外部からのクラウドアクセスに対応できるセキュリティ対策がSASEとなります。

ゼロトラストとの違いは、すべてのアクセスをチェック・承認していくことに加え、ユーザーの利便性や最適化された運用までを包括しているという点にあります。

クラウドを安全なスペースとしていくために、SASEという考え方を取り入れていきましょう。

サイバー攻撃を検知するEDRを取り入れる

EDR(Endpoint Detection and Response)は、エンドポイントでの検出と対応という意味です。つまりネットワークにつながっているすべての端末やサーバを監視し、怪しい動きがあれば検出して対処してくれるシステムを指します。

エンドポイント(ネットワークから最終着地している端末)でウイルスを閉じ込めておくことができるため、被害が広がる危険性が減少しサイバー攻撃の影響を最小限に抑えることができます。

さらに再発防止のための調査を行うことで、同じ事象が起きないように対処できます。

テレワークで必須のセキュリティ対策10選!事故事例や問題点も徹底解説

DXとサイバーセキュリティ対策は両輪で進めよう

DXを進めていくことは、高度化したサイバー攻撃を受けるリスクも同時に高まるということです。複雑化していくサイバーセキュリティ対策ですが、DXの推進と同じくらい危機感を持ちながら取り組むことが求められます。

DXとセキュリティ対策の強化を進めていくためにも、まずは自社のシステムや人材、組織体制を見直すところからはじめてみてはいかがでしょうか。

DXの成功事例15選!先進企業から学ぶDX推進を成功させるポイント

DX実現に不可欠な7つのテクノロジーとは?担う役割や活用事例を紹介

2025年の崖とは?経産省のレポートの要点やDX推進のシナリオについて

ビズクロ編集部がおすすめ!

DX推進に向けたご提案

  • 圧倒的な中小企業への支援数
  • 豊富なDXソリューション
  • 完全無料で丁寧なヒアリング
Chatwork DX相談窓口 デバイス画像

Chatwork DX相談窓口では、専任のDXアドバイザーが無料で丁寧にヒアリングを実施し、最適なDX推進に向けたご提案をさせていただきます。

次に読みたいおすすめ記事

  • ご相談・ご質問は下記ボタンのフォームまたは、お電話からお問い合わせください。

    お問い合わせはこちら

    TEL:0120-987-053(無料)
    【受付時間】10:00~18:00(土日祝を除く)

ビズクロ編集部
「ビズクロ」は、経営改善を実現する総合支援メディアです。ユーザーの皆さまにとって有意義なビジネスの情報やコンテンツの発信を継続的におこなっていきます。

おすすめ関連記事

ワークライフバランスを整える働き方とは?仕事と生活のバランスを保つコツ

2022/11/24

ワークライフバランス

2022/11/24

ワークライフバランス

【最新】テレワークにおすすめのキーボード10選!最適な選び方も解説

2022/11/24

テレワーク

2022/11/24

テレワーク

業務改善とは?必要性や基本手順・実施する際のポイントを解説

2022/11/23

業務効率化・業務改善

2022/11/23

業務効率化・業務改善

日程調整メールの正しい書き方とは?返信方法やマナー・注意点を解説

2022/11/23

日程調整ツール

2022/11/23

日程調整ツール

CTB分析とは?特徴や目的・分析方法をわかりやすく解説!

2022/11/23

CRM(顧客管理システム)

2022/11/23

CRM(顧客管理システム)

【2022年最新】タイプ別おすすめ給与計算ソフト!選び方や性能を徹底比較!

2022/11/22

給与計算システム

2022/11/22

給与計算システム

SDGsで簡単に実践できることは?〜私たちの日常生活での取り組み〜

2022/11/22

SDGs

2022/11/22

SDGs

働く女性の理想のワークライフバランスとは?現在の課題や社会進出について

2022/11/22

ワークライフバランス

2022/11/22

ワークライフバランス

日程調整後のお礼メールは必要か?書き方やマナーを文例付きで解説

2022/11/21

日程調整ツール

2022/11/21

日程調整ツール

土日祝も対応可能な電話代行サービス6選!価格やプランの詳細を徹底比較

2022/11/21

電話代行・コールセンター委託

2022/11/21

電話代行・コールセンター委託