世界中でDXの推進が加速し新たなビジネスチャンスを獲得する企業が増えるなか、情報セキュリティリスクがボトルネックとなり、DXが遅れている企業も少なくありません。DX時代を迎えた今、セキュリティへの理解と、自社に適切な対策の検討が求められています。
この記事では、DXに必要な情報セキュリティ対策と具体的な技術トレンドについて解説します。DX推進に向けて安全性と確実性を求める情シス担当者やDX推進担当者の方は、ぜひ参考資料のひとつとしてお役立てください。
目次
DXとは
DXとは、AIやIoT、5GなどさまざまなIT技術を駆使しながらビジネスモデルに変革をもたらし、企業の優位性を確立する取り組みのことです。単に既存業務のデジタル化だけでなく、デジタル技術を用いてビジネス全体に変革をもたらすことが目的です。例えば、業務の効率化・自動化、新たな製品・サービスの立案・開発・提供、顧客コミュニケーションの強化、データ収集・分析の迅速化などが、DXによる主なメリットです。
しかし、DXを推進する上では、取り扱うデータ量が従来と比べて膨大になり、管理方法も複雑化します。各部署、各従業員が個別にデータ収集・分析・管理する場合、適切なセキュリティ対策が施されていなければ、その分だけサイバー攻撃や情報漏洩といったあらゆるリスクが高まります。
DXによる変革を検討する際には、自社に適したセキュリティ対策の選定・整備が求められます。
関連記事:業務のDX化とは?業務改善との違いや効率化につながる理由、メリットや事例を解説
DXに不可欠な「情報セキュリティ」と「サイバーセキュリティ」の概要
DXに求められるセキュリティについて把握する前に、「情報セキュリティ」と「サイバーセキュリティ」の意味について理解しておくことをおすすめします。それぞれの目的は以下の通りです。
|
情報セキュリティ |
サイバーセキュリティ |
|
・情報を安全に管理すること ・情報漏洩やデータの悪用、改ざんを防ぐ |
・情報セキュリティに包括される項目のひとつ ・デジタル化したデータをサイバー攻撃による盗難・改ざんを防ぐ |
それぞれの違いは、どの脅威への対策であるかです。情報セキュリティは、サイバー攻撃などの外部リスクをはじめ企業内での人的ミスやシステムトラブルによるリスクも包括しています。一方サイバーセキュリティは外部攻撃リスクに対する防御策であるため、どちらも総合的に対策していくことが推奨されます。
情報セキュリティ(サイバーセキュリティ)の種類
JIS規格では、情報セキュリティについて「情報の機密性、完全性及び可用性を維持すること。 さらに真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある。」としています。ここからは、JIS規格にまとめられたこれらの定義に触れつつ、その詳細について解説します。
参考:JISQ27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語
可用性
可用性は、許可されたユーザーが必要なときに情報へ継続してアクセスできる状態を保つことを指します。必要なときにアクセスでき、目的を達成するまで中断されることのないシステムは可用性の高いシステムと考えられます。一例としてクラウドサービスが挙げられますが、この場合いつでも好きな時間にデータ・システムへとアクセスできるほか、端末を選ぶこともありません。
ただし、いつでも好きなタイミングでユーザーが情報にアクセスできたとしても、不要な情報にまでアクセスできてしまうと、情報漏えいリスクが高まります。そうならないよう可用性は「許可されたユーザーが必要な情報へ滞りなくアクセスできる状態」を指します。
完全性
完全性は、情報が正確で改ざんされておらず、最新である状態を指します。例えば顧客情報が誤っていた場合、そのデータは業務で利活用できず、破棄せざるを得ません。顧客に新製品や新サービスの情報を提供するためにも、情報は常に完全な状態であることが大切です。
機密性
機密性は情報管理の徹底を指し、必要な情報を必要とするユーザーのみで閲覧できるよう管理することを意味します。
例えば顧客情報は組織のなかでもごく一部の部署で閲覧できるよう制限する必要があります。仮にどの部署からでもアクセスできる環境であれば、情報が意外な場所で流出し、悪用されるかもしれません。こうしたトラブルを最小限に防ぐべく徹底する必要があるものが情報の機密性です。
真正性
真正性は情報にアクセスできる組織または個人、媒体が「アクセス許可を得た者」であることを指します。具体的にはデジタル署名や二段階認証などが挙げられ、機密性と密接に関係しています。
信頼性
信頼性はデータ・システムが意図した通りに動くことを指します。データやシステムは、人的ミスや不具合によって想定外の動作をすることがあります。こうした事態を防ぐための施策が必要であり、例えば人的ミスやトラブルを防ぐためのマニュアルを策定する、システムの再構築を図るなどが挙げられます。
責任追跡性
責任追跡性は情報システムの操作・閲覧・編集において「誰が」「いつ」「どのような操作をしたのか」を遡って追跡できる性質を指します。情報・システムに対する時系列のログを、消去・改ざんできない方法で記録し、いつでも参照できるようにする方法などを選ぶことで性能を高めることが可能です。
否認防止
否認防止は、現実にあった行為を後から否定できないようにするため、予防的に行う措置のことを指します。例えば情報システムの利用・操作・データ送信などにおいて、確かに特定のユーザーが行った行為について後から証明できるようにするための仕組みや技術などが挙げられます。
DXにセキュリティ対策が重要視される理由
DXを通じて企業のデジタル化が進めば進むほど、セキュリティ対策の重要性は高くなります。ここからは、DXにおいてなぜセキュリティ対策が重要視されるのか、その理由について解説します。
取り扱うデータ量の増加
DXを導入すると、企業が取り扱うデータ量は一層膨大になります。顧客情報や業務データ、IoT機器から収集されるデータが増えればその分だけ情報漏洩リスクや改ざん・悪用リスクも高くなります。
こうしたデータは企業資産として有用である一方で、サイバー攻撃の標的となりやすいといった側面を持ち合わせています。つまり、漏洩後の被害規模が甚大化しやすいということです。事業にとって欠かせないデータが増えるなか、さまざまなリスクを日常的に回避するための対策として有力視されているものがセキュリティ対策です。
多様な働き方への順応
新型コロナウイルスの流行以降、緊急事態宣言の発令などによって人々の暮らしや働き方が大きく変わりました。人との接触を最小限に抑えるべく、多くの企業ではリモートワークの導入が進み、従業員は自宅をはじめ、好きな場所で業務をこなせるようになったことは記憶に新しいでしょう。
従業員が社外から社内ネットワークにアクセスできるようになったことで、従来の社内ネットワークを前提とした境界型セキュリティでは対応しきれなくなっています。従業員にとって魅力的な環境であり働きやすさを感じられる一方、多様な働き方に順応したことで情報漏洩やデータの不正など、さまざまなリスクが高くなっていることも重要視されている理由のひとつです。
人的ミスの削減
DXに向けてセキュリティ対策を講じておくことで人的ミスの削減にもつながります。例えば多様な働き方に順応した場合、社内外での機密情報の取り扱いが許可されることになりますが、情報がどこからでもアクセスできるという利便性向上と同時に、人的ミスによる情報漏えいリスクが高まるといった危険性があります。
DXを通じて多様な働き方に対応する際、適切なセキュリティ対策を講じておけば、アクセス権限や二段階認証などを通じて、情報を必要とする従業員のみでアクセスでき、機密情報の漏えいを食い止めることができます。
利便性に潜むリスクへの対策
近年では、クラウドサービスや拡張機能に優れたSaaSなどの普及により、情報システム部門に限らず、多くの部署で利便性を高めるためのシステム・サービスの利用が進んでいます。
しかし、情報セキュリティ部門によるセキュリティチェックが済んでいないシステム・サービスが導入されれば、既存システムに悪影響を及ぼしたり、ウイルスを含んだソフトがインストールされ、あらぬ場所で情報漏洩が起きたりする可能性が増えることになります。
利便性向上においてはさまざまなリスクがあることを念頭に置き、情報システム部門の体制強化を図るほか、システム・サービスの導入においては情報システム部門を通すといったルールの厳格化を行う必要があります。
世界的に進む個人情報保護の規制強化
企業によって多くのデータを取り扱うことがマストな時代だからこそ、今度は消費者を守るための規制が施行されているのも重要視される理由のひとつです。
ヨーロッパ連合では2018年に「一般データ保護規制(GDPR)」が施行されました。企業・政府が個人情報を取り扱う上で遵守すべきルールを定めており、個人情報保護の最高基準と考えられています。
また、2020年には「カリフォルニア州消費者プライバシー法(CCPA)」が施行され、消費者は企業に対し「個人情報とその理由を知る権利」「個人情報を削除するよう求められる権利」「第三者提供を停止する権利」などを持つことが認められました。
参考:EU(外国制度) GDPR(General Data Protection Regulation:一般データ保護規則)
参考:California Consumer Privacy Act of 2018 カリフォルニア州消費者プライバシー法(2018年)
サイバー攻撃の機会増加
DX導入にあたってはデータの共有や連携を目的に、これまでインターネットに接続していない端末を接続したり社内ネットワークを通じて新たなシステム・サービスと接点を持ったりすることがあります。外部接点の機会増加は、視点を変えればサイバー攻撃リスクを上げることになります。
例えばDXによってクラウドサービスの利用を開始した場合、クラウドサービス自体はプロバイダによって高いセキュリティ対策が講じられているものの、クラウドサービスへ接続する間に情報が盗難される、あるいは情報を盗聴されるなどのリスクが潜んでいます。
内部不正の防止
優れた情報を収集・分析すればするほど、内部不正リスクも上がります。例えば競合他社にとって有力な情報を自社で保管していることを把握する従業員が、個人的な利益追求のために他社へ売り渡すケースです。売り渡すだけでなく、自社システムに不正アクセスを促し、いつでも他社が閲覧できるようにする恐れもあります。
こうした可能性を最小限に防ぐためにも、セキュリティ対策は万全に整えておく必要があります。
フィッシング詐欺
企業には日々さまざまなメールが届きますが、このメールには情報漏洩や不正アクセスリスクが潜んでいる可能性もあります。近年では偽のメールに留まらずWebサイトを作成し、個人情報や財務情報を取得する犯罪も増えています。高い成功率であるために、企業だけでなく個人にまで大きな影響を及ぼしていることは記憶に新しいでしょう。
フィッシング詐欺被害を防ぐためには、全従業員に対してセキュリティ意識向上に向けた研修を実施する、アクセス権限を細かく管理するなどの対策が求められます。
DX時代のセキュリティ技術トレンド
DX時代ともいえる現代では、さまざまな概念も生まれています。ここからはDX時代のセキュリティトレンドとして、具体的な技術について解説します。
ゼロトラストセキュリティ
ゼロトラストセキュリティとは、ネットワークやシステム通信、ユーザーやデバイスといった全てを信頼せず、正確性に優れたモノ・ユーザーに限定してアクセスを許可するセキュリティにおける考え方のことです。たとえ高いセキュリティ対策が施されたシステムであっても、通信経路上で盗み見られたり、盗聴されたりする可能性があります。
また、仮に信頼できる従業員であっても、収集・管理する情報が機密度の高いものだった場合、競合他社に漏洩するリスクもあります。
企業が取り扱う情報が膨大に増え、データの質が高度になるほど、収集・分析・管理するデータは企業資産としての価値を高め、多くのリスクに晒される危険が高まります。徹底した管理体制のひとつとしても注目を集めており、導入・実施によって企業資産を適切に守る環境構築を実現できます。
多要素認証
多要素認証とは「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせる認証方式です。
知識情報ではこれまで使用していたパスワードや認証コード、秘密の質問などが挙げられ、所持情報ではスマートフォンやタブレット、パソコンといった使用デバイスやICカードを、生体情報では指紋や静脈などがあり、これらを2つ以上組み合わせる認証方法を指します。
例えば知識情報のひとつであるパスワードに加え、所持情報のひとつであるスマートフォンに届く認証コードを用いることで、パスワードが漏洩しても不正アクセスを防ぐことができます。
近年ではIDとパスワードだけの認証では安全性を確保できないことから、ビジネスシーンでも使う機会の多いGoogle Cloudでも多要素認証を必須化しています。
参考:Google Cloud の多要素認証の要件 | Authentication
マイクロセグメンテーション
マイクロセグメンテーションは、ネットワークを細分化して最小単位でアクセス制御を行う技術です。仮にネットワークにおける一部のシステムがサイバー攻撃を受けても影響範囲を限定し、攻撃の水平展開を防ぐことができます。
これまでのネットワークでは一度境界線を突破されると内部は安全なゾーンとみなされるリスクがありましたが、マイクロセグメンテーションによってこのリスクを低減し、ゼロトラストの考え方を実現させることが可能です。
SASE(サッシー)
SASEはネットワーク機能とセキュリティ機能をクラウド上で統合し、いつでもどこからでも安全かつ高速なアクセスを提供するサービスです。リモートワークが進み社外からでも安全なネットワークアクセスを確保する必要がある近年では、SASEによって解決する企業も増えています。
UEBA(ユーバ)
UEBAはユーザー・デバイスの行動を分析し、通常とは異なる行動を検知する技術です。例えば深夜にアクセス権を付与した覚えのないデバイスからログインしようとした形跡を検知するなどが挙げられます。異常をリアルタイムで検知しているため、情報漏洩や不正アクセスの兆候・違和感を早期発見することに役立ちます。
DXにおけるセキュリティの具体策
企業のDX化に向けて万全なセキュリティ対策を講じる必要があるなか、具体的にどのようなものが実施されているのでしょうか。ここからは具体策の一例について解説します。
SSO(Single Sign-On)
SSOは一度のログイン認証で複数のシステム・サービスにアクセスできる仕組みです。ユーザー側は複数のID、パスワードの管理が不要になり、利便性向上に期待できます。管理者側にとってもユーザー認証を一元管理できるため、セキュリティ面の負担軽減につながります。
EDR(Endpoint Detection and Response)
EDRはパソコンやサーバーなどのエンドポイントに潜む脅威を検知・対応するためのセキュリティ技術です。従来のウイルス対策ソフトが既知の脅威を防ぐ技術に対して、EDRは未知の脅威をはじめ、マルウェア感染後の異常な行動を検知し、速やかな対応をサポートする技術です。
サイバー攻撃が巧妙化する近年においてEDRは、エンドポイントセキュリティのなかでも重要視されています。
CASB(Cloud Access Security Broker)
CASBはクラウドサービスの利用状況を可視化し、セキュリティポリシーを適用する技術です。従業員とクラウドサービスとの間にコントロールポイントを設け、利用状況を一元的に可視化・制御できます。
CASBによってシャドーIT(管理部門の承認を得ずに導入されたクラウドサービスやIT資産)も可視化でき、速やかな異常の特定へとつなげます。
SIEM(Security Information and Event Management)
SIEMはシステム・サーバー・アプリケーションなどのログを管理し、インシデントにつながる脅威を速やかに検知する技術です。既存システムやアプリケーションを多数使用していても、一元での収集・監視・解析に対応しているため、速やかな異常検知によって被害を最小限に抑えることができます。
DXのセキュリティ対策におけるポイント
DX化にあたって企業はさまざまなセキュリティリスクに備えなければなりません。ここからは、セキュリティ対策を講じる上でのポイントについて解説します。
ゼロトラストアーキテクチャの導入検討
企業のDX化にあたっては、ゼロトラストアーキテクチャの導入を検討することをおすすめします。ゼロトラストに基づくセキュリティモデルで、どれだけ信用できる社内ネットワークや既存システムであっても無条件に信頼することはせず、どのアクセスにも厳格な検証が伴います。仮に侵害されても被害を最小限に抑えられるほか、サイバー攻撃の拡大も防ぐことができます。
EDRの導入
多様な働き方のなかで多く導入されている方法がリモートワークです。リモートワークの導入にあたっては、EDRの導入も効果的です。EDRによって各端末の異常行動をリアルタイム検知できるため、速やかなトラブル解決や被害の水平展開を抑えることもできます。
徹底したアクセス管理
アクセス管理を徹底することは、不正アクセス・内部不正リスクを最小限に抑える方法として有効です。多要素認証の導入やSSOの活用も有効ですが、アクセス権を見直すだけでも不正アクセスや情報漏洩リスクを抑えることができます。
退社・異動した従業員のアカウントにアクセス権限が残っているだけでも、情報漏洩やデータの改ざんの可能性が上がります。従業員の異動や退社が発生した際は、優先的にアクセス管理を見直しましょう。
バックアップ体制を整える
あらゆるセキュリティリスクに備えるためにも、バックアップ体制を改めて整備する方法も有効です。例えば重要なデータを3つ保持し、異なる2種類の媒体に保存し、そのうち1つを遠隔地に保管するといった「3・2・1ルール」などが挙げられます。
冗長性と分散性を持たせることで、システム障害やサイバー攻撃、自然災害に強いデータ保護体制を構築できます。
まとめ
DXは企業に大きな成長と抜本的な変革をもたらすメリットがある一方で、これまでとは異なるセキュリティリスクを生み出す課題が潜んでいます。安全かつ円滑に推進するためにはゼロトラストの考え方に基づくセキュリティ対策を講じることが求められます。
Peaceful Morningでは、DX推進を加速させるプロ人材を紹介するサービス「DX Boost」を提供しています。グループ600万名を超える人材データベースから、貴社に最適なDX人材を即日ご提案できるため、スピード感を持ってDXを推進できます。
DX化に踏み切るうえで人的リソースが不足している、適切な技術者がおらずDXに踏み切れないといった企業担当者の方は、ぜひお気軽にDX Boostへご相談ください。
コメントを残す