こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。
DXは、企業や組織における喫緊の課題です。しかし、その推進にあたっては、セキュリティリスクの低減にも力を入れなければなりません。
では、DXにはどのようなセキュリティリスクがあるのでしょうか。また、リスクにどう対応すれば良いのでしょうか。
今回は、DX推進におけるセキュリティリスクと対策を、事例を交えながら解説していきます。
DX推進とセキュリティ
DXとは、デジタルトランスフォーメーションを略した言葉です。
これは、デジタル技術を活用して、企業が自社のビジネスモデルや社内風土を変革し、競争力を維持することを指します。
近年、DXは多くの企業で推進されています。DXが実現すれば、業務は効率化され、事業にかかるコストや従業員の負担は軽減されていくでしょう。
ただし、DXの推進には、セキュリティリスクが伴います。デジタル技術の活用によってあらゆる情報が繋がれば、それだけ悪意やミスによるサイバー攻撃や情報漏えいのリスクも高くなってしまうのです。
これを防ぐため、DX推進にあたっては、企業はセキュリティリスクへの対策にも力を入れる必要があります。
DXの必要性については「DXはなぜ必要なのか?推進しないリスクや成功させるポイント等を解説」もご一読ください。
セキュリティ対策の強化が求められる背景
DXにおけるセキュリティ対策の強化が求められる背景には、次の社会的変化が関係しています。
データ量の増加
インターネットの普及やITシステム、デジタルサービスの増加によって、世界中であらゆるデータが運用されるようになり、近年のデータ量は大幅に増加しています。
今後も、データは増え続けていくでしょう。
そして、このデータの中には機密性の高い情報も多く含まれます。
その情報を守るためには、万全なサイバーセキュリティ対策が欠かせません。
個人情報の扱いの規制
最近では、各国で個人情報の扱いの規制が厳格化されてきています。
例えば、EUの一般データ保護規則やカリフォルニア州の消費者プライバシー法など。
このような規制に対応するためにも、企業や組織はセキュリティ対策を行わなければなりません。
現在規制がない地域でも、個人情報の重要性を踏まえると、それを守る対策は講じるべきでしょう。
リモートワークの増加
2020年の新型コロナウイルスの流行以降、リモートワークは増加傾向にあります。
しかし、リモートで仕事をするということは、守られた社内ネットワークの外でさまざまな情報やデバイスを活用するということ。これにより、当然セキュリティリスクは高まります。
リモートワークの安全性を確保するためにも、企業はネットワークやデバイスに対するセキュリティ対策を行わなければなりません。
使用するサービス増加
人々が使用するオンラインサービスが増加したことも、サイバーセキュリティを高めるべき背景のひとつです。
近年、多くの便利なクラウドサービスやアプリが開発されるようになりました。
ビジネスやプライベートで、複数のクラウドサービスやアプリを利用している方は多いでしょう。
しかし、セキュリティ上の脆弱性を持つサービスを利用してしまった場合、そのリスクは大きなものになります。
特に、ビジネスにおけるリスクは大きいため、サービス導入にあたっては、企業はセキュリティ対策および事前チェックを入念に行う必要があります。
DX推進で課題となるセキュリティリスク
DXの推進において課題となるセキュリティリスクの具体例としては、次のようなものが挙げられます。
データを暗号化して利用できない状態にした上で、それを元に戻す代わりに身代金を要求するタイプのマルウェア
攻撃のターゲットに対し、取引先や顧客を装ってメールを送り、ターゲットにマルウェアを潜ませたファイルを開かせてデバイスを感染させ、そのデバイスを踏み台にネットワークに忍び込んで、情報を盗んだり改ざんしたりする攻撃
偽のメールなどから偽のWebサイトにアクセスさせ、IDやパスワード、クレジットカード情報などを入力させて、それらの情報を盗む攻撃
企業内の従業員や取引先など、内部の人間による意図的な情報漏洩やデータの不適切な利用
セキュリティリスクにはさまざまなものがありますが、特に近年多く発生しているのが上記の攻撃・不正です。
セキュリティリスクは、第三者だけではなく内部の人間によっても引き起こされる可能性があるので、企業は内外に向けた対策を行わなければなりません。
DX推進によるセキュリティ事故事例
ここからは、DXの推進の中で起こったセキュリティ事故の事例を3つご紹介します。
【事例①】ランサムウェア感染し、脅迫を受けた
2022年、自動車部品を製造する小島プレス工業株式会社では、自社サーバやパソコンがランサムウェアの攻撃に遭いました。
サーバのデータは暗号化され、攻撃者からは連絡しなければデータを公表する旨の脅迫があったといわれています。
その原因となったのは、外部企業との連絡に使用していたリモート接続機器。
攻撃者はこの機器の脆弱性を狙って不正アクセスを行い、ネットワークに侵入したとみられます。
小島プレス工業はトヨタ自動車の子会社であったため、この攻撃によって全国のトヨタ自動車の工場は一時停止に追い込まれました。
結果として情報流出はなかったものの、ランサムウェアへの感染は、大きな混乱を引き起こしたのです。
【事例②】個人情報のデータを紛失した
2023年には、兵庫県立がんセンターの医師が患者55人分の個人情報が入ったUSBメモリーを紛失する事故が発生しました。
病院では電子カルテを導入しており、そこから抽出したデータがUSBに入っていたとみられています。
結果として、USBは見つかっておらず、また情報の悪用も確認されていないため、情報流出の有無についてはわかっていません。
被害患者には謝罪がなされたものの、その不安が消えることはないでしょう。
このように、DXの過程ではヒューマンエラーやずさんな情報管理によるリスクも懸念する必要があります。
【事例③】社員が意図的に機密情報を盗んだ
化学製品を製造する積水化学工業株式会社では、2018年から2019年にかけて、社員が意図的に機密情報を漏洩するという事件が起こりました。
当該社員は、自身がアクセスすることのできた会社の機密情報を、中国に本社を置く通信機器メーカーにメールで送っていたことが分かっています。
情報漏洩にあたって、この社員は経済的利益を得ておらず、また積水化学側も具体的な損失は受けていません。
しかし当該社員は2021年に有罪判決を受けており、懲役2年と罰金100万円、執行猶予4年を言い渡されています。
安全に利用できるセキュリティを確保したインフラとは
DXの推進にあたっては、安全に利用できるセキュリティを確保したITインフラを整備することが重要です。
ITインフラにおいては、速度や安定性、利便性を確保することが重要ですが、それだけでは管理は不十分です。利便性を高めるほど情報管理のリスクは高くなるため、インフラ整備にあたっては、その安全性、つまりセキュリティ対策にも力を入れなければなりません。
より安全なDX推進のためには、アクセス管理やバックアップ、ネットワークの監視など、あらゆる対策によってインフラのセキュリティを確保し、攻撃者に対する隙を作らないようにしましょう。
セキュリティをはじめとした、中小企業のDXにおける課題やポイントについては「中小企業がDXに取り組む際の課題やポイントとは?」をご一読ください。
DX推進における具体的なセキュリティ対策
ここまで述べてきたように、DX推進にあたっては、強固なセキュリティ対策が必要です。
そのために役立つ対策・技術の具体例としては、次のようなものが挙げられます。
シングルサインオン(SSO)
シングルサインオンは、一度の認証手続きによって、複数のWebサービスやアプリケーションへログインできる技術です。
Webサービスやアプリケーションごとに、いくつものIDやパスワードをそれぞれ管理していくには、流出や変更・消去漏れ等のリスクが生じます。
しかし、シングルサインオンでは、連携したすべてのサービスに対し、ひとつのID・パスワードだけでアクセスが可能。ID・パスワード管理がシンプルになるため、上記のリスクを低減することができます。
また、アクセス制御機能や強固なセキュリティ機能を有するサービスも多いことから、シングルサインオンはセキュリティ対策として有効です。
シングルサインオンについては「【図解】シングルサインオン(SSO)とは?仕組みやメリットをわかりやすく解説」で詳しくご紹介しています。
EDR(Endpoint Detection and Response)
EDRは、エンドポイント(ユーザーが使う端末)の不審な挙動を検知し、通知するセキュリティシステムです。
このシステムは、「何も信用しない」というゼロトラストの考えから開発されたもの。「攻撃は完全に防御しきれないもの」として、内部に侵入された場合の攻撃を想定し、エンドポイントの監視を行います。
近年ではファイアウォールをはじめとしたネットワークの入口における攻撃の完全防御が難しくなってきているため、EDRを導入する企業は少なくありません。
CASB(Cloud Access Security Broker)
CASBは、クラウドサービスの利用を監視・制御できるソリューションです。
具体的には、アクセスを可視化してシャドーITを検知したり、利用するクラウドサービスのセキュリティポリシーへの適合を判断したり、アクセス権限を設定したり、またマルウェアを検知したりすることができます。
近年のクラウドサービスの利用増加に伴い、CASBの必要性は増しています。このソリューションを用いて従業員の行動を監視することで、クラウドサービスの利用はより安全になるでしょう。
SIEM(Security Information and Event Management)
SIEMは、ネットワークやシステム、機器における脅威を監視・検出して通知し、調査まで行うセキュリティシステムです。
このシステムは、ネットワークや機器内のログデータからイベントログを収集し、管理・分析を行うことで、脅威に先回りした対策の実施を可能にします。
SIEMによる脅威の早期発見・対策は、サイバー攻撃による被害を最小限にとどめるにあたって有効です。
まとめ
DXによってデジタル技術の活用を進めると、同時にサイバーセキュリティリスクも高くなっていきます。企業が自社のデータを守り、信頼性を維持していくためには、あらゆる手段を用いた先手でのセキュリティ対策が必要です。
また、従業員によるミスまたは意図的な事故発生が多いことを踏まえると、会社内部における対策にも、企業は力を入れなければなりません。
DX推進においては、「ゼロトラスト」を念頭に、全ての方面に向け、セキュリティを確保するようにしましょう。