加速するDXシフト セキュリティーはセットで

デジタル技術の経済社会への深い浸透により、DXシフトが加速度的に進んでいる。データを資源として、その利活用を進めるDX時代は、ネットとリアルの一体化が進み、つながるITシステムが増える。これにより、サイバー攻撃の起点が拡大するなど、様々なリスク(脅威)が生まれ、それに対応するセキュリティーは一段と重要になる。
本コラムは2020年12月15日日本経済新聞朝刊掲載 広告企画「DXの地平」を採録したものです。

目次

増える脆弱性の探索行為

警察庁が10月1日に発表した「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、サイバー空間の脅威は引き続き深刻な情勢にあるという。同庁が国内で検知したサイバー空間における脆弱性探索行為等とみられるアクセスの件数は増加傾向にあり、1日1IPアドレス当たり6218.1件に上る(グラフ参照)。

DXの目的はデジタル技術を活用して新製品や新サービス、新たなビジネスモデルなどをつくり出し、ネットとリアルの両面から、企業価値を高めることだ。しかし、企業がDXを推進することで、利活用される個人情報などのデータやITシステムは増加し、システムの脆弱性を突いた不正アクセスやフィッシング詐欺など、新たなセキュリティー問題が生じる懸念は大きい。DXの推進に不可欠なデジタル技術だが、そのアクセシビリティーは攻撃者を排除するものではない。

つまり「デジタル活用が進めば、サイバーセキュリティーにおける脅威が増すのは自然」(三菱総合研究所サイバー・セキュリティ戦略グループ江連三香グループリーダー)な流れなのである。

目的に合ったクラウド選択を

昨年、ある流通大手のキャッシュレス決済サービスが不正アクセスを受け、取得された多数のID・パスワードが悪用されてサービスが不正利用され、サービス開始からわずか3カ月でサービス終了となった。新たなサービス開始というDXの推進によって事業拡大を目指したはずが、セキュリティー対策の不十分さによって、事業廃止、信用低下という大きなマイナスにつながった。

東洋大学情報連携学部の満永拓邦准教授は「いくら良いビジネスモデルができても、穴があればやられてしまう。DXは改革というより生き残り策。セキュリティーは絶対不可欠なもの」と訴える。つまりセキュリティー対策はDX推進とセットで進めなければいけない重要な経営課題だ。

本来、セキュリティー対策はそれぞれの組織で取り組むべきもの。しかしサイバー攻撃による脅威の変化が著しい現状において、一組織の対応には限界がある。新たな攻撃の手口など、被害を受けた組織からの迅速な情報提供が行われなければ、同様な攻撃による被害拡大につながる。サプライチェーン上の弱点を狙って攻撃対象に侵入を図るサイバー攻撃も増えており、社会全体で「サイバーセキュリティーエコシステム」を形成することが求められる。

またコロナ禍によるリモートワークなどの広がりで、クラウドサービスの利用が急速に拡大している。社内で運用していたファイルサーバーへのアクセスが集中し、VPN(仮想私設網)が落ちたりするため、急きょクラウドを活用するようなケースだ。「安易に移行しているケースが散見され、情報漏洩の危険性は高い」(満永氏)。DX時代はクラウドサービスを利用する企業が一層増加するとみられ、「目的に合ったサービスの選択が重要で、デジタル技術の変化に対応できるようセキュリティーポリシーの再検討が必要」(三菱総合研究所サイバー・セキュリティ戦略グループ平野賢一氏)。

推進と対策つなぐ人材必要

ではDX推進とセキュリティー対策をセットで進める上で何が必要なのか。「DX with Cybersecurity」の啓蒙を図る内閣サイバーセキュリティーセンターの山内智生副センター長は「目的の明確化と社内の意識改革」と指摘する。DXもセキュリティーも手段であり、目的ではない。デジタル技術を使って何を実現したいのか、またそれを進める上で生じるリスクは何か。目的が明確になれば、取るべき対策は見えてくる。またDX推進のメリットは全社に波及する。当然そのリスクは全社で対応しなければいけない。だからセキュリティー対策はIT部門だけの仕事ではなく、経営者やマネジメント層も連携して進めるという社内の意識改革が必要だ。そこで重要なのが人材。セキュリティーの専門家はもちろんだが、DX推進とセキュリティー対策をつなぐ人材の育成が急務となる。

山内氏は「サイバーセキュリティーはリスク管理の一環。サイバーだからといって難しく考える必要はない」と話す。「まず自社の業務やビジネスがどれだけデジタルに依存しているかを把握し、できる対応から取り組むことが大切」と主張する。その上で全体像を正しくつかんでセキュリティーポリシーを定め、DX推進計画を立てて、必要な部分で必要なセキュリティー対策を取ることだ。

DX時代において、IT化の遅れは致命的な経営リスク。しかし十分なセキュリティー対策を取らずして進めることはもっと危険だ。推進と対策をセットにした対応がいま求められている。

コラム一覧へ戻る