コラム

Column

2022.01.18

DX時代にはセキュリティがますます重要に!その課題とリスク、対策について一挙解説

  • DX時代にはどのような課題があるのだろうか
  • DX時代のセキュリティリスクを整理したい
  • DX時代のセキュリティリスクへの対策を知りたい

昨今、多くの企業でDXの推進が求められています。経済産業省では、DXを以下のように定義しています。


企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること

参考:デジタルトランスフォーメーションを推進するための ガイドライン (DX 推進ガイドライン) Ver. 1.0 経済産業省


参考:デジタル・トランスフォーメーション(DX)推進に向けた 企業とIT人材の実態調査 情報処理推進機構


DXには、生産性の向上や新たなビジネスモデルの開発など、様々なメリットがある一方、セキュリティなどには課題があります。


本記事では、DX時代のセキュリティ課題とセキュリティリスクを紹介し、そのセキュリティリスクへの対策も紹介します。

目次
DXによる生産性向上とセキュリティ向上の両立がますます重要に
DX時代におけるセキュリティの課題
DX時代に注意しなければならない主なセキュリティリスク
DX時代のセキュリティリスクへの対策
DX時代のセキュリティにおいて注意すべきポイント
まとめ

DXによる生産性向上とセキュリティ向上の両立がますます重要に

企業活動において、DXによる生産性向上とセキュリティ向上の両立がますます重要になっています。

日本においては少子高齢化と、それに伴う労働人口の減少によって、生産性向上がより重要な課題になっています。

厚生労働省の報告によると2025年には高齢者人口(65歳以上の人口)が約3,500万人に達すると予想されています(2025年問題)。また、2025年は日本の総人口は1億2,066万人と試算されています。よって、人口の約4分の1が高齢者になる計算です。

そのため、働き手不足がこれまで以上に深刻になると予想されます。これを解決するためには、DXによる生産性向上が欠かせません。

参考:今後の高齢化の進展~2025年の超高齢社会像~ 厚生労働省

参考:日本の人口等関係資料 厚生労働省

ただ、DXの推進にも課題があります。経済産業省のレポートでは、日本のインフラ整備や各企業がデジタル化の波に取り残され、古い技術のまま事業を続けていると報告されています。古い技術には、生産性の低さに加えてセキュリティリスクもあります。セキュリティリスクを放置してセキュリティインシデントが発生すると、それらによる経済損失は、最大で12兆円に上る恐れがあります。

これらの理由から、DXによる生産性向上とセキュリティ向上の両立がますます重要になっているのです。

参考:DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~ 経済産業省

DX時代におけるセキュリティの課題

ここでは、DX時代におけるセキュリティの課題を、以下の順に紹介します。

  • セキュリティ人材不足
  • セキュリティ対策が必要な範囲の増加
  • 社内外の境界があいまいに
  • ビジネス環境や攻撃方法の変化の早さ

セキュリティ人材不足

DX時代におけるセキュリティの課題の1つ目は、セキュリティ人材不足です。

総務省の令和2年度情報通信白書では、約9割の日本企業がセキュリティ人材不足を感じているとしたアンケート調査の結果を紹介しています。また、総務省が2018年に公表した資料では、2020年には情報セキュリティ人材が19.3万人不足する見込みと記載されていました。その背景として、そもそも日本ではセキュリティ意識が低かったことがあります。

セキュリティ人材不足を解消するためには、まずスペシャリストの確保が先決です。ただ、市場に存在するセキュリティ人材も不足しており、優秀な人材を確保したくても価格が上がっていて簡単に採用できません。

そのため、セキュリティ人材の育成・教育が必要ですが、多くの企業ではそこにも課題を感じています。その主な要因は、セキュリティ人材の適切なキャリアパスの不足や、セキュリティ教育実施に必要な時間の捻出の困難さなどです。

参考:令和2年度情報通信白書 総務省

参考:我が国のサイバーセキュリティ人材の現状について 総務省

セキュリティ対策が必要な範囲の拡大

DX時代におけるセキュリティの課題の2つ目は、セキュリティ対策が必要な範囲の拡大です。

DX時代には、テレワークやIoTなどの普及でデジタル技術を活用する機会が今まで以上に拡大します。また、データが存在する場所や、データにアクセスする人も多様化、複雑化しています。しかし、このことは攻撃者にとっては攻撃対象や攻撃方法も拡大することを意味しています。

そのため、今まで以上に広い視野をもって、サプライチェーン全体でセキュリティを考える必要があると言えます。

社内外の境界があいまいに

DX時代におけるセキュリティの課題の3つ目は、社内外の境界があいまいになることです。

DX時代には、テレワークの普及やクラウドサービスの普及で、社内外の境界があいまいになることにも注意しなければなりません。

これまでは、セキュリティ対策として主にファイアウォールなどの境界型セキュリティモデルが用いられてきました。境界型セキュリティモデルは、最初のゲートで信用評価を行うもので、最初のゲートで信用できると判断されたアクセスはその後も安全と判断されます。

しかし、社内外の境界があいまいになると、境界型セキュリティモデルだけでは不十分になってきたのです。

ビジネス環境や攻撃方法の変化の早さ

DX時代におけるセキュリティの課題の4つ目は、ビジネス環境や攻撃方法の変化の早さです。

昨今、IT技術の多様化と進化によってビジネスを取り巻く環境が変化するスピードが一層早まっています。ビジネスで成功し続けるには、デジタル技術を活用してその変化に対応していくことが重要になります。

また、ビジネス環境の変化によってセキュリティ対策も変えていかなければなりません。サイバー攻撃の手法も日進月歩なので、攻撃のトレンドにいち早く対応していくこともセキュリティを守るためには欠かせません。

DX時代に注意しなければならない主なセキュリティリスク

DX時代に注意しなければならないセキュリティリスクは多数存在しますが、ここでは、その中でも代表的なセキュリティリスクを、以下の順に紹介します。

  • ランサムウェア
  • 標的型攻撃
  • ゼロデイ攻撃
  • サービス妨害攻撃

ランサムウェア

DX時代に注意しなければならない主なセキュリティリスクの1つ目は、ランサムウェアです。

ランサムウェアは、端末を勝手にロックしたり、ファイルを暗号化したりすることで使用できないようにし、端末を元に戻すことと引き換えに身代金を要求するものです。「ランサム(Ransom=身代金)」と「ウェア(Software)」をつなげた造語で、身代金要求型不正プログラムとも言います。

不正なWebサイトやメールからターゲットの端末をランサムウェアに感染させ、使用できないようにした後に身代金を要求する画面を表示させるのが代表的な手口です。

標的型攻撃

DX時代に注意しなければならない主なセキュリティリスクの2つ目は、標的型攻撃です。

標的型攻撃とは、機密情報を盗み取ることなどを目的として、特定の個人や組織を狙った攻撃のことです。攻撃対象とする組織の担当者に、業務関連を装ったウイルス付きメールを送付することが代表的な手口です。

攻撃対象が明確で、メールなどを巧妙に作り込むことができるため、完璧な防御対策を行うことは困難です。

ゼロデイ攻撃

DX時代に注意しなければならない主なセキュリティリスクの3つ目は、ゼロデイ攻撃です。

ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見されてから、その脆弱性に関する情報公開や対策が講じられる前に、その脆弱性に対して攻撃を行うものです。脆弱性が発見されてから対策が講じられるまでは無防備な状態で、対策が難しいことが特徴です。

サービス妨害攻撃

DX時代に注意しなければならない主なセキュリティリスクの4つ目は、サービス妨害攻撃です。

サービス妨害攻撃(DoS(Denial of Service))とは、攻撃対象のWebサイトやネットワークに大量のデータを送りつける攻撃のことです。これにより過剰な負荷をかけ、Webサイトやサービスをパンクさせることを狙っています。

また、コンピューターウィルスで端末が乗っ取られ、その端末が踏み台にされてサービス妨害攻撃が行われることもあります。このサービス妨害攻撃は、DDoS(Distributed DoS)と言います。

DX時代のセキュリティリスクへの対策

ここでは、DX時代のセキュリティリスクへの対策を、以下の順に紹介します。

  • ゼロトラストモデル
  • エンドポイントセキュリティ

ゼロトラストモデル

DX時代のセキュリティリスクへの対策、1つ目はゼロトラストモデルです。

ゼロトラストモデルとは、社内外どこからアクセスされたかを問わず、アクセスの正当性や安全性を都度検証するものです。

DX時代には、端末の数が増えてセキュリティ対策が必要な範囲が増加します。また、テレワークの普及などで社内外の境界もあいまいになります。そのため、従来型の境界型セキュリティモデルでは不十分で、ゼロトラストモデルも活用することでよりセキュリティを強化できると考えられます。

参考記事:ゼロトラストとは?クラウド時代のネットワークセキュリティモデル

エンドポイントセキュリティ

DX時代のセキュリティリスクへの対策、2つ目はエンドポイントセキュリティです。

エンドポイントセキュリティとは、エンドポイント(ネットワーク末端のPC、スマートフォンなどの端末)自体やエンドポイントに存在する情報を、攻撃から守るセキュリティ対策のことです。

DX時代には、サイバー攻撃の高度化が進み従来のアンチウイルスソフトなどだけではエンドポイントへのサイバー攻撃を防ぎきれなくなってきました。そこで、エンドポイントセキュリティを強化し、エンドポイントが攻撃された時に被害を最小限に食い止めることも重要になっています。

参考記事:エンドポイントセキュリティとは?必要とされる理由や理解するために必要なキーワードとともに解説

DX時代のセキュリティにおいて注意すべきポイント

ここでは、DX時代のセキュリティにおいて注意すべきポイントを、以下の順に紹介します。

  • アクセス管理の強化
  • 利便性とセキュリティの両立
  • セキュリティ人材の確保・育成

アクセス管理の強化

DX時代のセキュリティリスクへの対策、1つ目はアクセス管理の強化です。

DXが進むと、あらゆる場所からあらゆる方法でデータにアクセスできるようになります。その分、セキュリティを強化するにはアクセス権限の管理がより重要になります。

例えば、アクセスしようとするユーザーに対してIDや端末などの認証を徹底することで、不当なアクセスや乗っ取りによる侵入を防止できます。また、万が一悪意ある第三者による攻撃や内部不正が発生しても、アクセス権限の管理を徹底できていれば、ログの追跡などで被害を最小限に食い止めることが期待できます。

利便性とセキュリティの両立

DX時代のセキュリティリスクへの対策、2つ目は利便性とセキュリティの両立です。

DX時代には、セキュリティ対策が必要な範囲が増加している上に社内外の境界もあいまいになっているため、従来型の境界型セキュリティモデルだけでなくゼロトラストモデルの活用も広がっています。ただ、境界型セキュリティモデルよりもゼロトラストモデルの方が認証を行う箇所が多いため、導入・運用コストが高くなる傾向にあります。

このように、セキュリティ強化により利便性が損なわれて、生産性低下を招くこともあります。そのため、社内の現状に合わせて、利便性とセキュリティについて最適なバランスを見極めることが必要になります。

セキュリティ人材不足の確保・育成

DX時代のセキュリティリスクへの対策、3つ目はセキュリティ人材の確保・育成です。

経済産業省は、「セキュリティ人材」を「セキュリティ体制を担う人材のうち、セキュリティ対策を主たる目的とする 業務や役割を担う人材」と定義しています。

セキュリティ人材は、社内のセキュリティを守るためには非常に重要な役割を担いますが、多くの企業で不足しているのが現状です。総務省が2018年に行った報告によると、2020年には19.3万人のセキュリティ人材が不足すると見込まれています。

研修や採用活動を通じた、質の高いセキュリティ人材の確保・育成が必須です。

参考:サイバーセキュリティ経営ガイドライン Ver2.0 付録 F サイバーセキュリティ体制構築・人材確保の手引き ~ ユーザー企業におけるサイバーセキュリティ対策のための 組織づくりと従事する人材の育成 ~ 第1.1版 経済産業省

参考:我が国のサイバーセキュリティ人材の現状について 総務省

まとめ

本記事では、DX時代のセキュリティ課題とセキュリティリスクを紹介した後、セキュリティリスクへの対策も紹介しました。

日本においては特に、少子高齢化とそれに伴う労働人口の減少の企業活動を続けるには、DXによる生産性向上は欠かせません。ただ、DXにおいてもセキュリティリスクは存在するため、DXによる生産性向上とセキュリティ向上の両立がますます重要になります。セキュリティ対策については、平時もIT環境の衛生を監視する、サイバーハイジーンの重要性も高まっています。

また、IT技術の進化に伴うサイバー攻撃の多様化や変化スピードに対応できるセキュリティ体制を構築できるかが、DX時代のビジネスで成功するには重要なポイントです。