デジタル化を進めることにより、膨大なデータを効率的に活用したり、瞬時に情報連携し生産性を上げたりといった大きな恩恵を受けられます。

少子高齢化による人手不足が起きている日本では、ITの利活用における生産性の向上は欠かせません。

一方で、DX推進によるセキュリティインシデントも年々増加しています。

一度セキュリティインシデントが起きてしまうと業務が停滞し、企業の信用も失われるので細心の注意が必要です。

そこで本記事では、DX推進時におけるセキュリティ対策について解説します。

また、DX化に伴うセキュリティ対策なら、ノムラシステムにご相談ください。

【結論】DXにおけるセキュリティ対策を進めるには要件定義が大切

DX化におけるセキュリティ対策では、まず要件定義をしましょう。

とくに、規模が大きいシステム開発の場合、後からセキュリティ要件を加えると工数が跳ね上がってしまいます。

情報提供依頼書と呼ばれるRFI(Request For Information)や、提案依頼書と呼ばれるRFP(Request For Proposal)などを作成し、ベンダー企業と取り決めを交わしておくことで開発がスムーズに進みます。

情報提供依頼書とも呼ばれるRFIとは、サービスの選定・業務委託・入札などを計画するさいに、ベンダーに対して製品情報や技術情報を求める依頼書です。

提案依頼書とも呼ばれるRFPとは、ベンダーに対して具体的な提案を依頼する文章です。

DX推進においてセキュリティは企業の重要課題

DX推進によって情報がデジタル化されることにより、データをコピーしたりサーバにアップしたりする過程で、情報漏洩やサイバー攻撃のリスクは高まってしまいます。

たとえば、暗号化しないでネットワークにデータを流すと、第三者に盗聴される恐れがあるでしょう。

また、USBやPCを紛失した場合、その端末や端子からデータが流出する可能性も考えられます。

情報漏洩による被害は、機会損失や信用の失墜など甚大です。

そのため、セキュリティ対策は重要課題であることを認識しましょう。

クラウドを使わずオンプレミスの環境でのみデータを扱う場合でも、ネットワークへの不正侵入や従業員・関係者の不正アクセスといったセキュリティインシデントも十分に考えられます。

システムでの防御も重要ですが、あわせて教育・啓蒙活動によって、人的リスクの回避も考慮する必要があるでしょう。

DX推進において課題となる4つのセキュリティリスク

DXを推進するにあたって、課題となるセキュリティリスクを確認しておきましょう。

主なセキュリティリスクは、以下の4つです。

1. 法令順守におけるリスク
2. サプライチェーンリスク
3. 情報漏洩のリスク
4. アクセス・データ管理によるリスク

1.法令順守におけるリスク

DX化にあたっては、顧客や個人の情報・製造に関するデータをクラウド上やネットワーク上にアップロードする機会が増えます。

万が一、個人情報や機密情報が流失してしまうと、企業責任を問われるといったリスクにつながりかねません。

結果として、多大な賠償金を請求されたり、事業活動の停止を余儀なくされたりするケースがあることを覚えておきましょう。

2.サプライチェーンリスク

デジタル化により、関連会社や取引先とのサプライチェーンが広がると、その先でインシデントが起こるリスクが増加します。

過去には、マルウェアに感染した取引先からの添付ファイルで感染が拡大した事例もありました。

自社以外のセキュリティインシデントについても目を凝らす必要が出てくるため、管理・運用の体制を整える必要があります。

3.情報漏洩のリスク

万が一、社内に不正侵入されると、機密情報や顧客データを盗取される可能性があります。

営業関連の機密データが盗まれ競合他社に渡ってしまうと、先行利得を獲得できなくなり、自社ブランドの形成にも悪影響を及ぼしかねません。

顧客データを盗まれると利用者からの信頼も失い、売上の減少につながる可能性も高いです。

4.アクセス・データ管理によるリスク

ステークホルダーがデータにアクセスすることで、操作ミスや不注意によるデータ漏洩を起こす可能性が考えられます。

また、業務委託先や派遣社員が金銭目的で情報を漏洩させたニュースも度々目にします。

社内の従業員だけでなく、ステークホルダーの管理・教育も徹底しておきましょう。

DX推進に必要なセキュリティの考え方

DXを安全に推進するため、以下のセキュリティの考え方を覚えておくことは大切です。

• クラウドセキュリティ | クラウド環境におけるセキュリティ対策
• ゼロトラストセキュリティ | すべてのネットワークやデバイスに脅威あり
• エンドポイントセキュリティ | ネットワークの末端に接続されている機器を守る

それぞれ解説します。

クラウドセキュリティ | クラウド環境におけるセキュリティ対策

クラウドサービスを利用する場合、クラウド上のデータや通信は暗号化してセキュリティ対策を行いましょう。

また、必要最小限のアクセス権を付与し、無関係な人がデータを見られる状態にすることは避けるべきです。

業務担当者が異動したり、退職したりした場合も早急に権限を削除しましょう。

ゼロトラストセキュリティ | すべてのネットワークやデバイスに脅威あり

会社のネットワークで使用している、すべてのデバイスが攻撃の対象となる可能性を考慮しましょう。

パスワードと指紋を組み合わせるなど、2段階認証以上の多要素認証を導入し、本人以外がアクセスできない環境を構築することが大切です。

また、本人による不正防止・牽制のため、アクセスログをとり周知することも忘れてはいけません。

エンドポイントセキュリティ | ネットワークの末端に接続されている機器を守る

ユーザー一人ひとりの端末を目視して不審な動きをしていないかを常に監視することは、不可能です。

そのため、ウイルスのパターンマッチングで検出するEPPや、不審なふるまいを検知するEDRの導入も検討しましょう。

DX推進におけるセキュリティインシデント例

DX推進にあたって気を付けるべきセキュリティインシデントの例を紹介します。

• ランサムウェア | 端末を人質にとる攻撃
• 標的型攻撃 | 標的となる人物や組織の情報を抜き出す攻撃
• サプライチェーン攻撃 | 標的企業の関連企業などを経由し不正侵入をしてくる攻撃

ランサムウェア | 端末を人質にとる攻撃

ランサムウェアは、端末内のデータを暗号化し、身代金を要求することでデータを復元させる攻撃です。

最近では、金銭を支払ってもデータが戻ってこなかったり、再度同じ攻撃者から攻撃を受けたりするケースも増えています。

ネットワーク上のバックアップデータも暗号化される可能性があるので、オフラインでデータを複製しておくと対策につながるでしょう。

標的型攻撃 | 標的となる人物や組織の情報を抜き出す攻撃

標的型攻撃は、特定の組織や企業を攻撃する手法です。

その企業の取引先を装ったり、従業員に個別でコンタクトをとったりします。

周知のマルウェアのように、ウイルス対策ソフトやEDRでは防げません。

定期的な教育や訓練で、従業員やユーザーのリテラシーを上げることによって対策を講じる必要があるでしょう。

サプライチェーン攻撃 | 標的企業の関連企業などを経由し不正侵入をしてくる攻撃

サプライチェーン攻撃は標的型攻撃の一種で、子会社や関連会社経由で不正侵入をしてきます。

そのため、大企業になればなるほど、子会社のセキュリティにも目を配る必要があります。

DX推進時に意識すべきセキュリティ対策

DX推進をするなら、ID管理の徹底・データガバナンスの制定・運用管理の徹底をするべきです。

万が一、退職者のIDがそのまま残っていたり、別事業部の社員がほかの部門のデータにアクセスできたりすると、セキュリティリスクが跳ね上がります。

セキュリティポリシーを定め、不要なIDを定期的に棚卸したり、退職者・異動者のアクセス管理を都度見直したりすることが重要です。

利用者の利便性は担保しつつ最低限の権限付与を行い、安全な運用を実現するように心がけましょう。

まとめ

DXを推進することで、業務の効率化や生産性の向上が図れます。

しかし、セキュリティリスクを考慮しなければ、業務停止やデータ流失による機会損失・信用低下も免れません。

DX化をするにあたっては、専門家に相談しサポートを受けることでリスクを避けられます。まずはノムラシステムにご相談ください。

お問い合わせはこちら