Digital Business +Design
特集
» 2021年08月02日 10時00分 公開

DRMとは? DX時代のリスクマネジメントは従来と何が異なるか DX推進特有のリスクと対応体制

DX推進は輝かしい成果に目が行きやすく、成果を急ぐ経営陣も多いだろう。だがサイバーセキュリティインシデントへの対応体制は十分だろうか。事業成長の核を担うDX施策のリスクに対応する体制整備の在り方を取材した。

[齋藤公二,ITmedia]

 企業がDX(デジタルトランスフォーメーション)を推進する中で、想定外のリスクに直面するケースが増えてきた。例えば、サービスの設計や運用に際して、従来の考え方やルールが不十分になり、情報漏えいを引き起こしてしまうような事例がある。

 顧客の利便性を追求したサービス開発では、外部サービスを連携することも少なくない。APIなどを介してシステム間で情報を連携できれば、1つのシステムで一貫した体験を提供できる。ただし、組織を横断したサービス提供では連携先のサービス実装の不備などが生じた場合、不正な操作を許してしまったり自社顧客の利益を損なってしまうリスクもある。いざ問題が生じたときの情報収集や対応も複雑になる。

 実際に、この数年で便利なはずのサービスがきっかけで想定外の問題が生じて、結果的に顧客が大きな損失を被りかねない事件が頻発した。これらの問題に共通するのが、連携サービスのそれぞれにセキュリティ対策上の不備があった点だ。中でも特に注目されたのが重要プロセスの抜け漏れだ。利便性やスピーディーな開発を求めるあまり、当初設定されていた安全のためのプロセスが破棄されたり、連携先を信用しすぎたサービス設計になっていたりした結果、顧客の資産を毀損する大問題につながった事例もある。連携する企業の1社でも、サービス全体の仕組みを考慮してセキュリティ対策を強化していれば事故は防げた可能性があるものも多い。

Ridgelinez プリンシパル 藤本 健氏

 Ridgelinezプリンシパルの藤本 健氏によれば、ここから得られる教訓は2つある。1つは、従来のルールを順守しているだけでは防げないリスクが増えているということだ。特にクラウドサービスは日々進化しており、新たなサービスが構築されるたびに新たな脆弱性が生まれるような状況だ。そうした進化に迅速に対応していく新たな視点を持つことが必要になる。

 もう1つは、セキュリティ対策を強化する際には、自社が運用するルールだけでなく、連携先を含むサービス全体を見据える必要があるということだ。自社が万全のセキュリティ対策を実施しているつもりでも、サービス連携している接続先企業のセキュリティ対策に抜け穴があり、そこから被害に遭う可能性がある。全てのステークホルダーと連携して、セキュリティ対策を実施することが必要だ。

 では、こうした取り組みはどのように実践していけばよいのか。

SOCやCSIRTでは掌握し切れない「デジタルリスク」の問題

 Ridgelinezは富士通のグループ企業で、企業のDX推進を支援するソリューションを提供している。同社はDXを推進するに当たって企業が直面するリスクを「デジタルリスク」として位置付け、「デジタルリスクマネジメント(DRM)」という概念のもと、企業のDXをDRMとともに推進するアプローチを提案する。DRMの定義や対象領域、Ridgelinezの支援内容については、過去の記事を参照してほしい。

 DRMが重要になってきた背景には、DXのリスク管理が、これまでのガバナンス・リスク・コンプライアンス(GRC)に代表される統合リスクマネジメントの取り組みだけでは対応しにくくなってきたことがある。

 「デジタル化にともなって、環境が急激に変化しており、技術が進歩するスピードもますます速まっています。従来のリスクマネジメントのままDXの取り組みを進めると、ビジネスが立ち行かなくなるケースも実際に現れ始めています。『今のリスク感度では怖い』という意識が現場担当者や経営層の中に広がりはじめています」(藤本氏)

 同時に、そうした危機意識を持つ担当者と、経営トップ層との間にギャップも生じ始めている。という。そのことを象徴しているのが、SOC(セキュリティ運用センター)やCSIRT(インシデント対応チーム)における意思決定の在り方だと藤本氏は話す。

 「サイバー攻撃の高度化にともなって、大手企業を中心にSOCやCSIRTを設置・運営する動きが進みました。ただ、SOCが実行するのはセキュリティインシデントの封じ込めであって、ビジネス継続の視点からの対策ではないことがほとんどです。本来ならCSIRTとのタッチポイントを整備して、経営層の意思決定の下で、セキュリティインシデントに対応すべきですが、現状では必ずしもそうなっていない。最後のビジネス判断がCSIRTではできず、CSIRTと危機管理本部との連携もスムーズではなく、経営トップもリスクのコントロールができていないという状況です」(藤本氏)

デジタルリスクマネジメント(DRM)とは何か

Copyright © ITmedia, Inc. All Rights Reserved.

Digital Business +Design

注目のテーマ