「人も、経営層の理解も、予算も足りない」 ないない尽くしの中小企業のDX、どうすべき？（1/2 ページ）

DXを進めようにも人も足りなければ経営層の理解も得られず、当然予算も出ない。当然セキュリティ対策はしなくてはいけないが、やはり予算が不十分。「ないない尽くし」の中小企業では、会社が管理できていない「シャドーIT」や退職後に削除されずに放置されているクラウドサービスのアカウントがセキュリティリスクとなっている。

[山下竜大，ITmedia]

　DX（デジタルトランスフォーメーション）に取り組む大企業が増える中、中小企業の立ち遅れが目立つ。DXを進めようにも人も足りなければ経営層の理解もなかなか得られない、当然予算も出ない。こうした「ないない尽くし」の中小企業もサイバー攻撃の標的となることが増えている。セキュリティ対策はしなくてはならないが、十分な投資は難しいのが現状だ。

「ないない尽くし」の中小企業　最大の課題は？

　ジョーシスら3社が提供している、「ないない尽くし」の中小企業のDXを支援するサービスを見てみよう。

　ラクスルのグループ企業であるジョーシスは2023年2月、野村総合研究所（NRI）、マクニカと、IT部門のアナログ業務を効率化・自動化するITデバイス & SaaS統合管理サービス「ジョーシス」の製品提供および販売に関する業務提携契約を結び、中小企業のIT部門におけるDXを支援、促進し、IT運用の省力化とセキュリティレベル向上に貢献することを目指している。

　ジョーシスは、コーポレートIT（CIT）業務を自動化する機能を提供し、CITの業務負荷を軽減するとともにセキュリティ体制を強化する同名のクラウドサービス「ジョーシス」を提供している。従業員にひも付けたITデバイスやSaaS（Software as a Service）の台帳管理、入退社に伴うSaaSアカウント発行や削除、退職者の削除漏れアカウントの検知、PC購入やキッティング、ヘルプデスクのアウトソースなどの機能を提供する。

　NRI、マクニカとの提携に至った背景についてラクスル社長CEO　兼　ジョーシス社長CEOの松本恭攝氏は、2023年2月21日に開催されたイベントで「ジョーシスは、IT部門のノンコア業務を自動化、効率化することでIT人材不足を解消します。また、IT資産の利用に関するリスクを可視化し、把握することでサイバーハイジーン（衛生管理）を促し、サイバー攻撃を予防します。この取り組みをジョーシス1社で中小企業を対象に展開することは容易ではないことから、NRIおよびマクニカとの提携に至りました」と話した。

中小企業の最大の問題は「人材不足」

　現在、大企業では業務システムがオンプレミスからクラウドに移行し、クラウドサービスの利用を前提にシステムを導入することで、生産性が向上しつつある。一方、中小企業の72.8％はいまだデジタル化が進んでない。なぜ中小企業のDXが進まないのか。松本氏は、次のように語る。

　「最大の問題は、IT人材不足です。経済産業省の調査では2030年に79万人のIT人材が不足すると報告されています。特に、DXを推進するリーダーシップ、それを支えるオペレーションが不足しています。多くの中小企業ではDXの重要性が経営層に届かず、予算も確保できないという問題を抱えています」

　IT人材不足により、セキュリティ対策の遅れも発生している。米国ではサイバーセキュリティ攻撃の中心が、大企業から中小企業に移り変わりつつある。日本でも中小企業のリスクが高まっているが、セキュリティ対策に十分に投資している企業は多くない。100万円未満の投資しかできていない企業を含めると全体の3分の2が「不十分な投資」とジョーシスは見ている。

　松本氏は「2019年以降、ランサムウエアの被害が増えています。62.1％の企業が被害を経験し、インシデント1件当たりの年間平均被害額は3億2850万円に上ると報告されています。トヨタ自動車は取引先の部品供給会社の生産ラインがマルウェア被害によってシステム障害が発生したことを受け、国内工場の全ての製造ラインを一時停止しました。この結果、1万3000台分の生産ロスが発生しました。今や自社だけでなくグループ会社、系列会社、サプライチェーン全体のセキュリティ対策が必要です」と話す。

これからのセキュリティ支援は防御、識別がより重要に

　セキュリティ支援で重視すべきはシャドーIT検知だ。シャドーITとは会社が把握していないシステムやアプリなどを指す。ジョーシスはシャドーIT利用を可視化するとしている。特にインシデントが起こりやすい、退職者のアカウントの消し忘れを検知できるのがジョーシスの特徴だ。セキュリティインシデントの36.3％は、退職予定者による情報漏えいといわれている。

図1　シャドーITや野良SaaSは多くの企業で放置されたままになっている（出典：ジョーシスの提供資料）

　松本氏は「74.3％の企業が退職者のアカウントを適切に管理できていません。ジョーシスは、登録された全従業員の名簿から退職者の一覧を表示することが可能で、退職者にひもづくアプリも表示できます。退職者のアカウントやひも付いているアプリをワンクリックで削除できるので、利用されていないアプリのコスト削減やセキュリティ強化が可能です」と語る。

　最後にログインした日時をアプリごとに把握できるので、利用されていないアプリのアカウントをワンクリックで削除できる。シャドーITによるセキュリティリスクの事例としては、岡山大学病院で270人分の個人情報が漏えいした。JTBでもクラウドサービスの設定ミスで1万人の個人情報が漏えいしている。

　松本氏は「これまでのセキュリティ対策は検知が中心でした。近年では米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワーク（CSF）にもある通り、防御と識別がより重要になっています。ジョーシスを利用することで、監査ログから誰がシャドーITを利用しているかを自動で検知することができ、ダッシュボードで全てのアクセス権限を設定、変更できます。これによって情報漏えいなどのセキュリティリスクを軽減できます」と話した。

図2　システム開発、オフィス業務の生産性向上のための製品、サービスをトータルに提供（出典：ジョーシスの提供資料）