日本企業はセキュリティとDXを両立できていない？ 専門家が分析する課題と対策

[吉川大貴，ITmedia]

　“脱はんこ”やペーパーレス化など、さまざまな形のDX（デジタルトランスフォーメーション）が日本企業で進んでいる。業務の効率化が実現する一方、DXが進むからこそ浮き彫りになる課題もある。情報を盗まれないためのセキュリティだ。

明治大学の齋藤孝道教授

　「これまではんこや書類で進んでいた手続きが、デジタル化によりネットワーク越しでできるようになった。一方で攻め入る隙（すき）はこれまで以上に増えている。『今までは大丈夫だったから、これからも大丈夫だろう』とはいかなくなってきている」──明治大学の齋藤孝道教授（サイバーセキュリティ研究所所長）は日本企業が進めるDXについてこう警鐘を鳴らす。

　実際にDXを進める企業の中には、こういった問題に対策できていないところもあるという。なぜDXとセキュリティを両立できない日本企業が出てくるのか。

　情報セキュリティ事業を手掛けるサイバーセキュリティクラウド（東京都渋谷区）が2月2日に立ち上げた、IT企業やサイバー攻撃の被害を受けた企業が集まってセキュリティの重要性を啓蒙するプロジェクト「日本のDXをもっと安全に」の発表会で、同社の西澤将人さん（経営企画部部長）や、ゲストとして登壇した総務省の高村信さん（サイバーセキュリティ統括官室参事官）、斎藤教授が原因と対策を分析した。

特集：DXでリスク増大　経営層が知っておきたい情報セキュリティの課題と対策

デジタル庁の創設や印鑑・FAXの見直しなど、官民でDXが進んでいる。一方、DXによる利便性の拡大は常に情報セキュリティのリスクを伴う。そこでポイントになるのが、経営層や管理職によるセキュリティへの理解とリーダーシップだ。この特集では、経営者向けの解説や最新事例、ソリューションをお届けする。

課題は「サイバー攻撃のリスク軽視」

　「DXは本来、企業競争力を上げる手段の一つ。にもかかわらず、DXが原因でサイバー攻撃の脅威にさらされ、ビジネス機会を喪失してしまい、何のためにDXしたのか、という状況になるケースもある」（西澤さん）

サイバーセキュリティクラウドの西澤将人さん

　西澤さんによれば、こういったトラブルは日本企業でよく見られるという。「コロナ禍の影響もあり、DXを進める日本企業は増えているが、セキュリティ対策が追い付いていないところが多い」と西澤さん。こういったトラブルが起きる背景には、企業がサイバー攻撃のリスクを正当に評価できていない問題が隠れていると話す。

　「『サイバー攻撃を受けても影響は少ないだろう』『そもそもうちみたいな企業は狙われないだろう』と考えているところもあるかもしれないが、そんなことはない。事業が止まるリスクにつながったり、上場企業であれば株価や純利益に影響したりする可能性もある」（西澤さん）

　こういった企業に対し、西澤さんはまず経営者が動くべきと指摘する。

　「まずは経営者の意識が変わらないことにはセキュリティも変わらない。進みゆくDXの中で、セキュリティを置いてけぼりにすべきではない」（西澤さん）

高度化するサイバー攻撃、IT担当者に任せきりはNG？

　原因は他にもある。サイバー攻撃が高度化し、IT担当者だけでは対応が難しくなってきていることだ。齋藤教授は昨今のサイバー攻撃について、従来と同じ対策では対応しきれない場合もあると指摘する。

　「昔と違って素人がお遊びでやるのではなく、国家的な組織が訓練を積んだ人を使って攻撃する可能性もある。IT担当者が一人二人という企業もあるが、トレーニングを積んだ人の攻撃にその体制で対応するのは難しい」（齋藤教授）

　こういった攻撃に備えるには、自社だけでなく他社とも協力し、知見を共有できる体制作りが不可欠という。

　「技術的にも覚えることが増えてきて、みんな大変になっている。便利な情報はシェアされやすいが、逆に何をすると危険という情報はシェアされにくい。こういった気付きを共有できればいいと思う」（齋藤教授）

業界全体での底上げも重要

　ただ、こういった取り組みも、一つの企業だけが実践するのでは意味がない。高村さんによれば、業界全体で被害の情報を共有できるようにすることが重要という。

総務省の高村信さん

　「セキュリティの世界には『Our Security Depend on Your Security』という格言がある。自分がどんなに守りを固めても、隣の人に穴があったら意味がない。みんながセキュリティのレベルを上げていくのがとにかく大事」（高村さん）