日本企業はセキュリティとDXを両立できていない? 専門家が分析する課題と対策
ペーパーレス化や“脱ハンコ”など、さまざまな施策が進む日本企業のDX。一方で、日本企業のDXにはセキュリティの課題もあるという。明大の齋藤教授など3人の専門家が、日本のDXが抱える課題点を分析する。
“脱はんこ”やペーパーレス化など、さまざまな形のDX(デジタルトランスフォーメーション)が日本企業で進んでいる。業務の効率化が実現する一方、DXが進むからこそ浮き彫りになる課題もある。情報を盗まれないためのセキュリティだ。
「これまではんこや書類で進んでいた手続きが、デジタル化によりネットワーク越しでできるようになった。一方で攻め入る隙(すき)はこれまで以上に増えている。『今までは大丈夫だったから、これからも大丈夫だろう』とはいかなくなってきている」──明治大学の齋藤孝道教授(サイバーセキュリティ研究所所長)は日本企業が進めるDXについてこう警鐘を鳴らす。
実際にDXを進める企業の中には、こういった問題に対策できていないところもあるという。なぜDXとセキュリティを両立できない日本企業が出てくるのか。
情報セキュリティ事業を手掛けるサイバーセキュリティクラウド(東京都渋谷区)が2月2日に立ち上げた、IT企業やサイバー攻撃の被害を受けた企業が集まってセキュリティの重要性を啓蒙するプロジェクト「日本のDXをもっと安全に」の発表会で、同社の西澤将人さん(経営企画部部長)や、ゲストとして登壇した総務省の高村信さん(サイバーセキュリティ統括官室参事官)、斎藤教授が原因と対策を分析した。
特集:DXでリスク増大 経営層が知っておきたい情報セキュリティの課題と対策
デジタル庁の創設や印鑑・FAXの見直しなど、官民でDXが進んでいる。一方、DXによる利便性の拡大は常に情報セキュリティのリスクを伴う。そこでポイントになるのが、経営層や管理職によるセキュリティへの理解とリーダーシップだ。この特集では、経営者向けの解説や最新事例、ソリューションをお届けする。
課題は「サイバー攻撃のリスク軽視」
「DXは本来、企業競争力を上げる手段の一つ。にもかかわらず、DXが原因でサイバー攻撃の脅威にさらされ、ビジネス機会を喪失してしまい、何のためにDXしたのか、という状況になるケースもある」(西澤さん)
西澤さんによれば、こういったトラブルは日本企業でよく見られるという。「コロナ禍の影響もあり、DXを進める日本企業は増えているが、セキュリティ対策が追い付いていないところが多い」と西澤さん。こういったトラブルが起きる背景には、企業がサイバー攻撃のリスクを正当に評価できていない問題が隠れていると話す。
「『サイバー攻撃を受けても影響は少ないだろう』『そもそもうちみたいな企業は狙われないだろう』と考えているところもあるかもしれないが、そんなことはない。事業が止まるリスクにつながったり、上場企業であれば株価や純利益に影響したりする可能性もある」(西澤さん)
こういった企業に対し、西澤さんはまず経営者が動くべきと指摘する。
「まずは経営者の意識が変わらないことにはセキュリティも変わらない。進みゆくDXの中で、セキュリティを置いてけぼりにすべきではない」(西澤さん)
高度化するサイバー攻撃、IT担当者に任せきりはNG?
原因は他にもある。サイバー攻撃が高度化し、IT担当者だけでは対応が難しくなってきていることだ。齋藤教授は昨今のサイバー攻撃について、従来と同じ対策では対応しきれない場合もあると指摘する。
「昔と違って素人がお遊びでやるのではなく、国家的な組織が訓練を積んだ人を使って攻撃する可能性もある。IT担当者が一人二人という企業もあるが、トレーニングを積んだ人の攻撃にその体制で対応するのは難しい」(齋藤教授)
こういった攻撃に備えるには、自社だけでなく他社とも協力し、知見を共有できる体制作りが不可欠という。
「技術的にも覚えることが増えてきて、みんな大変になっている。便利な情報はシェアされやすいが、逆に何をすると危険という情報はシェアされにくい。こういった気付きを共有できればいいと思う」(齋藤教授)
業界全体での底上げも重要
ただ、こういった取り組みも、一つの企業だけが実践するのでは意味がない。高村さんによれば、業界全体で被害の情報を共有できるようにすることが重要という。
「セキュリティの世界には『Our Security Depend on Your Security』という格言がある。自分がどんなに守りを固めても、隣の人に穴があったら意味がない。みんながセキュリティのレベルを上げていくのがとにかく大事」(高村さん)
関連記事
- 「セキュリティに理解のない経営者」にならないための考え方 専門家に聞く4つの心構え
情報漏えいだけでなく、業務停止などの経営リスクにもつながるサイバー攻撃。もはやセキュリティ対策は、IT部門だけでなく経営者自身も取り組むべき課題になっている。経営者はどんな姿勢で自社のセキュリティ対策と向き合うべきか、専門家に聞く。 - コロナで企業へのサイバー攻撃も拡大 対策には「技術現場だけでなく、経営者のリーダーシップが必要」と経産省
新型コロナウイルスの感染が拡大した今年3月以降、企業へのサイバー攻撃の危険度が増している。経産省は、対策には経営者のリーダーシップが必要だと注意を呼び掛けた。 - 相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー 見過ごされてきた“死角”への対策は
クラウド化の波やコロナ禍の影響により、Webベースの業務アプリケーションが普及したため、悪意を持った第三者にとっては攻撃しやすい状況にある。今回は、最近漏えい事件が相次いでいる「業務アプリ」に焦点を当て、Webセキュリティを解説する。 - 設定ミス→漏えいの影に潜む“クラウドへの誤解” いま理解したい「責任共有モデル」
クラウドサービスの活用が広がるのに比例して発生する、設定ミスに起因するセキュリティ事故。数々のインシデントが報じられる中、なぜこういった事故はなくならないのか。ガートナー ジャパンの亦賀忠明さんによれば、背景には日本企業特有の「クラウドへの理解不足」があるという。 - 「Log4j」のトラブルってどうヤバいの? 非エンジニアにも分かるように副編集長に解説させた
「Log4j」の脆弱性が話題になっているが、どれほど影響が大きいものなのか。ITmedia NEWS副編集長に聞いてみた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.