DX推進における障壁の一つであるセキュリティ対策。デジタル化が進む昨今、セキュリティの脆弱性を狙った被害や、フィッシング詐欺、標的型攻撃に関するニュースを耳にする機会もあるでしょう。企業がDX推進に取り組む際、新たな時代に対応したセキュリティ体制の構築を同時に行う必要があります。今回は、DX時代におけるセキュリティ対策の重要性や最新トレンド、DXを推進する全ての企業に求められる対応の手法などをご紹介します。
DX時代に求められるセキュリティとその重要性
DX推進とセキュリティは、どのような関係にあるのでしょうか。まずはDXや、DX時代に課題となるセキュリティ問題、その背景などを解説します。
そもそもDXとは
DXとは「Digital Transformation(デジタルトランスフォーメーション)」の略称であり、高速大容量通信(5G)や人工知能(AI)といったITソリューションを駆使し、人々の生活がより豊かなものになるようビジネスモデルの変革をもたらし、企業の優位性を確立することです。企業を取り巻く環境が変化する中、競争力維持および強化のためには、DX推進をスピーディーに進めていくことが重要視されています。
経済産業省がまとめたデジタルガバナンス・コード2.0では、DXとは
企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること。
と定義されています。
出典:『デジタル・ガバナンスコード2.0』経済産業省 2022年9月13日
情報セキュリティ・サイバーセキュリティとは
セキュリティについて議論する上で「情報セキュリティ」と「サイバーセキュリティ」という言葉があります。
情報セキュリティとは、情報セキュリティマネジメントシステムに関する用語が定義されたJIS規格である「JIS Q 27000」によると、
情報の機密性、完全性及び可用性を維持すること。※更に真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある
と定義されています。以下にそれぞれの用語の定義を記載します。
機密性(confidentiality)
アクセスを許可された者(アクセス権限者)だけが、情報資産にアクセスできる事を確実にすること。アクセス権限者以外に漏らしては困ること。
完全性(integrity)
情報および処理方法が正確であり、完全である状態に担保されていること。壊たり改ざんされると困ること。
可用性(availability)
許可された利用者が、必要な時に欲しい情報資産に何時でもアクセス出来ることを確実にすること。必要な時に使えないと困ること。
以上3つが情報セキュリティで維持すべき3項目です。それぞれの頭文字をとってCIAと呼称されることもあります。
これら3つに加えて、ISO27001では近年新たに4つの要素が追加されました。その4要素について説明します。
真正性(authenticity)
情報を使用する組織及び人や、情報を扱う設備、ソフトウェア、物理的媒体などが主張する本人である(偽物、なりすましではない)という特性のことです。
責任追跡性(accountability)
「責任追跡性」とは、組織や個人がとった行動を追跡できる特性のことです。PCやサービスのアクセスログ・操作ログなどを残す対策があります。これによりインシデントが発生した時に責任や要因を特定できます。
否認防止(non-repudiation)
「否認防止」とは、アクセスや操作が正当かどうかを確認し、不正なアクセスや操作が行われた場合にその操作をした本人が否認できないようにする特性のことです。システムログなどの記録を保存することで、後で調査を可能とします。これにより、セキュリティ上の問題が発生した場合に、原因を特定し、対応することができるようになります。
信頼性(reliability)
「信頼性」とは情報システムが正確かつ安全に情報を処理し、期待通りに動作することを保証する特性のことです。信頼性が高い情報システムにするには、システムやソフトウェアがエラーを起こさないように設計したり、人によるミスがあってもデータが消えたりしないシステムの構築が重要になります。
出典:『JIS Q 27000』
サイバーセキュリティとは、情報セキュリティという大きな概念の中の一つの概念であり、情報セキュリティの中でも守るべき対象が電子情報の場合にサイバーセキュリティと呼称します。マルウェアや標的型攻撃、不正アクセスなどから電子情報を守ります。
DX時代にセキュリティ対策の強化が求められる背景
データの増加
世界中のデジタルデータの量は指数関数的に増加しており、米IDCの予測によると、2011 年の約 2 ゼタバイト(2 兆ギガバイト)から 2020年は59ゼタバイトにまで拡大したと言われています。これは様々なものがネットワークに繋がったことやクラウドサービスなどの流通拡大が大きな要因になっています。この傾向は、今後も様々なデジタルサービスやソリューションが生まれていくため続くと考えられます。
参考:『THE DIGITAL UNIVERSE IN 2020』IDC
増加するデータの中には機密情報や個人情報など取扱注意のデータも含まれるためセキュリティ対策の重要度は増しています。
世界的な個人情報規制のトレンド
データの増加に伴い特に個人情報の扱いを規制しようとする動きも出ています。
ヨーロッパ連合(EU)において2018年に施行された「一般データ保護規則(GDPR)」が代表的な例です。この規則は個人情報保護の最高基準とされ、企業や政府などが個人情報を取り扱う際に遵守すべき厳格な規則を定めています。例えば、「提供した個人情報について本人が管理者に対してアクセスすることや、訂正・削除等を要求することができる」「法令違反時の罰則強化」「監視、暗号化、匿名化などのセキュリティ要件の明確化」「データをEU域外へ移転することを原則禁止」などがあります。
参考:『GDPR(General Data Protection Regulation:一般データ保護規則)』個人情報保護委員会
アメリカでは、カリフォルニア州消費者プライバシー法(CCPA)が注目されています。この法律は、カリフォルニア州に在住する消費者の個人情報保護を目的として2020年から適用されました。消費者は、企業に収集された個人情報とその理由を知る権利、企業が収集した個人情報を削除するように要求する権利、個人情報の第三者提供を停止する(オプトアウト)する権利などを持ちます。
リモートワークの増加
新型感染症の影響もあり2020年以降リモートワークで働く人が増加しています。リモートワークの増加も情報セキュリティリスクが増加する要因の一つです。
例えば、リモートワークで会社が指定していないパソコンやモバイルデバイスを利用(シャドーIT)する可能性が高まりデバイスがハッキングされるリスクや、リモートワークで使用するホームネットワークを介して業務をすることで企業のファイアウォールシステムと比べると脆弱になる可能性があります。
これらのリスクを回避するためには、強力なパスワードポリシー、VPN接続、暗号化ソフトウェアなどの情報セキュリティ対策が求められます。
利便性向上に伴うリスクの増大
昨今、ブラウザや各サービスの拡張機能の増加、導入が用意なSaaS・クラウドサービスが増えたことで、情報システム部ではなくセキュリティに関する専門知識が無い事業部主導でツール・サービスの導入が進むケースが増えています。これも情報セキュリティリスクの一つです。情報システム部のセキュリティチェックを受けずに導入されたシステムがデバイスに悪影響を与えたり、悪意のあるソフトも一緒にインストールされて情報流出が起きたりする可能性も増加します。
扱うサービスも増え常にアップデートを繰り返すので情報システム部門が各サービスをモニタリングする必要も出てきています。
これらのリスクを回避するためには、ツールやソフトの導入時に必ず情報システム部門を通すオペレーションの厳格化や、情報システム部門の体制強化などがあげられます。
DX推進の課題になるセキュリティ問題
情報処理推進機構(IPA)では、「情報セキュリティ10大脅威 2023」の中で、2022年に発生した情報セキュリティ上の脅威を、社会的影響が大きかった順に発表しています。それによると、組織において影響が大きかった脅威は、上位から「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」「内部不正による情報漏えい」「テレワークなどのニューノーマルな働き方を狙った攻撃」という結果でした。
このように、情報セキュリティリスクは企業運営のあらゆる場面に潜んでいると考えられます。データ活用を基本とするDX時代においては、企業が機密情報をきちんと保護することが、顧客の保護や企業の存続といった観点からも求められるのです。
実際に情報セキュリティを脅かす脅威について具体例をいくつか紹介します。
ランサムウェア
ランサムウェアとは、悪意のある第三者がコンピュータシステムやデータにアクセスし、ファイルを暗号化して使えなくしたうえで、使えるようにすることと引き換えに金銭を要求するマルウェアの一種です。
これにより企業は重要なビジネスデータの損失や、システムの停止(ビジネスの中断)による収益の減少や顧客からの信用損失などが生じる可能性があります。
標的型攻撃
標的型攻撃 (Targeted Attack) は、特定の組織や個人を狙うサーバー攻撃の総称です。標的型攻撃においてのセキュリティリスクとして、個人や企業のセンシティブな情報や財産が漏洩したり盗まれたりすることで、経済的損失や顧客からの信頼が喪失するリスク、コンピュータシステムが停止したり破壊されたりするリスク、他のデバイスやシステムにウイルス感染が拡大するリスクなどがあります。
標的型攻撃から身を守るためには、ソフトウェアのアップデートを確実に行うことで脆弱性を解消、スパムメールフィルタリングによる不審なメールのブロック、ファイアウォールの設定、不要なアプリケーションのブロックなどが重要です。
フィッシング詐欺
フィッシング詐欺 (Phishing Scam) は、偽のメールやウェブサイトを使って、個人情報や財務情報などを不正に取得する犯罪のことです。拡散性の高さと高い成功率から、大きなリスクとなっています。
対策としては疑わしいメールやリンクに注意することです。特に、銀行やクレジットカード会社、通販サイトを名乗ったフィッシング詐欺が多いため、特に注意するようにしましょう。
内部不正による情報漏えい
内部不正 (Insider Threat) は、企業内部にいるユーザー、従業員、パートナーなどが、企業のデータや資産の不正利用、データの漏洩、不正なアクセスなどをすることをさします。
対策としては従業員にセキュリティ意識向上を目的とした研修の実施、アクセス権限を適切に管理し不要なデータのアクセスをブロック、アクセスログを取得することで不正が行われたときに早期検知・対応することなどがあげられます。
DXに重要なセキュリティの認証規格
DXを進める上でセキュリティの認証規格に準拠した体制をしき、規格に沿った運用をすることも重要です。それによりセキュリティを担保できるようになるでしょう。セキュリティ認証規格を取得すると網羅的にセキュリティ対策ができて安全性が高まると共に、顧客にも安全性を訴求出来、情報の受け渡しや契約がスムーズに進むなどメリットもあります。
セキュリティの認証規格には次のようなものがあります。
ISMS認証
ISMS認証とは、ISO(International Organization for Standardization)という国際的に通用する規格を策定している機関が、ISMS(Information Security Management System)について定めた標準規格であるISO 27001に準拠しているかを見る規格です。情報セキュリティを管理するための枠組み・手法・方法論を定めたものになります。
複数あるセキュリティの認証規格の中でも最も利用されており、世界中の多くの組織が認証を受けています。
また、ISMSのアドオン認証(※)としてISMS-PIMS認証があります。PIMSとは(Privacy Infomation Management System)の略です。個人情報(PII)の管理に関するルールや体制が運用できている会社が取得できます。ISMS-PIMS認証の取得にはISMS認証を取得しておく必要があります。
※アドオン認証とは、ISMS(ISO/IEC 27001)認証の取得を前提として、特定の分野固有の規格を満たしている組織を認証する仕組み。
別のISMSのアドオン認証としてISMS-CLS認証があります。ISMS-CLSとはクラウドセキュリティを実践するためのガイドラインであるISO/IEC27017に準拠しているかどうかを評価する認証です。こちらの取得もISMS認証を取得しておく必要があります。
プライバシーマーク
プライバシーマークは個人情報保護に関する消費者の意識向上を図ることを目的に、一般財団法人日本情報経済社会推進協会が運営している日本国内で使えるマークです。
JIS Q 15001「個人情報保護マネジメントシステム-要求事項」という規格に基づいた「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に即し、個人情報保護マネジメントシステムを定めていることなどを条件に利用できます。
セキュリティ対策を考える上で重要な概念
情報セキュリティを考える上で最近新しい概念も生まれてきています。こんかいは「ゼロトラストセキュリティ」と「SASE(サッシー)」について紹介します。
ゼロトラストセキュリティ
ゼロトラストセキュリティとは、すべてのデバイス、ユーザー、アプリケーションを「信頼できない」という前提に立ち、対策をするセキュリティにおける新たな概念のことをさします。
つまり、内部にいるユーザーや一度認証済みのデバイスであっても、すべてのアクセスは常に検証・承認される状態です。
具体的には以下のような取り組みがあります。
マイクロセグメンテーション
データセンターやクラウド環境などのネットワークを細かく分割し、それぞれのサーバーやアプリケーションを隔離します。そしてアクセスが必要な場合に、その特定の人やデバイスにだけ必要最小限のアクセス権を与えるやり方です。
多要素認証
多要素認証とは従来のIDとパスワードのみでログインできるのではなく、ワンタイムパスワードや生体認証など複数の要素を使って認証をする仕組みです。更に前回の認証時の情報を記憶して次回以降は記憶した情報で入るということはせず、都度認証をすることで不正アクセスをより回避できるようになります。
ユーザーとエンティティの振る舞い分析(UEBA)
エンティティと呼ばれるルーターやサーバー、エンドポイント、アプリケーションなどやユーザーの、不正な動作や振る舞いを冠しし異常行動を検知する仕組みも重要です。おかしい挙動をしたらすぐにアクセスをブロックしたりアラートを上げたりすることができれば、もし社員が社内の情報を勝手に他のデバイスに移動させようとした時でもすぐにブロックすることができます。
SASE
SASE(Secure Access Service Edge)とは、2019年にガートナー社が提唱したネットワークセキュリティモデルで、セキュリティとネットワークをクラウドに集約することで、情報セキュリティを強化するアプローチを指します。
従来のセキュリティの考え方は内側にあるネットワークや情報を外部から守るという考え方でしたが、昨今、社内の情報をクラウドサービスで管理していたり、リモートワークで自宅からアクセスしたり、スマートフォンを使って社外からアクセスしたりと従来の方法ではセキュリティが担保できなくなっています。
そこでSASEではネットワーク機能であるVPN(特定の人のみがアクセスできるネットワーク)などの提供と、セキュリティ機能であるCASB(後述)や認証機能、ファイアウォールなどの機能統合を実現しています。
これにより、外出先からクラウドサービスを使う場合でもセキュリティを担保できます。
具体的なセキュリティ対策方法
企業が講じるべき情報セキュリティ対策は、大きく「物理的対策」「技術的対策」「人的対策」「組織的対策」の4つに分類できます。それぞれの対策をまとめると、次のようになります。
| 物理的対策 | データの保管場所に鍵を掛け、保管場所に立ち入れる人を限定する 【例】機密情報は鍵付きのロッカーに保管する、データを保存しているファイルの共有者を限定する |
|---|---|
| 技術的対策 | 情報が格納されたサーバーや端末の保護を行う 【例】ファイアウォール・ウイルス対策ソフトなどの活用 |
| 人的対策 | 従業員のリテラシー向上を推進する 【例】情報セキュリティポリシーの策定と周知、過去のインシデントに基づいた注意喚起 など |
| 組織的対策 | セキュリティに関するルールを作り、順守するように努める 【例】部署の情報資産管理台帳の棚卸を定期的に行うルールを作る |
また、最近のセキュリティ対策方法として行われているものをいくつかご紹介します。
シングルサインオン(SSO)
シングルサインオン(SSO)とは、1度のユーザー認証 (ログイン)の実施によって、以後そのユーザー認証に紐づけられている複数のシステムやサービスを、追加の認証なしで利用できる機能です。
セキュリティ面ではアカウント管理の運用負荷が軽減されることと、1度のユーザー認証複雑・強固にすることでセキュリティの強化に繋がります。また、サービスを切り替えるごとに都度ユーザー認証を実施しなくてすむためユーザーの負担も軽減されます。
EDR(Endpoint Detection and Response)
EDR(Endpoint Detection and Response)とは、エンドポイント(PC、サーバー、スマートフォンなど)上でのセキュリティイベントを検出・記録・分析し、必要に応じて、原因究明や被害拡大・復旧までできるようにするためのソリューションです。
EDRと似た概念で以前はERP(Endpoint Protection Platform)という、ウイルスなどからエンドポイントを守るソリューションがありましたが、昨今それではウイルスや外部からの攻撃を防ぎきれない場合が増え、さらにネットワークに侵入した後の被害拡大なども考慮する必要があるとして被害拡大も目的に入れたEDRのソリューションが広まっています。
CASB
CASB(Cloud Access Security Broker)とは、企業が従業員のクラウドサービスの利用を監視し、クラウドサービスを安全に使えるようにするためのセキュリティソリューションです。従業員とクラウドサービスの間にコントロールポイントを設けることで、クラウドサービスでの利用状況を一元で可視化・制御します。
これによりシャドーITと呼ばれる管理部門の許可を得ていないデバイスを利用した場合でも可視化できます。
SIEM
SIEM(Security Information and Event Management)とは、あらゆるシステムやサーバー・アプリケーションのログを一元で収集・監視・解析し、インシデントに繋がる脅威を早期検知するソリューションのことをさします。これにより検知されたインシデントを管理者に通知し、早期に対応することができ被害を最小限に抑えることができます。
セキュリティにおける経営の重要10項目
ここまで様々なセキュリティの手法や概念を紹介してきましたが、サイバーセキュリティの具体的な対策手法として、経済産業省が「サイバーセキュリティ経営ガイドラインVer2.0」を公開し、経営者がリーダーシップをとるべきセキュリティの項目として、5カテゴリ、10項目をわかりやすく紹介しています。経営者は以下の内容をCISOなどのセキュリティの責任者に依頼するといいでしょう。
| 対策の大区分 | リーダーによる指示 |
|---|---|
| サイバーセキュリティの管理体制構築 | 1.リスクの認識と組織全体での対応方針(セキュリティポリシー)の策定 2.リスク管理体制の構築 3.対策のための資源(予算、人材など)確保 |
| リスクの特定と対策の実装 | 4.守るべき情報の範囲の特定と発生しうるリスクの把握 5.これに対応できる仕組みの構築と実施 6.PDCAサイクルの実施 |
| インシデント発生に備えた体制構築 | 7.発生時の緊急対応体制の整備 (報告フローの構築・被害範囲の特定・緊急連絡網や情報開示の通知先一覧の整備) 8.速やかな復旧のための関係機関との連携体制の確保 |
| サプライチェーンセキュリティ対策の推進 | 9.ビジネスパートナー・委託先などを含めたサプライチェーン全体の対策および状況把握 |
| ステークホルダーを含めた関係者とのコミュニケーション推進 | 10.情報共有活動への参加による、攻撃情報の入手とその有効活用および提供 |
出典:『サイバーセキュリティ経営ガイドラインVer2.0』経済産業省
まずは、自社のサイバーセキュリティへの対応フェーズを把握した上で、必要な項目について漏れがないように対策を行うことが望ましいでしょう。
セキュリティの最新トレンド
セキュリティ対策を考える上で押さえておくべき最新トレンドを2つご紹介します。
サイバーセキュリティ・メッシュの推進
サイバーセキュリティ・メッシュとは、拠点が複数ある分散型組織がデータの保管場所にかかわらず、資産に対する保全対策を導入・統合できる、最新セキュリティの構造的アプローチです。特定の場所を保護するだけでなく、不特定の多くの領域を保護する特長があります。
分散型組織への移行で生じた脆弱性を狙うサイバー攻撃も増えているため、今後この考え方はより広がっていくでしょう。
参考:『2022年のサイバーセキュリティ:7つのトップ・トレンド』ガートナー・ジャパン
Generative AIの普及に関するリスク
2022年に急速に広まったGenerative AI(生成系人工知能)ですが、悪用も懸念されています。
例えばフィッシングメールの文章をAIに考えるように命じると自然な日本語で文章を作成したり、ランサムウェアのコードを作るように命じると実際にちゃんと機能するプログラムを生成したりするなど、スキルが無い人でも簡単に犯罪に手を出してしまえる可能性があります。
そのため、今まで以上にセキュリティに関する意識の向上や、AIを使う側のAIリテラシーも高めていく必要があるでしょう。
まとめ
昨今のデジタル技術の進歩や働き方の変化により、セキュリティリスクにさらされる可能性が増え、守るべきデータの対象も増加し、データを守る方法も多様化しています。
技術の進歩によって講じるべきセキュリティ施策は変わっていくため常に感度高く情報を収集することも非常に重要です。
DXを推進する担当者にとってはセキュリティ面をクリアにしないとプロジェクトを動かせないという場合もあるでしょう。自社の現状のセキュリティだけではなく、今後推進してきたいDXにおいてどのようなセキュリティリスクや対策があるかを考えながら検討していくようにしましょう。