>>5分でさくらインターネットのサービスがわかる!サービス紹介資料をダウンロードする
デジタル変革「DX」を推進する際は、セキュリティリスクを考慮して進める必要があります。
本記事では、DX推進時に起こり得るセキュリティリスクの事例と対策例、セキュリティ対策が必要な背景について解説します。
なお、DX(デジタルトランスフォーメーション、略称:ディーエックス)の基本となる定義、具体例をおさえておきたい方は「デジタルトランスフォーメーション(DX)とは? 意味や定義をわかりやすく解説」を参考にしてください。
DX推進におけるセキュリティリスクの事例と対策例
DX を推進する際、資産にあたる情報に対して必要なセキュリティ対策をおこなわないと、情報漏えいなどにつながります。
DXを推進する企業に起こり得るセキュリティリスクの例をご紹介します。
|
セキュリティリスクの例 |
具体例 |
|
ランサムウェアによる被害 |
会社の情報資産を利用できないように暗号化され、情報をもとに戻すことを引き換えに金銭を要求される。 |
|
標的型攻撃による機密情報の窃取 |
担当者に対し、業務に関連するメールやチャットなどを装った攻撃をされる。 例:フィッシング詐欺など |
|
サプライチェーンの弱点を悪用した攻撃 |
協力会社や取引先、業務委託先、子会社などがサイバー攻撃を受け、関連企業の情報が漏洩する。 |
|
テレワークなどのニューノーマルな働き方を狙った攻撃 |
パスワードなしの私用ネットワークや無料Wi-Fi など、ぜい弱なネットワークを使用する隙をついて通信内容が窃取される。 |
|
脆弱性対策情報の公開に伴う悪用増加 |
ソフトウェアのぜい弱性を攻撃できるツールによって、自前の情報資産を利用するソフトウェアのアップデートなどがなされていない隙を攻撃される。 |
|
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
情報資産を活用する際に使うソフトウェアのぜい弱性が攻撃される。 |
|
予期せぬ IT基盤の障害に伴う業務停止 |
情報資産のサーバーやクラウドサービスなど、業務やサービスの根幹を支えるインフラ基盤に関する障害で利用できなくなる。 例:自然災害や、設備・システム災害など |
参考資料:情報セキュリティ10大脅威 2022|独立行政法人情報処理推進機構(IPA)
セキュリティ対策例
一般的におこなわれる企業のセキュリティ対策は次のとおりです。
|
|
セキュリティ対策例 |
|
外部要因の対策 |
● アクセス制御の強化(必要な立場の者だけアクセスさせる) ● データの暗号化(万一窃取されても、情報を守れる) ● ログの監視(不正アクセスの検知) ● 定期的なぜい弱性診断(セキュリティホールを検知) ● セキュリティ監査の実施 ● 最新のセキュリティ事情をもとにした DX推進 |
|
内部要因の対策 |
● 社内でのセキュリティ教育の実施 ● セキュリティソフトの導入と最新アップデートの迅速な適用 ● 社内の役割分担を明確化(アクセスが必要な立場を明確にする) ● 社内の情報リテラシー規定の整備(適宜セキュリティアップデートを実施する、不審なメールやファイルの開封を避ける、など) |
採用した物品やサービスそのものがセキュリティリスクとなるケースも考えられます。
DX推進の際、IT関連製品が必要な場合は、DX銘柄の認定に関わる IPA が推奨する「ITセキュリティ評価及び認証制度(JISEC)」で認証されたソフトウェア・ハードウェアを使うのが、セキュリティ対策として有効です。
参考資料:ITセキュリティ評価及び認証制度(JISEC)|独立行政法人情報処理推進機構(IPA)
DX推進にセキュリティ対策が必要な理由
DX にセキュリティ対策が必要な背景もおさえておきましょう。
- 情報資産の増加に伴うセキュリティリスクの増大
- サイバー攻撃など外部要因の情報漏えい
- 内部要因による情報漏えい
>>5分でさくらインターネットのサービスがわかる!サービス紹介資料をダウンロードする
情報資産の増加に伴うセキュリティリスクの増大
DX を推進する際、まず業務をデジタル化し、サービスの利便性を上げていきます。しかし、DX を進めるほど資産となる情報が増え複雑になります。また、管理すべき ICT機器やサービス基盤も増えるため、攻撃者から見るとつけ入る隙が増え、セキュリティリスクも増大します。
自社単独でセキュリティ対策をするだけなく、サプライチェーン全体でおこなっていかなければなりません。そのため、提携企業を選定する際は、セキュリティ対策に関する取り組みも考慮して検討する必要があるでしょう。
サイバー攻撃など外部要因の情報漏えい
日本企業が被害に遭った経済犯罪のうち、サイバー攻撃などの外的要因によって金銭の搾取等の直接的な被害を受けた件数は、2018年が 21% なのに対し、2020年には 36% と 15% 以上の伸びを見せています。
日本における DX は、2018年に経済産業省が推進のためにガイドラインを公表したことを契機に広まっているため、今後、DX推進に取り組む企業が増えるにつれ、その危険性はさらに強まるでしょう。
なお、DX時代のサイバー攻撃について知りたい方は「DX時代に知っておきたい最新のサイバー攻撃とその対応方法」も参考にしてみてください。
参考資料:サイバー攻撃による企業活動への影響 - プラクティス・ナビ||独立行政法人情報処理推進機構(IPA)
内部要因による情報漏えい
セキュリティ対策は、サイバー攻撃のような外部要因もありますが、従業員の犯行や過失などの内部要因についても対策する必要があります。
DX の推進では、DX銘柄の認定に組織要件があることからもわかるとおり、組織全体として取り組む姿勢が重要です。セキュリティ対策についても、従業員ひとりひとりの情報リテラシーとモラルを醸成させていく必要があるでしょう。
参考資料:「DX銘柄2023」「DX注目企業2023」「DXプラチナ企業2023-2025」を選定しました!|経済産業省
他にも、企業として取り組むために、情報セキュリティ管理の認証制度「ISMS認証」や、個人情報保護の認証制度「プライバシーマーク」の取得を目指すことも有効です。
DX推進をする人材にも高いセキュリティ意識が求められるため、セキュリティ教育こそが成功の要と捉えても過言ではないでしょう。
なお、DX推進に必要な人材に関する情報を知りたい方は「DX推進には人材育成が重要? 求められる人材像とスキルを解説」も参考にしてみてください。
送る人も受け取る人も快適に。Slackから送れるさくらの宅配便取次サービス
>>サービスの詳細を見てみる
