DX(デジタルトランスフォーメーション)の定義
各方面から推奨されているDX(デジタルトランスフォーメーション)。このDXを導入することで、業務の効率化や生産性の向上だけでなく、新たなビジネスモデルの創出にも期待が持てます。しかし、従来のセキュリティ対策ではトラブルを招く恐れがあるため、DXに合わせた最適なセキュリティ対策を実施する必要があります。
そこで本投稿では、DX導入におけるセキュリティの実態、サイバーセキュリティ体制構築の方法を解説します。最後までご覧になれば、推進すべき具体的なセキュリティ対策が明らかになるはずです。
DX導入によるセキュリティの実態
DX(デジタルトランスフォーメーション)を導入することで、業務の効率化や生産性の向上が見込めます。それだけなく、新たなビジネスモデルの創出にもつながるでしょう。
しかし、企業にDXを導入することにより、社内システムや従業員の働き方が大きく変化します。例えば、これまでは社内のオフィスで業務をしていたが、DX導入後はテレワークによるクラウドを介した業務に変更されるなどです。
このように、DX導入後はテレワークの急拡大やクラウドシフトによって、業務の取り組み方や人とシステムのアクセスなどが複雑化してしまいます。それに伴い、従来のセキュリティ対策では安全に業務を遂行できない恐れが生じてしまうのです。なお、セキュリティ面での具体的なトラブルは下記のようなものがあげられます。
- テレワーク推進後のVPN機器のセキュリティ脆弱性をターゲットにしたサイバー攻撃
- 顧客管理システムの複雑化により、部外者でもアクセス可能な状態となる
- システムの効率化に伴い、社内の機密情報の漏洩が起こる
DXの導入によってさまざまなメリットが得られるのは事実ですが、このようなセキュリティ面でのトラブルを理解しておく必要があります。それに伴い、それらトラブルに対する最適なセキュリティ対策を実施しなければなりません。
DX時代に求められるサイバーセキュリティとは?
DX導入によるセキュリティの実態は大まかに理解できたでしょうか?続いて、DX時代に求められる「サイバーセキュリティ」について解説します。DXを導入する予定の方は、自社の状況を踏まえて確認してみてください。
DXの導入後に利益拡大を実現している企業がある一方、Webサイトやサーバーへの不正攻撃を受けている事件も多数存在しています。それは大手企業に限った話ではなく、中小企業にまで被害は広がっています。
そこで推進すべきセキュリティ対策が「サイバーセキュリティ」です。サイバーセキュリティとは、コンピューターやWebサイトに対する不正アクセスや、社内における電子情報の漏洩・流出などの防止を目的としたセキュリティのことです。
インターネット上で発生するサイバー攻撃はいくつもの方法で実行されますが、サイバーセキュリティを推進することで、それら多くのサイバー攻撃を未然に防ぐことが可能です。企業のDX導入が普及しているいま、このサイバーセキュリティは経営課題で注力すべきものとして考えられています。
サイバーセキュリティ経営ガイドラインとは?
「サイバーセキュリティ経営ガイドライン」とは、経営陣による意向のもと、サイバーセキュリティ対策を推進するために策定されたガイドラインのことを指します。
このガイドラインは経済産業省と情報処理推進機構(IPA)が作成したものであり、サイバーセキュリティを推進する上で重要なポイントが記載されています。そのため、サイバーセキュリティ対策を実施する予定の方は、事前に確認しておくことをおすすめします。
サイバーセキュリティ経営の重要項目
先ほどお話した「サイバーセキュリティ経営ガイドライン」には、経営陣がセキュリティ対策の責任者に対して指示すべき項目が記載されています。その内容は以下の10項目です。
【サイバーセキュリティリスクの管理体制構築】
- 指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
- 指示2 サイバーセキュリティリスク管理体制の構築
- 指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保
【サイバーセキュリティリスクの特定と対策の実装】
- 指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
- 指示5 サイバーセキュリティリスクに対応するための仕組みの構築
- 指示6 サイバーセキュリティ対策におけるPDCAサイクルの実施
【インシデント発生に備えた体制構築】
- 指示7 インシデント発生時の緊急対応体制の整備
- 指示8 インシデントによる被害に備えた復旧体制の整備
【サプライチェーンセキュリティ対策の推進】
- 指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
【ステークホルダーを含めた関係者とのコミュニケーションの推進】
- 指示10 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
サイバーセキュリティを導入予定の経営陣の方は、これら項目をぜひ押さえておきましょう。なお、自社だけで対応できない項目については、外部委託による実施も検討してみてください。
サイバーセキュリティにおける体制構築の方法
ここまで、サイバーセキュリティの基礎概要について解説しました。次に、サイバーセキュリティにおける体制構築の方法をみていきましょう。サイバーセキュリティの推進手順が明確になることで、今日から導入を進められるはずです。
経営陣のリーダーシップによる体制構築
サイバーセキュリティ体制構築の方法1つ目は、経営陣のリーダーシップによる体制構築です。近年、デジタル技術の進化や普及に伴い、従来とは異なるセキュリティ体制が求められています。また、DX推進を狙ったサイバー攻撃がいくつか確認されていることもあり、セキュリティの体制構築は優先度が高いです。
サイバー攻撃のなかには金銭目的の組織や個人による情報・知財窃取、フィッシングなども多く、中小企業を含むあらゆる企業がターゲットにされています。それらのことから、セキュリティの体制構築の重要性を理解し、情報システム部門やDX推進部門に任せっきりにせず、経営陣が率先してコミットメントしましょう。
セキュリティ統括機能の検討
サイバーセキュリティ体制構築の方法2つ目として、セキュリティ統括機能の検討があげられます。セキュリティ統括機能とは、セキュリティを担当する責任者や経営陣などを補佐する形で、セキュリティ対策を組織横断的に統括する機能のことを指します。
企業全体のセキュリティ体制を構築するためにはセキュリティ統括機能が有効であり、以下のように分類されています。
【方針策定:セキュリティ戦略】
- 法令対応(国内法対応、各国法対応)
- セキュリティポリシー 策定
- リスクマネジメント・事業継続管理(BCM)
- 組織体制・業務分掌・業務権限 策定
- セキュリティ基準・政府等ガイドライン対応
【実務:セキュリティ実務】
- 規程・社則・技術的ガイドライン策定
- 構成管理指針策定・アセスメント実施
- 情報共有・情報連携
- インシデント管理・CSIRT活動(SOC 含む)
【支援:セキュリティ対応】
- 新規技術・サービス導⼊
- データ管理
【実務支援:事業分野別 セキュリティ対策】
- 企画:セキュリティ戦略/予算措置
- 設計:セキュリティバイデザイン
- 調達:選定基準(機器・サービス等)
- 運用:運⽤保守基準/品質管理
- 監査:アセスメント/監査
- 調達先管理:サプライチェーンリスク管理
- 委託先管理:サプライチェーンリスク管理
このように、セキュリティ統括機能は方針策定・実務・実務支援の3種類に分けることが可能です。なお、既存のリスクマネジメント機能とは区別して検討することをおすすめします。
各部門や関係会社との連携
サイバーセキュリティ体制構築の方法3つ目は、各部門や関係会社との連携です。サイバーセキュリティは自社で実施する内容と外部委託の内容を切り分け、自社にとって最適なセキュリティ体制を構築しましょう。そのためにも各部門や関係会社との連携を図り、セキュリティ対策を実施する部門を抽出します。
なお、抽出する部門はIT部門だけでなく、法務部門や財務部門、総務部門、監査部門、広報部門なども含めて考えます。また、自社でセキュリティ対策を実施することが困難である場合は、セキュリティ統括機能を担う外部からの支援を受けつつ対策を検討しましょう。
サイバーセキュリティ担当人材の確保・育成
サイバーセキュリティ体制構築の方法は理解できたかと思います。最後に、サイバーセキュリティ担当人材の確保や育成について解説します。効率的にサイバーセキュリティを推進するためにも確認しておきましょう。
セキュリティ人材の確保
まずはサイバーセキュリティの専門性を備えたセキュリティ人材を確保しましょう。このセキュリティ人材とは、セキュリティ体制を主たる目的として役割を担う人材のことです。
セキュリティ人材においてはセキュリティ経営(CISO)、セキュリティ統括、セキュリティ監査、脆弱性診断・ペネトレーションテスト、セキュリティ監視・運用、セキュリティ調査分析・研究開発など、あらゆる分野を担う必要があります。
また、セキュリティ人材はマネジメントを行う「セキュリティ統括人材」と、実務を担当する「セキュリティ担当者」の2つに分けて確保しましょう。
セキュリティ人材の育成
セキュリティ人材を確保したあとは、セキュリティ人材の育成に力を入れましょう。各分野に求められる知識やスキルを考慮し、教育プログラムを社内に取り入れます。また、情報処理安全確保支援士、セキュリティマネジメント試験など、セキュリティ人材を評価するための試験や資格も活用すべきです。
これらセキュリティ人材の育成を最適化するためにも、自社のビジネスモデルや人材配置に合わせた育成計画を検討しましょう。
まとめ
本投稿では、DX導入におけるセキュリティの実態、サイバーセキュリティ体制構築の方法を解説しました。
DXを導入することで業務の効率化や生産性の向上が見込めるものの、社内システムや従業員の働き方が大きく変化することから、セキュリティ対策におけるトラブルが発生する恐れがあります。そこで推進すべきセキュリティが「サイバーセキュリティ」であり、経営課題の一部として深く考えていかなければなりません。
これからの時代、最新のデジタル技術やITシステムがさらに普及します。セキュリティ面での大きなトラブルに巻き込まれないためにも、本投稿で解説した「サイバーセキュリティ」の導入を検討してみてください。