DX時代に求められるセキュリティ対策とは

2022/05/13

お役立ち情報

DX（デジタルトランスフォーメーション）推進が叫ばれ、多くの企業が取り組みをスタートしています。

DX推進には、レガシーシステムの刷新など、いくつかの課題が考えられますが、その一つに情報セキュリティ対策が挙げられます。

本コラムでは、DX推進に当たり再検討した情報セキュリティ対策のポイントについて、ご紹介いたします。

情報セキュリティ対策とは
情報セキュリティ対策の重要性
DX推進を妨げるのがセキュリティ問題
DX時代に求められるセキュリティ対策方法
まとめ

1. 情報セキュリティ対策とは

情報セキュリティ対策とは、情報が漏えいしたり改変されたりしないよう、保護するための施策のことです。ペーパーレス化が進む現代においては、電子データが主な保護対象となっています。

セキュリティ対策には、「物理的対策」「技術的対策」「人的対策」の3つの考え方があります。

「物理的対策」とは、書類をキャビネットにしまって施錠し、キャビネットのある部屋には許可された人の立ち入りしかできないようにするといった対策を指します。

「技術的対策」とは、情報が格納されたサーバーや端末を守るため、ファイアウォールやウイルス対策ソフトなどを常駐させるといった対策を指します。

「人的対策」とは、情報セキュリティポリシーを策定して従業員に周知したり、過去のインシデントを紹介する研修を開催したり、標的型攻撃メールに対する訓練を実施したりという対策を指します。

2. 情報セキュリティ対策の重要性

情報セキュリティマネジメントシステム（ISMS）におけるベストプラクティスがまとめられた規格である「JISQ27000」によれば、情報セキュリティは、「機密性」「完全性」「可用性」の3つの性質を維持することと定義されています。

機密性とは

機密性とは、権限を持つ正規のユーザーだけが情報にアクセスできる状態を確保することです。

完全性とは

完全性とは、情報が破壊されたり改ざんされたり消去されたりしたことにより、不足していないことです。

可用性とは

可用性とは、ユーザーが必要としたときにいつでも情報にアクセスできることです。

これら3つを維持できなければ、情報の漏えいや改ざん、消失などの恐れがあり、情報としての価値は失われるといっても過言ではありません。「情報」は、いまや経営資源の重要な一要素であり、情報セキュリティ対策に注力して情報の価値を維持することは、大きな経営課題の一つとなっています。

3. DX推進を妨げるのがセキュリティ問題

ところで、DXを推進する中で、キーポイントの一つとなるのがデータ活用です。社内に蓄積された販売データや顧客データに、外部のマーケティング調査データや気象データなどを組み合わせることで、さまざまな示唆が得られるでしょう。こうしたデータは、企業にとって価値のある資産であり、また顧客データなどは個人情報であることからも、情報漏えいは最も避けたい事故です。

ただ、従来のセキュリティ対策は、社内ネットワークや社内に設置されたハードウェア上の情報を中心に保護するものであるため、リモートワークが浸透し、従業員の自宅にあるパソコンやスマートフォン、クラウドサービスの業務利用など、社外にネットワークやデータが広がった状態では十分な効果は期待できません。

4. DX時代に求められるセキュリティ対策方法

このように、業務に利用するデバイスやネットワーク、データが社内外に散らばった状態で有効なセキュリティ対策は、以下の5つの観点で考える必要があるでしょう。

FWやWAFによる対策

まずは、DX推進以前から従来、行われてきたように、社内のサーバーやストレージ内にあるデータを守るため、ファイアウォール（FW）やIPS（不正侵入防御）、マルウェア対策ソフトなどを活用して、サイバー攻撃を防ぐ必要があります。
また、Webサイトの改ざんや、Webサーバーに格納された顧客データの漏えいなどを防ぐために、Web Application Firewall（WAF）を導入することも重要です。

テレワークのPC利用への対策

DX推進と前後して浸透してきたのがテレワークです。テレワーク時は、オフィスへ出勤している時のように社内ネットワークに接続されたデスクトップパソコンだけでなく、スマートフォンやタブレット、ノートパソコンなどのモバイル端末や、従業員の私物であるパソコンを業務に使用します。このように、社外のネットワークや、種類も量も多い端末が利用されるため、従来の境界型セキュリティでは不十分です。

そこで、求められているのが、すべてのアクセス要求やユーザー、端末を疑うことを基本とするゼロトラストセキュリティです。ゼロトラストセキュリティは、IDaaS（Identity as a Service/アイダース）などのセキュリティソリューションを導入することで実現できます。

人的エラーへの対策

物理的・技術的にどんなに対策を講じていても、従業員の意識が低ければ、内部犯行やミスにより不正アクセスや情報漏えいを招く恐れがあります。
そこで、人的な対策が必要になります。人的な対策とは、ネットワークやデバイスを利用するすべての従業員のセキュリティ意識を高めることです。

具体的には、サイバー攻撃や情報セキュリティに関する研修を行い、自社のセキュリティポリシーを遵守させ、内部犯行やミスによるセキュリティ事故を防ぎます。万が一、サイバー攻撃を受けた際に、どのような対処をすべきかまで教育しておきましょう。

ソフトウェアへの対策

ソフトウェアやツールなどには、脆弱性が見つかることがあり、これがサイバー攻撃者に悪用されてマルウェアに感染させられたり不正に侵入されたりして、情報漏えいなどが起きることがあります。利用しているソフトウェア類は、常に最新版にアップデートして、脆弱性を解消しておくことが大切です。

導入するツールのセキュリティ対策のチェック

DX推進に当たって、新たにデジタルツールを導入することも多いかと思います。その際は、ツールそのもののセキュリティ対策をチェックし、少しでもセキュアなものを選びましょう。
たとえば、ファイルなどをやり取りする際に暗号化できたり、ユーザー認証が多要素認証であるなど、機能面でセキュリティ対策が強化されたものを選んだり、ツールベンダーが情報セキュリティに関する規格や認証を取得していたり、セキュリティ対策への投資額が多いといった点から、ツールのセキュリティ対策をチェックできます。