DX推進に不可欠なセキュリティ対策とは？攻めのITを実現する方法

 

DX（デジタルトランスフォーメーション）は、デジタル技術を活用して、業務効率化や業務変革等を行うことです。DXは大きく、以下の3つの段階に分けられます。

 

デジタイゼーション：紙をなくし、デジタルデータに置き換えること

デジタライゼーション：デジタルを活用して業務効率化や生産性向上を図り、時間圧縮を実現すること

デジタルトランスフォーメーション：デジタルを用いた事業変革により、ビジネスモデルや組織そのものを変革すること

 

なお、本記事ではこれら全てを含む「広義のDX」として解説します。

 

DXを推進すればするほど、デジタルデータの価値が高まり、業務におけるデジタル活用比率が高まり、そして益々、デジタルデータの価値が高まる・・という好循環をもたらします。これは、サイバー攻撃を受けた際のダメージが大きくなることでもあります。エネルギーを蓄積したマグマが爆発するように、１回の攻撃によるダメージが計り知れないものになる可能性を秘めるのです。車にアクセルとブレーキがあるように、攻めのDX推進には守りのセキュリティ対策は不可欠なのです。

 

以下では、DX推進におけるサイバーセキュリティリスクについて、解説していきます。

 

デジタル化に伴う攻撃対象の拡大とリスクの増大

 

DXとは、「あらゆるデータをデジタル化していく取り組み」といえます。パソコンやスマートフォン、IoT機器などを活用し、企業が扱うデジタルデータがクラウドサービス等に集約されていくことで、データの価値は必然的に高まります。こうしたデータが破壊や喪失といった被害に遭った場合、業務が停止し、一切の仕事ができなくなるリスクに直結します。また、データが集約されたクラウドサービスが攻撃を受けた場合には、一度の侵害が大量の情報流出につながる可能性もあります。

 

さらに、DXの推進は、パソコンやスマートフォンなどのエンドポイントデバイスや、SaaSをはじめとするクラウドサービス、ルータや無線Wi-FiなどのIoT機器の利用拡大を意味します。これは攻撃者にとっても好都合であり、インターネットに接続されるデバイスやサービスの数、拠点数が増えるほど、サイバー攻撃の対象範囲（アタックサーフェス）は広がっていきます。

 

つまり、DXを積極的に推進し、利便性を追求している企業ほど、サイバー攻撃による業務停止リスクが高まる構造にあるといえます。

 

データの集中と連携による被害拡大の可能性

 

また、DXの推進はシステム間のデータ連携を強化することで、より恩恵を享受できるという特徴を有します。一方で、サイバーセキュリティの観点から見ると、こうした連携はサプライチェーンリスクに直結する要因にもなります。

 

なぜなら、攻撃者にとっては、連携された複数のシステムのうち、脆弱性を持つ1箇所に侵入できれば十分だからです。侵入に成功したポイントはバックドアとして利用され、そこから接続されている他のシステムへとアクセスが拡大される可能性があります。このようなシステム内での横展開（ラテラルムーブメント）は、サイバー攻撃における典型的な手法の一つです。

 

その結果、データの窃取や改ざん、ランサムウェアによる暗号化といった被害が発生するリスクが高まります。さらに、基幹システムの停止は事業活動の停止にもつながりかねません。企業の社会的影響力が大きいほど被害の影響範囲も広がり、結果として信用の低下を招く可能性があります。

 

もはやセキュリティ対策は、情報システム部門だけが取り組むべきITリスクの一つではなく、企業経営をも揺るがしかねない「重要な経営リスクの一つ」と言っても過言ではありません。

 

事実、経済産業省が公表している「サイバーセキュリティ経営ガイドライン3.0」では、サイバーセキュリティを企業リスクマネジメントの一部として捉え、セキュリティ体制の不備によって企業自身や第三者に損害が生じた場合の責任や、事業継続・投資判断への影響などが示されています。また、担当者任せではなく、経営層が主体的に関与すべき課題であることが明確にされています。

 

サイバーセキュリティは、企業規模に関わらず、いつでもどの企業にも起こり得る経営課題です。そのため、内部統制やコーポレートガバナンスの観点から、組織的な取り組みとして構築していく必要があります。

 

そのための近道となるのが、などの国際的なセキュリティ標準・規格に準拠することです。

 

ISO27001ISMSやSOC2など国際的な認証規格への準拠

 

セキュリティ対策の強化は、継続的なビジネス活動を行ううえで、もはや必須といっても過言ではありません。特に近年では、サイバー攻撃による被害が自社にとどまらず、取引先にも経済的な損害を及ぼすサプライチェーンリスクへと発展するケースが増えています。

 

そのため、大手取引先を中心に、取引のある企業に対してセキュリティチェックリストへの回答を求めたり、ISO27001、NIST CSF、SOC2などの認証取得状況を確認したりする動きが広がっています。

 

そして、このような認証を取得していることが確認できた場合、「セキュリティ対策がしっかりとできている」との判断のもと、セキュリティチェックへの回答が不要になる、というケースも出ています。取引先が複数にまたがり、取引先ごとに異なるセキュリティチェックシートへの回答をするだけで相当な業務負荷が発生します。各種セキュリティ認証を取得していることが、セキュリティ対策実装の大義名分として評価されるため、ビジネスを行う上での必須要件となりつつあります。

 

このような時代変化の中で、多くのSaaSを活用することにより運用管理が複雑化する一方、前述したように「SSPMの活用」は、セキュリティ認証の国際標準に継続的に準拠するための有効な手段となり得ます。

 

セキュリティ関連の認証規格に準拠したSaaS設定であるかを定期的に監査し、その状態が継続的に維持されているかを自動的に可視化できることは、情報システム部門や監査部門、認証取得のための事務局など、関係部署の負担を大幅に軽減することにつながります。

 

下記表に各認証規格の概要と特徴をまとめます。

 

DX推進で押さえておくべき主要なセキュリティ認証規格

 

認証規格名	概要と特徴
ISO 27001 Information Security Management Systems	情報資産の機密性・完全性・可用性を維持する仕組みを構築・運用するための国際規格。PDCAサイクルによる継続的改善を重視し、組織全体のセキュリティリスクを包括的に管理・軽減することを目的とする。
NIST-CSF	米国国立標準技術研究所(NIST)が策定した、組織のセキュリティ管理・リスク削減のためのガイドライン。「特定・防御・検知・対応・復旧・ガバナンス」の機能を通じ、自社の対策状況を客観的に評価・改善する共通言語として世界中で活用されている。
PCI DSS（Payment Card Industry Data Security Standard）	カード情報の安全な取り扱いを目的とした国際基準。主要ブランド5社が策定し、12のセキュリティ要件を規定。カード情報を扱う全組織が対象で、他の認証に比べ具体的かつ極めて厳格な実装対策を要求するのが特徴。
SOC2	米国公認会計士協会（AICPA）が定めた、セキュリティ等の5つの基準に基づく内部統制の保証報告書。ISMSが体制構築を重視するのに対し、SOC2は監査人が「実際の運用有効性」を客観的に証明するため、特に北米市場での信頼獲得に不可欠。

 

サプライチェーン全体を考慮したリスク管理

 

前項でも軽く触れましたが、セキュリティ対策の強化は、自社の事業継続を安定的に維持するだけでなく、取引先や関連会社を含めたサプライチェーン全体の安全確保の観点からも、必須の取り組みとなっています。

 

例えば、部品を供給する製造業において、サイバー攻撃によって事業停止に追い込まれた場合、部品供給を受けているメーカーの製造工程に大きな影響を与えるだけでなく、出荷遅延や納品遅延、入金遅延など、その後の工程全体に連鎖的な遅れを生じさせる要因となります。

 

また、製造業に限らず、事業は企業間の関係性やつながりによって成り立つものであり、単一の企業だけで完結するものではありません。そのため、あらゆる企業がサプライチェーンの一部として重要な役割を担っているという認識のもと、事業を行う必要があります。

 

まさに、経済産業省が公表している「サイバーセキュリティ経営ガイドライン3.0」においても、「サプライチェーンを通じた間接的なつながりがあるすべての企業において、地政学リスクや自然災害などのリスクに加え、サイバー攻撃によるリスクを考慮したリスクマネジメントが求められている」と示されています。

 

こうした時代においては、経営者のリーダーシップのもと、サプライチェーン全体を見据えたセキュリティリスクへの対応を推進していくことが求められます。

 

そもそもセキュリティ対策は何のためにあるのでしょうか。少なくとも、対策を講じることで事業の柔軟性を損なったり、業務を過度に制限したりしてしまっては、「業務を阻害する存在」となり、本末転倒です。

 

その答えは明確で、セキュリティ対策は「企業の成長・発展を支える土台」として存在します。大規模な建物を建設する際に、基礎の強度が重要であるのと同様に、企業が持続的に成長していくためには、堅牢な基盤が不可欠です。SaaSを含むデジタルの恩恵を受けながら、ビジネスを安全かつ迅速に展開するためのインフラとして、セキュリティ対策を位置づける視点が重要です。

 

幸いにも現在では、セキュリティに関する考え方や標準化が進み、対策を支援するプロダクトも充実しています。最新のテクノロジーを活用することで、利便性と安全性の両立が可能な時代となっています。

 

ゼロトラストの採用による柔軟で安全な環境構築

 

現代におけるセキュリティ対策の考え方として主流となっているのが、「ゼロトラストモデル」です。

 

従来の主流は、境界型防御モデルでした。社内にオンプレミスのサーバを設置することを前提に、インターネットの出入口にファイアウォールやUTM（統合脅威管理）といった防御壁を配置し、社内と社外の境界を明確に分けることで、外部からの侵入を防ぐという考え方です。

 

しかし、新型コロナウイルスの感染拡大によりテレワークが急速に普及し、自宅のノートパソコンから業務を行う働き方が一般化しました。これにより、社内ネットワークに接続しなくても業務が可能なクラウドサービスやSaaSの活用が進み、重要なデータもオンプレミスではなくクラウド上に保管されることが当たり前になりました。結果として、業務で使用する端末の多くが従来の境界の外側に存在する状況が生まれました。

 

このような環境の変化により、内部と外部を分けて防御する境界型セキュリティモデルには限界が生じました。そこで登場したのが、「何も信頼しない」ことを前提とするゼロトラストモデルです。デバイスやユーザー、アクセス先などを一律に信頼せず、すべてのアクセスを都度検証することでセキュリティを確保します。

 

ゼロトラストモデルでは、境界の有無やデータの保存場所（オンプレミスかクラウドか）、利用者の権限、デバイスの種類（パソコンやスマートフォンなど）に関係なく、あらゆる通信を検証対象とします。この考え方は、「いつでも・どこでも」業務が可能な現代の働き方と親和性が高く、テレワークやDXの推進を支える重要な基盤となっています。

 

境界防御とゼロトラストセキュリティの違い

 

項目	従来の境界防御モデル	ゼロトラストセキュリティ
基本の考え方	「社内ネットワークは安全、社外は危険」	「すべてのデバイス、ユーザー、アプリケーションを『信頼できない』」と前提する
認証のタイミング	ネットワークの境界（入口）で一度認証すれば、内部は自由にアクセス可能	内部・外部を問わず、アクセス要求がある度に毎回検証・承認を行う
主な対策技術	ファイアウォール、VPN	多要素認証、マイクロセグメンテーション、UEBA（振る舞い分析）など
DXとの相性	リモートワークやクラウド利用（社外からのアクセス）への対応が難しい	どこからでも安全にアクセスできるため、柔軟な働き方やクラウド活用に適している

 

証跡の自動保持による監査対応コストの削減

 

SSPMの活用も、セキュリティ強化を実現する最新テクノロジーの一つです。

 

SSPMはSaaSセキュリティに関するさまざまな機能を備えていますが、なかでもSaaS利用時の証跡（ログ）を自動的に保存し、分かりやすく可視化する機能は非常に有効です。特に、定期的な監査が求められる上場企業などにおいては、その効果を発揮します。

 

また、SSPMは複数のSaaSにまたがる設定変更やアクセス権限の履歴を自動的に記録・管理できるため、セキュリティ監査時に必要となる証拠資料を迅速に抽出・提供することが可能です。

 

これにより、従来はSaaSごとに監査証跡（ログ）を収集し、手作業で分類・分析していた作業の負担を大幅に削減できます。監査対応に多くの時間を割かれていたシステム担当者の負担軽減につながるだけでなく、創出されたリソースをDX推進などの付加価値の高い業務へ充てることが可能になります。

 

DXの推進は、事業のビジネスモデルの中核を担うものです。セキュリティ対策をIT部門のみに任せる時代は終わり、組織全体で取り組むべき課題へと変化しています。こうした全社的な取り組みは、経営者のリーダーシップが求められる領域です。

 

また、単にセキュリティ製品を導入すればよいというものではなく、ルール策定や組織体制の整備といった「組織的対策」や、社員全体へのセキュリティ教育といった「人的対策」など、技術的対策以外の取り組みもあわせて実施する必要があります。

 

ここでは、経営者主導のもと、組織全体で取り組むべきセキュリティ対策強化のポイントについて解説します。

 

4つのセキュリティ分類による施策の実施

 

セキュリティ対策の基本は「桶の理論」です。穴の空いた桶に水を入れても、水位は最も低い穴の高さまでしか上がらないように、セキュリティ対策において重要なのは「網羅性」です。

 

網羅すべき4つのポイントは、「組織的対策」「人的対策」「物理的対策」「技術的対策」です。組織的対策では、規程やルール、体制を整備し、それに基づいて教育プログラムを策定し、社員への教育（人的対策）を行います。さらに、紙媒体やデータの保管方法、不要となったデバイスの廃棄方法など、情報事故を防ぐための「物理的対策」を整え、ウイルス対策ソフトやファイアウォールの導入、バックアップの実施といった「技術的対策」を実装します。これらをバランスよく組み合わせることが、「桶の穴」を引き上げるうえで重要です。

 

中でも特に重要なのが「人的対策」です。高価なファイアウォールを導入していても、社員がパスワードを使い回していたり、不審なメールを開封してしまったりすることで、組織全体に影響を及ぼすリスクが生じます。最終的にセキュリティを左右するのは「人」であるといえます。

 

そのため、CSIRTなどの体制を整備するとともに、サイバーインシデント発生を想定したシミュレーションや、対応計画の策定・訓練を実施することが重要です。これらの取り組みは、社員一人ひとりのセキュリティ意識と対応力の向上に大きく寄与します。

 

情報セキュリティ対策の4つの分類と具体例

 

対策の分類	目的と概要	具体的な対策例
物理的対策	データの保管場所への出入りを物理的に制限し、機器の盗難等を防ぐ。	・機密情報は鍵付きロッカーに保管する ・サーバールームの入退館管理、防犯カメラ設置
物理的対策	ハードウェアやソフトウェアの機能を用いて、情報や端末をシステム的に保護する。	・ファイアウォール、ウイルス対策ソフトの導入 ・データの暗号化、アクセス制御
人的対策	従業員のミスや悪意による情報漏洩を防ぐため、リテラシーの向上を図る。	・情報セキュリティポリシーの策定と周知 ・標的型メール訓練やセキュリティ教育の実施
人的対策	セキュリティに関するルールや体制を構築し、組織全体で遵守させる。	・情報資産管理台帳の定期的な棚卸しルール ・セキュリティ専門部署（CSIRTなど）の設置

 

経営リスクとして捉える意識改革と投資の必要性

 

セキュリティ対策は、「何も起こらないこと自体が投資の成果である」という、極めて効果が見えにくい投資です。しかし、一度セキュリティ事故が発生した場合の影響は非常に大きく、事業継続の断念や数カ月に及ぶ事業停止に直結するなど、経営に致命的なダメージを与える可能性を持つリスクでもあります。

 

それにもかかわらず、実際に被害を経験していない場合、「効果が見えにくいセキュリティに投資する」という意思決定は容易ではありません。この判断ができるのは、最終的には経営者に限られます。「万が一、自社がサイバー被害に遭った場合にどうなるのか」という未来を想像し、先回りして対策を講じるには、高い判断力と相応の決断力が求められます。特に投資規模が大きくなるほど、その判断は経営者の力量に委ねられることになります。

 

もはや、セキュリティへの投資は企業が成長していくために不可欠なものとなりました。今後も時間の経過とともに、セキュリティ対策が適切に実装されているかどうかが、企業間取引における重要な判断基準の一つとなっていくことは間違いありません。

 

セキュリティ対策は、企業の信頼性を高めるだけでなく、DX推進と表裏一体で捉えるべきものです。持続的な成長を目指すのであれば、足元を固める基盤としての「セキュリティ投資」が、今後ますます重要になることを忘れてはなりません。

企業が把握していないデバイスやSaaSなどのシャドーITが生まれやすい背景やセキュリティリスク、それらを解消するために必要となる利用状況の可視化とガイドラインの策定、さらに仕事熱心な社員がもたらす可能性のあるシャドーITリスクとその代替案について解説しました。

 

また、増加するSaaSのセキュリティを強化するためのSSPMについても取り上げ、SaaSにおける設定不備などのリスクと、それに対するSSPMによる解決方法をご紹介しました。

 

さらに、国際的なセキュリティ基準に準拠したSSPMの活用方法や、DX推進に不可欠なSaaS利用とセキュリティ実装の重要性、そして経営リスクとしてのセキュリティ投資について、全4回にわたり新たなセキュリティリスクとその対策を解説してきましたが、いかがでしたでしょうか。

 

セキュリティ対策は、トップ主導で取り組むことで推進スピードが大きく向上します。そのためには、経営トップ自身が一定の理解を持ち、「自社をサイバー被害から守る」という強い意志を持つことが重要です。また、セキュリティ対策が事業継続や企業の成長・発展に不可欠であり、新たな価値創出を支える基盤であることを理解する必要があります。

 

本連載が、セキュリティ対策強化の一助となれば幸いです。