DX推進に関わるセキュリティリスクとは?セキュリティ事故事例と対策方法について解説
情報のデジタル化は業務の効率化や遠隔業務を可能にするなど、企業に多くの価値をもたらします。
一方で、加速する情報のデジタル化によってセキュリティ事故は年々増加しており、新たなセキュリティリスクも生まれてきています。セキュリティ事故が企業へ与える被害は甚大で、企業は適切な対策を講じておく必要があります。
本記事では、加速するDXによって増加したセキュリティリスクとその対策観点について紹介します。
➡︎【資料ダウンロード】さまざまな業界のDX推進事例をわかりやすく解説「DX事例集」
目次
DXとセキュリティ
「DX」はデジタルトランスフォーメーション(Digital Transformation)の略で、デジタル技術によって生活やビジネスをより豊かに変革することを言います。
★DXについて詳しくはこちら
➡︎【資料ダウンロード】さまざまな業界のDX推進事例をわかりやすく解説「DX事例集」
具体的な事例としては、業務のデジタル化やクラウドの導入、収集したデータのマーケティングへの活用などがあり、DXは業務の効率化や円滑な推進に貢献します。
しかし、デジタル技術によって情報がオンライン上にアップロードされ、より広い範囲で人や企業、モノがつながるため、DXはさまざまなセキュリティリスクもはらんでいます。
オンライン上での情報のやり取りは便利な一方で悪質な攻撃者にとっても狙いやすく、手軽に情報を収集・管理できてしまうため重要情報を扱っているという意識も抜けがちです。
そのため、DXを推進する企業はより注力してセキュリティを考える必要があります。
DX推進に伴うセキュリティ事故
DXによって起こるセキュリティ事故について、詳しく解説します。
DXによって増加するセキュリティ事故
トレンドマイクロ社が行った調査によると、DXを推進する法人組織のうち、約 35.2%でDX 推進によってインシデントが発生しています。
また、DX推進下で発生したセキュリティインシデントにおける被害内容としては、「業務提携先に関する情報漏えい」が最も多く、「技術情報に関する情報漏えい」、「データ破壊・損失(ランサムウェアによるものではない)」などが続きます。
昨今ではサイバー攻撃の侵入口として業務提携先企業のサプライチェーンを悪用する例が複数確認されており、提携先企業の選定基準としてセキュリティ対策への取り組みや姿勢も重要な判断基準の一つになり始めています。
参照:DX 推進における法人組織のセキュリティ動向調査 トレンドマイクロ社
DXに関連したセキュリティ事故事例
セキュリティ事故のビジネスへの影響は年々拡大しており、企業によるセキュリティ事故はたびたび大きく取り上げられます。
以下にDXに関連したセキュリティ事故の事例を2つ紹介します。
【事例1】大手人材サービス会社による内定辞退率予測サービス問題
大手人材サービス会社の学生の個人情報をAIで分析して内定辞退率を予測するサービスで、個人データの第三者提供に関する同意取得が行われていなかったとして問題に。個人情報保護委員会から2度の勧告を受けた就活生を中心とした世間から大きな批判があり、サービスは廃止へ。
【事例2】大手建設コンサルティング会社へのランサムウェア攻撃
ランサムウェア攻撃を受け、複数の公的機関(自治体等)から事業を委託されていた大手建設コンサルティング会社の業務関連データが暗号化された。公的機関が貸与したデータを含む情報の外部流出の可能性があり、結果として同社は「復旧に向けた調査および対応に伴う関連費用」として約7億5000万円を計上。公的機関から委託されていたデータに関して各機関から説明を求められた。
セキュリティ事故は企業に甚大な被害を及ぼす
セキュリティ対策は費用対効果やどこまで対策すればよいかがわかりづらく、サービスの運営には必ずしも必要のないものに思えるかもしれません。
しかし、ひとたびセキュリティ事故が起こるとサービスが廃止に追い込まれたり、多額の賠償金が求められたりと、セキュリティ事故が企業に与える被害は甚大です。
そのため、企業は日頃から適切なセキュリティ対策を打っておく必要があります。
➡︎【資料ダウンロード】さまざまな業界のDX推進事例をわかりやすく解説「DX事例集」
DX推進とセキュリティリスク管理
それでは、具体的にDX推進においてどのようなセキュリティ対策を実施すべきなのでしょうか?
DXにおいては、1つ1つのシステムや機器に対するセキュリティ対策を検討するだけでなく、サービスや事業全体のセキュリティリスクを可視化し、ビジネス全体を俯瞰して対策をとることが重要です。DXにおいては、様々なモノがつながっているため、1つ1つのシステムのセキュリティ対策だけでは抜け漏れが発生する可能性があります。
具体的には、以下のようなDX特有のセキュリティリスクが考えられます。
①レギュレーション違反リスク
個人情報やビックデータなどの重要な情報を扱う事に伴う法律・法令への違反や、ビジネスモデルの変化による各業界に存在する規制への違反などのリスクがあります。
②サプライチェーンリスク
DX推進によってデジタルでつながるサプライチェーンが広がり、サプライチェーンにおけるセキュリティ事故の影響を受ける可能性があります。
③新技術・サービスにおけるリスク
DX推進において近年クラウドサービスの利用が拡大していますが、クラウドサービスを利用する場合、責任分界点や管理方法など、クラウド特有のセキュリティ対策を考える必要があります。また、AIやIoT等の新技術を利用する場合、セキュリティ対策についても新しく検討する必要があります。
④データ管理におけるリスク
DXが進むと、多くのデータがデジタル化されます。情報漏洩は会社の信用失墜にもつながるため、それらの保護・管理が重要となります。また、DX推進により、情報システム部門のみならず様々なステークホルダーがシステムやサービスにアクセスすることになります。利用者側のセキュリティ意識が不足しているために起こるセキュリティ事故を防ぐ観点も重要です。
⑤ビジネスモデル自体のセキュリティ
DXでは、ビジネスモデル自体の変革を促します。ビジネスモデルが変わると人やモノの動きが変わるため、それに従いセキュリティも新しく考慮する必要があります。また、DX推進のプロジェクトが走っている場合、そのプロジェクト自体におけるセキュリティ対策についても検討する必要があります。
このように、DX推進においては様々なセキュリティリスクに対処する必要があります。
ビジネスモデル自体のセキュリティリスクやサプライチェーンのリスクを把握するためには、事業企画段階からセキュリティリスクを判定し、計画的にセキュリティ対策を講じることが重要です。
サービス全体のセキュリティリスクを企画段階で把握することで、それらに漏れなく対応でき、修正コストが発生しないぶん最終的に費用も安価となります。
➡︎【資料ダウンロード】さまざまな業界のDX推進事例をわかりやすく解説「DX事例集」
「ちょうどよい」セキュリティリスク管理
組織やプロジェクトにおいてセキュリティ対策を検討する際には、組織やプロジェクトにおいて目指すべきセキュリティ管理のレベルを判定し、「ちょうどよい」セキュリティリスクへの対策を実施することが重要です。
世の中には様々なセキュリティ対策の方法やツールがあふれていますが、全てを実施することは、リソース的に不可能です。そのため、その会社・プロジェクトの規模、リソースに見合ったちょうどいい対策を考えることが重要です。
ちょうどいい対策を考えるにあたっては、組織やプロジェクトの特性に合わせた「データの保護管理」と「データの業務活用」の適切なバランスを考えることが重要です。
保護管理を重視した場合、データの可用性が損なわれる可能性がありますし、逆にデータ活用を重視した場合、データの機密性や完全性が損なわれる可能性があります。組織の経営方針等も参考に、どの程度リスクを許容するかを検討することが求められます。
そこで、まず最小の範囲でやるべきことを洗い出し、セキュリティ管理を実施する際に、ISMS(ISO27001)という規格が参考になります。
➡︎【資料ダウンロード】さまざまな業界のDX推進事例をわかりやすく解説「DX事例集」
ISO27001とは
ISO27001は、ISMS(情報セキュリティマネジメントシステム)の要求事項を定めた国際規格です。ISMSは、情報の機密性・完全性・可用性の3つを維持・改善し、情報を有効活用するための組織の枠組みであり、ISMS認証を取得していることは、国際的に設定した基準をクリアしていると保証されていることを示します。
ISO27001の要求事項は世界的に認められたセキュリティの基準であり、基本的な情報セキュリティ管理項目を網羅しているため、ISMSに則ったセキュリティ管理を検討することで、抜け漏れなく必要最低限のセキュリティ管理を実現することが可能となります。また、ISMSの要求事項は抽象的な内容となっており、具体的なツールや手法まで指定していないため、それぞれの要求事項に対しどの程度の対策を実施するかはそれぞれの組織の管理レベルに応じて検討することが可能です。
逆に、ISMSの要求事項を満たしていなかった場合、サイバー攻撃等による被害が発生した際に、十分なセキュリティ対策を行っていなかったとして、企業の信頼失墜や説明責任が問われる事態となる恐れがあります。
まとめ:DXとセキュリティ対策はセットで考えよう
DX推進やデジタル化により、事業・提供するサービスの情報・データに関するセキュリティリスクが高まっており、DX推進とセキュリティリスク管理は切っても切り離せない関係となっています。セキュリティリスクの未把握・放置は、情報セキュリティインシデントにつながりとても危険な状態です。
その会社・プロジェクトの規模、リソースに見合ったちょうどいいセキュリティ対策を検討することで、安全にDXを推進しましょう。
➡︎【資料ダウンロード】さまざまな業界のDX推進事例をわかりやすく解説「DX事例集」
DX推進をご検討中の企業ご担当者様へ
セキュリティリスクの未把握・放置は、情報セキュリティインシデントにつながる危険性があることから、モンスターラボでは情報セキュリティリスクを診断するサービスとして「Security Sprint」をご用意しております。
➡︎【資料ダウンロード】モンスターラボのDX推進支援サービス紹介資料
「Security Sprint」は、情報・データの管理についてのセキュリティリスクを可視化し、対策案の骨子を導き出す診断サービスです。当サービスでは、データの機密性・完全性・可用性を脅かす、6つの情報セキュリティリスクを特定し、費用対効果を勘案した対策案の骨子をご提言いたします。
一言に「情報セキュリティ対策」といえどお客様ごとに状況は異なっており、そのスキームも様々です。3週間のクイック診断で特定したリスクについて、それぞれの組織やプロジェクトの特性に合わせた目指すべきセキュリティ管理のレベルを決定するサービスです。
サービスについての詳細は下記ボタンよりお気軽にお問い合わせください。
お問い合わせはこちら
直近のイベント
記事の作成者・監修者
岡本奈穂子(株式会社モンスターラボ ビジネスデザイングループ ビジネスアナリスト)
2020年ITコンサルティング企業に入社。セキュリティ専業企業に常駐し、セキュリティコンサルティングと事業開発にかかわる。 2022年合併によりモンスターラボへ参画。現在はセキュリティコンサルティングを担当しながら、セキュリティの新規サービス開発に従事している。
児玉菜摘(株式会社モンスターラボ ビジネスデザイングループ ビジネスアナリスト)
2020年にITコンサルティング企業に入社。セキュリティ専業企業に常駐し、セキュリティ訓練事業にかかわる。2022年に合併によりモンスターラボへ参画。現在はクライアントの新規事業・サービスにおける戦略策定や企画立案の伴走支援に従事している。
関連記事
