DXで新たに生ずる企業のセキュリティリスク
―加えて多くの企業がデジタルトランスフォーメーション(DX)に向けてITを活用しビジネスモデルを変えていこうとしています。その過程でセキュリティのリスクが顕在化ししてしまい、例えば、実際に新しい金融サービスにおいて不正出金が行われるといった社会問題が起きてしまっています。
このような事故が起きると、社会でセキュリティの重要性が瞬間的には理解されますが、すぐ忘れ去られてしまいがちです。セキュリティを経営課題と認識する経営者も増えていますが、企業の管理職レベルの全員まで意識が浸透するまでには至っていません。トップダウンで大事だといっても、それが具体的に下に降りていないと感じます。
また、企業でのセキュリティ対策の指示は、IT部門やセキュリティ部門だけでなく、事業部門にも行き渡る必要があります。DXが起きると対面で行っていたサービスやビジネスがITプラットフォーム上へと移行し、その際に決済もデジタル空間で行われるようになりますから、技術を担う部門だけの取り組みでは対策が不十分で、ビジネスの現場に理解させることも大切です。
―中小企業では逆にトップの理解が足りず、セキュリティを強化するうえでボトルネックになっているケースが見られます。
中小企業でも代替りをした若い社長は、DXやセキュリティへの理解度が高い傾向にあります。もし社長が高齢の場合なら、後を継ぐ予定の2代目が中心となってセキュリティの取り組みを進めるという形も有効です。
―セキュリティ人材の不足問題なども指摘されていますが、セキュリティ対策を推進するうえで一番の課題は何でしょうか。
私が携わっているセキュリティプロフェッショナル認定資格制度(CISSP)の有資格者は、ITやセキュリティのベンダーに多く在籍していますが、彼らがユーザー企業に転職しても企業内におけるセキュリティ専門家としての活動の意義がなかなか理解されず、ベンダー側に戻ってしまうというケースが散見されます。セキュリティの人材問題では、まず企業側がセキュリティ対策の重要性を理解することが大切です。
その上でセキュリティ対策は、企業全体のテーマとして取り組む必要があります。ベースラインとしてのセキュリティ技術があり、使いやすいしっかりとしたツールがあって、それを扱える技術者がいて、組織やビジネスの全体が分かるマネジメント人材がいるという体制を作っていかねばなりません。体制作りが難しいという中小企業の場合は、ベンダーや国家資格の「情報処理安全確保支援士」など、外部のリソースもうまく活用すべきでしょう。
モニタリングの仕組みを作り、組織全体で運用する
―具体的なセキュリティ対策として、技術面での重要なポイントを教えてください。
常にリスクを見る、モニタリングする仕組みを作ることです。社外で使われる端末が増えていることから、エンドポイントを集約してモニタリングする仕組みがないと、ゼロトラストへの第一歩も踏み出せません。
その上でアクセスを制御したり、不正を検出したりするわけですが、その際には誰がそれを行うかが大事です。例えば、ある社員が個人情報へ大量にアクセスした場合、IT部門の人には、それが不正行為かどうか断定できません。現場の上司なら、「社員にDMの発送を指示しているので通常業務での行為である」、あるいは、「そのような指示をしておらず社員が辞表を出したので不正行為が疑われる」、といった判断ができます。
このようにモニタリングした結果を判断するプロセスでは、ITやセキュリティ部門の人にとどまらず、部門長や管理職を含めて意思決定を推進する仕組みを作らないと、不正を定義することができず、ゼロトラストのような考え方に基づくセキュリティ対策は実現できません。
―見方によっては、コロナ禍を契機に大きな変革を実行していくと捉えることもできます。今後しっかりとしたセキュリティ対策を実行していくために、企業はどう動いていけば良いでしょうか。
DXによってビジネスとITのかかわりが深くなっていくにつれ、セキュリティの重要性も高まっていきます。十分なセキュリティ対策をしなければ、情報が漏えいし、金銭が奪われ、事業継続さえも難しくなりかねません。そればかりか、例えば自動車の領域では、既に人命とセキュリティのバランスを考えなくてはならないところにまで来ています。
企業はセキュリティが経営課題であることをもっと本気で捉え、それを組織の中に浸透させなければなりません。トップも課題感を演出するだけではなく、自らが範となって態度で示す必要があります。そして、ビジネスの現場にも落とし込めるように、人材を雇用するなど必要なリソースを導入し取り組みを進めていくべきです。トップが本気になれば変わりますから、組織内にも広がっていくはずです。