ブログ・コラム

2021年04月06日

個人情報流出、DXにおける「サイバーセキュリティ」とは

個人情報流出、DXにおける「サイバーセキュリティ」とは

DXを推進する企業が増加していますが、DXは業務の効率化をもたらしてくれると同時に、サイバー犯罪者にも恩恵を与えています。
企業や事業主は、DXを前提としたサーバーセキュリティを構築し、サイバー犯罪に備えなければなりません。

DXでネットワークが広がる分リスクも増加している

新型コロナウイルス感染拡大の影響で、DXは急速に促進されました。
企業の生き残りを賭けてDXに取り組んでいるという企業も多いでしょう。
Internet of Things(IoT)を活用してマーケットの情報を収集しビジネスをブラッシュアップする、クラウドサービスを活用してデータ管理の効率を向上させるなど、DXがもたらす恩恵は数多くあります。

しかし、こうしたDXの“良い面”にばかり目をとらわれてしまい、DXの促進によるリスクが増加していることは忘れられがちです。
DXによるリスク、それは、サイバー犯罪です。

1月15日に東京商工リサーチが発表した調査結果によると、2020年、個人情報の漏洩、紛失事故を公表した上場企業とその子会社は88社、事故件数は103件、流出した個人情報は2515万47人分、事故の原因で最も多かったのはウィルス感染・不正アクセスでした。
この調査結果にも裏付けされるように、DXの発展によりさまざまな技術やサービス開発されていますが、そうした技術やサービスを、サイバー犯罪者も使用できることを忘れてはなりません。
DXにより恩恵を受けるのは、善良な企業や事業主だけではないのです。

また、DXはデジタル技術を用いてビジネスモデルに革新をもたらすものですから、インターネット上でのネットワークの広がりは避けられません。
ネットワークが広がることで利便性や生産性が向上しますが、同時にサイバー攻撃を受けるリスクが増しているということでもあります。

ネットワークが広がるということは、サイバー犯罪者にとって見ればそれだけ“犯行に及ぶ場所”が増えたということです。
つまり、これまでよりサイバー攻撃の被害に遭いやすくなったといえるでしょう。

このように、DXが促進されることは決してプラスの面だけではないのです。

DXはサイバー犯罪者にとってもチャンスになっている

ご存知の通り、DXは企業や事業主に大きな恩恵をもたらすものです。
デジタル技術の導入により、ビジネスに革新をもたらし、競争優位性を確保できます。

しかし、DXが促進されることは、サイバー犯罪者にとっても大きなチャンスとなっているのです。
DXを導入・促進するためには、ネットワークの拡大が不可欠であり、「DXの導入・促進=ネットワークの拡大」といっても過言ではありません。

DXを促進すれば、膨大な数のIoTやOperation Technology(OT)、制御システムがネットワークにつながることになります。
クラウドサービスはデータをインターネット上で管理するものですから、ネットワークそのものといえます。

そして、この現象をサイバー犯罪者の立場から見ると、ネットワークが広がればそれだけ犯罪を行う場が広がったということを意味します。
DX関連のサービスが開発されれば、それだけサイバー攻撃の手段が増えたということです。

サイバー犯罪者が使用するマルウェアや攻撃ツールはアジャイルで開発され、急速に広まっています。
サイバー犯罪者はASPやSaaSなどにも攻撃を行います。※1
DXを促進するデジタル技術やAIは、サイバー犯罪者にとっても便利なツールなのです。

現に、クラウドサービスではサイバー攻撃を受け情報が漏洩してしまう事件が続出しています。
クラウドの分野ではちょっとした“設定ミス”から情報漏洩が起きるケースもあり、高度なサイバー攻撃を受けずとも簡単に情報が外部に漏洩してしまう危険性があるといえるでしょう。

IoTの分野では、インターネットに接続された多数の機器に不正アクセスを仕掛け、他社サービスに大規模な攻撃を行うマルウェアも登場しています。
OTの分野での攻撃は特に活発化しており、ウクライナでは電力システムを狙ったサイバー攻撃により大規模な停電が起きるなど、人命に対する危機にも発展したケースもあります。※2

このように、DXにより利便性が向上するのは企業や事業主だけでなく、サイバー犯罪者にも“革新”をもたらしてしまっているのです。

サイバーセキュリティの2つのポイント

DXはサイバー犯罪者にとってもチャンスとなります。
ここでは、多様化を見せるサイバー犯罪を防ぐためのセキュリティを構築する上で必要なポイントを紹介します。

組織の変革を進める

サイバー攻撃の脅威は増加する一方ですが、セキュリティの意識が低い企業や事業主も決して少なくありません。
防御側である企業や事業主のセキュリティ意識が低いままでは、サイバー犯罪者にとっては格好の的となってしまいます。

特に、グローバルに展開している企業では、セキュリティレベルの低い国や地域で活動することもあるでしょうから、その際は他人任せにせず、自分で厳格なセキュリティを構築しなければなりません。

まずは、組織全体としてセキュリティへの意識を高めましょう。
これが組織変革の第一歩です。

次に、実際にセキュリティを高めるためのガバナンスを行います。
専門のセキュリティチームを設置したり、ホールディングス制を採用し親会社と子会社が一貫してセキュリティに取り組んだりといった方法が考えられます。

サイバー・トランスフォーメーションを促進する

サイバー・トランスフォーメーションとは、最先端のデジタル技術を用いて新たなセキュリティを構築することを指します。
DXによりビジネスに革新を起こすなら、同時にサイバー・トランスフォーメーションによりセキュリティにも革新を起こす必要があります。

前述の通り、DXによりサイバー犯罪者も大きな恩恵を受けサイバー犯罪は多様化しています。
進化するサイバー犯罪に対処するには、セキュリティも進化しなければなりません。

サイバー犯罪者が最先端の技術を活用している以上、防御側もAIやデータアナリティクス、オーケストレーションといった最新技術を活用する必要があります。
DXを前提としてサイバー・トランスフォーメーションを進めることで、セキュリティレベルを飛躍的に向上させることができるでしょう。

なお、このときは法令も意識しなければなりません。
国内でいえば「個人情報保護法」、欧州でいえば「GDPR」等、情報セキュリティに関連する法令の遵守が求められます。

サイバーセキュリティを強化することで顧客の信頼も得られる

サイバーセキュティの強化は、顧客の信頼獲得にもつながります。
例えば、クラウドサービスを導入する際、過去にそのサービスで個人情報漏洩事件が発生していたとしたら、そのサービスを利用しようとは思わないでしょう。
厳格なセキュリティが構築され、安心してデータを預けられるからこそクラウドサービスを利用しようと考えるはずです。

このように、セキュリティを高めることで顧客は安心してサービスを利用でき、ひいては信頼を獲得できるのです。
セキュリティ強化は自分達の損失を防ぐというディフェンスの役割だけでなく、顧客の信頼を獲得し利益を増やすというオフェンスの役割も果たすのです。

仮想現実におけるセキュリティ対策も求められる

仮想現実(VR)がさまざまな分野で利用され始めています。
この仮想空間についても、セキュリティ対策は必須です。

拡大する仮想現実(VR)

最近では、仮想現実が利用される機会も増えています。
ヴァーチャル・リアリティ(Virtual Reality)という言葉を聞いたことがある方も多いのではないでしょうか?

VRとは、実際のものではないが本物と同様の環境をユーザーの五感などへの刺激で実現する技術を言います。
身近な例としては、ゲームの分野でゴーグル式のデバイスが発売されています。

これ以外にも、企業の研修用のコンテンツとして利用されたり、賃貸業界や旅行業界でもVRを活用してサービスが実用化されたりしています。
いずれも、本来はその場にいないがあたかもその場にいるような体験ができるとして注目を集めています。

仮想空間でもセキュリティは必須

実用化されたばかりでまだまだ発展途上の段階にあるVRですが、この分野においてもセキュリティは必須です。
VRにおいては、個人情報や体験の傍受・アバターの悪用といったサイバー犯罪が想定されており、これらはいずれも実現した場合は大きな被害となる犯罪です。
VRはその圧倒的な没入感が特徴の技術ですが、没入しすぎることもまたリスクを伴います。

前述の通り、VRは発展途上にありその技術は未だ確立されていません。
今後は、VRを安全に利用するため慎重にサービスを開発し、セキュリティ対策に万全を期さなければなりません。

まとめ

DXが進む現代において求められるサイバーセキュリティについて検討しました。
DXは企業や事業主のビジネスに変革を起こし大きな恩恵をもたらすものですが、最先端の技術はサイバー犯罪者も同様に使用できます。

多様化し進化するサイバー犯罪に対処するためには、防御側もサイバー・トランスフォーメーションを促進し、セキュリティを強化しなければなりません。
そして、セキュリティを強化する際には「個人情報保護法」や「GDPR」といった法令遵守も必須です。
セキュリティ強化の際は、専門家のサポートを受けることを検討してみてはいかがでしょうか?

文責

CONTACT

案件のご相談・ご予約のお客様