キービジュアル画像

2021年11月19日

デジタル環境の変化に合わせてサイバーセキュリティ対策を見直そう

経営・ITコンサルティング部 冨田 高樹

ニューノーマルな働き方、DX(デジタルトランスフォーメーション)推進、クラウドサービスに代表される外部リソースの活用など、企業のデジタル環境を取り巻く状況はこの2年で大きく変化している。ここでは、変化に不安を感じている企業に向けて、サイバーセキュリティ対策をどう見直せばよいかについて解説したい。

デジタル環境がどのように変化しているのかを整理する

適切なサイバーセキュリティ対策を実現するためには、まず、何がどのように変化したのかを把握する必要がある。企業を取り巻く状況に応じて比重の変化はあるにしても、近年のデジタル環境の変化は次の3種類に分類できる。

1 デジタル依存度の変化

在宅勤務にオンライン会議、ペーパーレス化、脱印鑑など、業務のデジタル依存が進んだことで、かつてのように「いざとなれば紙に戻ればよい」とはいかなくなってきた。サイバー攻撃を受けたことで社内のデジタル基盤がマヒした場合、実質的に事業も止まってしまう企業が相当に増えていると見込まれる。社会への貢献を自負する企業であれば、社会的責任として「適切な対策を講じていませんでした」とはいえないはずである。

2 ビジネスでの活用形態の変化

従来のOA(オフィスオートメーション)の延長で実施されてきたデジタル活用は、社内の情報システム部門が統括しているケースが多いのではないか。一方、DX活用で新事業を展開するような場合、外部の先端技術を提供する企業等と連携し、クラウドサービス上にシステムを構築して事業を行うような形態になることも多い。このような場合、社内のセキュリティ対策を情報システム部門で統括していると、ビジネスでの活用を進めている事業部門のDXに目が届きにくくなる。

3 デジタル環境を取り巻く脅威の変化

最近はランサムウェアによる被害が話題になっているが、日進月歩のデジタル分野であれば、毎年新たな脅威が顕在化しているといっても驚きはないであろう。さらに、ランサムウェアのような外的要因に限らず、クラウドサービス上で秘密情報を誤って公開状態で保存してしまうなど、従業員の誤操作がもたらす影響範囲もデジタル環境の活用状況に応じて変わってくる。かといって、組織として毎年事業に影響するリスクの見直しをしているかといえば、きちんとできている企業は少ないのではないか。

変化を踏まえてどのように見直すべきか

以上の変化を踏まえ、サイバーセキュリティ対策を策定した時点と現状とを比較し、どこがどのように変わったかを考えれば、自ずと見直すべき内容も決まってくる。このときの検討のポイントは次の2点である。

1 サイバーセキュリティ対策費用の規模感をどう考えるか

デジタルへの依存度が高まっているのであれば、それを守るための費用を惜しむべきではない。しかしながら、セキュリティ費用には際限のないところがあり、最適投資の見極めが難しい。理想的には自社事業におけるサイバーリスクのアセスメントを行い、リスクを許容レベルに抑制するための費用を見積もるのであるが、ハードルが高いと感じられるのであれば公的機関が提供する無料ツール*1を用いて、業界平均と比較して自社が弱い部分を強化するところから始めてはどうだろうか。

2 サイバーセキュリティ対策を誰が、どう担うべきか

現状において、サイバーセキュリティ対策を自社要員で全て賄おうとするのは適切ではない。専門性を習得するには時間がかかり、中途採用しようとしても需要過多で市場に人材がいない。その費用で専門ベンダーに委託するほうが費用対効果の面でも有利である。しかしながら、ベンダーに丸投げでよいかといえばそれも誤りである。リスクにどう対処するのかを判断するのはあくまで自社要員であるべきであり、そのためには自社要員がベンダーと交渉できる程度の知識やスキルを身に付ける必要がある。

また、事業部門でDXを推進していれば、同部門でもそのような知識やスキルを有する要員を育成することが望ましい。このような知識・スキルを政府では「プラス・セキュリティ」知識と呼び、本来の専門性に加えてサイバーセキュリティに関する知識・スキルを兼ね備えた人材を育成するための取り組みを推進している。詳細については経済産業省が公表している資料*2が参考になる。

以上、サイバーセキュリティ対策の見直しにおいてポイントとなる事項を紹介した。なお、受発注相手とクラウドサービスで情報共有をしていればその対策にも配慮が必要になるので、見直しを行う際にはサプライチェーンを通じて協調した見直しを進めていくことが望ましい。安全なデジタル社会を担う一員として、社会からの期待に応える企業であり続けるためにも、ぜひ積極的な見直しに取り組んでいただきたい。

  1. *1)サイバーセキュリティ経営可視化ツール(独立行政法人情報処理推進機構:IPA)
  2. *2)サイバーセキュリティ体制構築・人材確保の手引き(経済産業省)