DX推進にはセキュリティリスクを伴うとよく言われています。デジタル技術の活用ではセキュリティ対策は不可欠で、DXの推進の際にも施策を練ることが必要です。この記事ではDXによって起こったセキュリティ事故の事例と、対策に必要なポイントを解説します。セキュリティインフラによる対策事例や、セキュリティ課題の解決になるDX施策についてもご紹介します。

DX(デジタルトランスフォーメーション)とは?

DX(デジタルトランスフォーメーション)とはIoTやAI、インターネットやSMSなどのさまざまなデジタル技術を活用して変革を起こすことです。経済産業省によって2018年にガイドラインが出されてから注目を浴びるようになった概念です。ビジネスにおけるDXではデジタル技術により優位性を生み出し、事業の持続性と発展性を導き出すことが重要視されています。デジタル技術の進展によって改善の可能性がさらに生まれるため、持続的に取り組む必要があるコンセプトです。

関連リンク:DX(デジタルトランスフォーメーション)とは?DX推進のメリットと課題も解説

情報セキュリティやサイバーセキュリティとは?

DXでは情報セキュリティやサイバーセキュリティの対策が必要です。情報セキュリティもサイバーセキュリティも基本としては情報の機密性、完全性、可用性を保護することを指します。

情報セキュリティとサイバーセキュリティは曖昧に用いられていることがありますが、国際標準化機構(ISO)によるISO/IEC 27032では関係性が示されています。サイバーセキュリティと情報セキュリティは包含関係にあり、情報セキュリティの中にサイバーセキュリティやインターネットセキュリティ、ネットワークセキュリティ、アプリケーションセキュリティがあるというのが基本概念です。

参照:ISO/IEC 27032:2023 – Cybersecurity — Guidelines for Internet security

①機密性(confidentiality)

機密性とはデータのアクセス権限管理が行われていて、権限のない人が知る術がないようにすることです。許可を受けた人だけがデータにアクセスできるようにして、情報漏えいが起こらないようにしていると機密性が高いと言えます。

②完全性(integrity)

完全性は情報の内容や処理について不備がなく正確と保証できることを意味します。データが改ざんされてしまって本来あるべきデータではなくなっていたり、処理が誤った形で行われていたりする場合には完全性がありません。

③可用性(availability)

可用性はデータの使用しやすさです。権限のあるユーザーがデータに簡単にアクセスできる状況があれば可用性が高いと言えます。必要時に使用できない状況がある場合には可用性が低いと判断します。

④真正性(authenticity)

真正性とはデータにアクセスするユーザーが本当にその人かどうかを担保できる性質です。なりすましによる不正アクセスの被害を受けないセキュリティを確保するために、真正性を重視する必要があります。

⑤責任追跡性(accountability)

責任追跡性とはデータやサービスへのアクセスについて行動記録を残して後から追跡できる性質を指します。アクセスログなどを記録して、何かトラブルが発生したときにも遡って責任を追及できると、責任追跡性が高いセキュリティ体制と言えます。

⑥否認防止(non-repudiation)

否認防止とはシステム上で不正が行われた際に、不正行為をした本人が否定できないようにすることです。どのユーザーが何をしたのかを記録して、後から調査できるようにすることで責任を否定されたときにも根拠を示せるようになります。

⑦信頼性(reliability)

信頼性とはシステムが安全に稼働していて、必要な作業を正確かつ再現性も高く実施できる性質です。エラーが発生して作業の滞りやミスが発生するシステムではなく、いつも安定して利用できることが重要な要素になります。

DXを推進する際に増大するセキュリティリスク

DXの推進では常に気にしなければならないのがセキュリティリスクです。DXではインターネットを代表とするネットワーク技術の利用や、個人情報や機密情報のデジタルデータによる管理をします。データの活用はDXを推進する上で欠かせませんが、データの収集や共有、管理などのさまざまなプロセスでリスクが発生するので注意が必要です。また、DXの認識が広まった影響でデータの価値が高く評価されるようになり、情報の漏えいリスクも高まっています。

例えば、DXを推進するとアナログでおこなっていた業務をデジタル化することがよくあります。アナログでは気にする必要がなかったサイバー攻撃による情報漏えいのリスクが発生するのが課題です。

また、クラウドシステムは安価に導入可能なのでDXでよく用いられていますが、クラウドサーバーのセキュリティが不完全で情報の漏洩や紛失が起こるリスクもあります。個人情報保護法などの法令に違反する場合もあり得るため、レギュレーションについても注意しなければなりません。

DXによって新しい技術開発をした場合にはビジネスモデル自体が変わることもあります。社員の情報リテラシーが低く、新しいビジネスモデルでの適切な情報管理ができずにセキュリティ事故につながるリスクもあります。自社だけでなく取引先と共有している情報の漏えいによるトラブルも起こるリスクがあるため、DXではセキュリティリスク対策が欠かせません。

関連リンク:DXはなぜ必要なのか?効果や必要性、進め方を徹底解説

DXを推進した際に発生したセキュリティ事故の事例

DXを推進した結果としてセキュリティ事故が起きた事例はいくつもあります。代表例を紹介するので、同じ事故を起こさないようにしましょう。

ランサムウェア感染

ランサムウェア感染によるセキュリティ事故は多発しています。小島プレス工業株式会社では自社サーバーがウイルスに感染し、「3日以内に連絡しなければデータを公表する」という脅迫を受けた事件です。小島プレス工業はトヨタ自動車のサプライチェーンの1つです。このランサムウェア感染の事実を受けてトヨタ自動車は国内のすべての工場を一時停止させる対応を取りました。ランサムウェア感染は取引先企業への影響も大きいことがわかる事例です。

参照:トヨタ取引先の小島プレス工業も被害、2022年激化が予想されるランサムウェア攻撃について|DataClasys

個人情報を記録した媒体の紛失

兵庫県立がんセンターでは医師が患者データの入ったUSBメモリを紛失する事故がありました。55人の患者の個人情報と約10年間の治療記録が含まれていた媒体です。普段、医師は白衣のポケットに入れるだけのずさんなセキュリティ対策しかしていなかったため、落として紛失したと考えられています。事実が発表された時点では情報漏えいによる問題は起きていませんでしたが、患者が大きな被害に遭うリスクがあるセキュリティ事故でした。

参照:医師が患者55人分のデータ入りUSBメモリー紛失 情報漏えいは確認されず 兵庫県立がんセンター

社員による意図的な機密情報の漏えい

積水化学では社員による機密情報の漏えい事故がありました。社内サーバーから営業秘密情報をUSBメモリで取得し、自分のPCからフリーメールで中国企業に送信するという単純な方法で起こされた事件です。この社員は技術開発部門で働いていましたが、営業秘密情報にもアクセスが可能でした。使用したUSBメモリも社用ではなく、私物を用いていたということがわかっています。性善説によるずさんな管理が原因で起きたセキュリティ事故の事例です。

参照:ソフトバンク、積水化学でも…元社員の情報漏洩「手土産転職」横行の実態|ダイヤモンド・オンライン

DXで課題となる4つの脅威

DXにおけるセキュリティリスク対策では、どのような脅威があるかを理解して手段を考えることが必要です。ここでは安全性が高くて安定したITインフラを構築するために、知っておきたいDXの脅威について解説します。

ランサムウェア

ランサムウェアは感染によってコンピューターのデータのアクセスを不可能にしたり、データを暗号化したりして使えなくするマルウェアです。ランサムウェアに感染するとデータを使えなくなってDXが困難になります。ランサムウェアの解除と引き換えに取引を要求する犯罪者もいます。企業にとって貴重なデータを失うことになるため、ランサムウェアはDXのセキュリティ強化をする上で注力して取り組む必要がある脅威です。

標的型攻撃

標的型攻撃とはサイバー攻撃とも言われます。特定のサーバーを狙って侵入を試みる行為で、サーバー上にあるデータの漏えいにつながります。主にデータを盗み取ることを目的としておこなわれているのが標的型攻撃です。機密情報の漏えいリスクがあるだけでなく、顧客情報の漏えいによって信用問題が発生する危険もあります。サーバーやシステムの改ざんがおこなわれることもあるため、標的型攻撃を防ぐファイアウォールの構築は必要です。

フィッシング詐欺

フィッシング詐欺はDXを推進する上で対策の必要性が高い脅威です。フィッシング詐欺とはメールやSMSを使ってウェブサイトに誘導し、IDやパスワード、クレジットカード情報などを入力させて盗み取る詐欺です。DXによってオンラインでの業務が増え、システムへのアクセスにIDやパスワードを使用することが多くなります。従業員がフィッシング詐欺に遭わないようにリテラシー教育を定期的に実施し対策を行うことが必要です。

内部不正

内部不正はDXをするプロセスで大きな脅威になります。従業員やパートナー企業などが原因になってデータを漏えいさせたり、不正な使い方をしたりするリスクがあります。自社の従業員だけでなく、NDAやCDAを締結したパートナー企業から情報が漏えいしてしまうリスクもあります。データを共有するときにはアクセス制限をかけるだけでなく、アクセスやデータの取得や改変のログを記録してセキュリティ対策をすることが重要です。

DXの推進に必要な安定したITインフラとは?

DXの推進にはセキュリティ対策を施して安定かつ安全に運用できるITインフラが不可欠です。ネットワーク速度や利便性などもITインフラとして必要になります。クラウドシステムの導入などを通してリモートアクセス可能なITインフラを整えることはDXに欠かせません。しかし、アクセスの利便性を高めれば高めるほど、データの安全性を保つことが重要な課題になります。

データのアクセス権限やバックアップによってセキュリティを確保したインフラを構築することが大切です。ネットワークやサーバーの監視も実施することで安定したITインフラを整備できます。

セキュリティを強化する際のポイント

セキュリティの強化をするには多面的に対策を講じることが必要です。ここではDX推進によって起こり得る事故の内容を踏まえて、セキュリティ強化のポイントを解説します。

情報管理のルール化・周知

セキュリティの強化には情報管理についてルールを定めて周知するのがとても重要です。自社で取り扱っている情報を機密性の高さによってランク分けし、それぞれの情報についての取り扱い方法を具体的なルールにしましょう。機密情報を個人のパソコンに保存できないようにするなど、システム面での対応もするのが大切です。IDやパスワードなどの管理ルールも整えてセキュリティリスクを抑えるのが基本的でありながら重要な対策です。

セキュリティ対策の運用フローの作成と徹底

セキュリティ対策のルール化ができたら運用フローも作成して徹底した管理を進めましょう。社員全員がルールを完璧に遵守するとは限りません。機密レベルの高い情報についてはダブルチェックする運用フローを作るのが安全策です。また、DXで導入したシステムには脆弱性がある場合があります。日々システム監視をして懸念点が発生したときには改善対応をしましょう。リスク管理を周到に実施する体制を整えることがセキュリティ事故を防ぎます。

テレワークや退職者への対応

テレワークをしている社員から情報が漏えいしたり、退職者に情報を持ち去られたりするリスクにも対策が必要です。テレワークで使用するパソコンなどの端末にセキュリティソフトを導入するのは必須でしょう。USBで情報を持ち帰らずにクラウド上でデータ管理をする体制を整えるのもセキュリティ対策になります。退職者がデータを持ち出せないようにするためにも、USBメモリの使用やパソコンへのデータダウンロードを禁止してオンラインで作業するルールを整備するのが適切です。

DX推進でセキュリティインフラを解決する対策例

セキュリティインフラを整えることでDXに伴う事故への対策ができます。ここではインフラ整備によって解決可能なセキュリティ問題の例を紹介します。

ランサムウェアやサイバー攻撃への対策

ランサムウェアやウイルスなどのセキュリティ対策はセキュリティインフラによる解決が比較的容易です。ファイアウォールやウイルス対策ソフト、IPSなどを導入すれば対策が可能です。常に最新のセキュリティにアップデートされるように、自動更新されるクラウドサービスのセキュリティシステムを利用しましょう。また、ウェブサイトへのサイバー攻撃の対策にはWAF(Web Application Firewall)の導入が効果的です。

テレワークにおけるセキュリティ管理の問題

テレワークのセキュリティ管理ではクラウドサーバー上で動作する業務システムを導入すれば対策可能です。セキュリティの高いクラウドサーバー上ですべての作業をおこなうシステムを整えれば、個人のパソコンに情報が残ることはありません。アカウント管理をして、公共WiFiなどの脆弱性リスクのあるネットワーク環境ではログインできなくするのも重要な対策です。端末の登録をしてアクセスできるパソコンも制限すれば情報管理を徹底できます。

クラウドサービスの複数導入によるID・パスワード管理の問題

DXではクラウドサービスによる迅速かつ初期コストの小さいシステムの導入がよくおこなわれます。それぞれのシステムに対してIDとパスワードを設定すると、従業員が管理するのが大変になります。シングルサインオンを導入すれば多数のクラウドサービスに一括ログインが可能です。ただし、一つのID・パスワードですべてのシステムにアクセスできてしまうため、二段階認証などによって本人確認を徹底する仕組みも取り入れる必要があります。

DX推進に必要なセキュリティ対策の新しい概念

DX推進に必要なセキュリティの概念について、近年になって新しいものが生まれてきました。ゼロトラストセキュリティとSASEです。ここではゼロトラストセキュリティとSASEの関連性も含めてどのような概念かを紹介します。

ゼロトラストセキュリティとは

ゼロトラストセキュリティ(Zero Trust Security)とは信頼しないことを前提としてセキュリティを構築する概念です。データにアクセスするユーザーやデバイス、ソフトウェアやアプリケーションには常にリスクがあると考え、認証や検証、承認などのプロセスを経てアクセスできるようにします。

リモートワークやクラウドサービスの活用が進み、セキュリティの管理が困難になったことがゼロトラストセキュリティの概念を広めました。社内アクセスか社外アクセスかに関係なく、信頼しない前提のセキュリティ対策が注目されるようになっています。

ゼロトラストセキュリティの取り組みとして典型的なのは多要素認証です。IDとパスワードだけで認証するシステムではなく、さらに指紋認証や顔認証、デバイス認証やワンタイムパスワードなどを取り入れて、ログインの度に認証することでセキュリティを高めています。他にもマイクロセグメンテーションやUEBAなども活用されてきています。

SASEとは

SASE(Secure Access Service Edge、サシー)とはネットワークとセキュリティの両方をクラウドで一体型サービスとして提供する概念です。SASEはネットワークとセキュリティが分離されていることによって脆弱性が起こりやすく、セキュリティリスクが高くなるという考え方に基づいて生まれました。基本的にはゼロトラストセキュリティの概念に基づいて構築されたセキュリティ対策方法です。

SASEではVPN(Virtual Private Network)やSD-WAN(Software Defined-Wide Area Network)などのネットワーク環境と、SWG(Secure Web Gateway)やCASB(Cloud Access Security Broker)などのセキュリティ対策をパッケージ化して提供します。SASEによってSaaSの利用時にもセキュリティを高めることが可能です。

SMSでセキュリティ課題を解決

SMSはセキュリティリスクの対策として有効な手段です。SMSは本人確認の手段として信頼性が高く、個人情報の漏えいリスクを減らす方法として活用が広まっています。DXによってオンラインサービスを開始すると、ユーザーにアカウントを発行してIDとパスワードによるログインを促すのが一般的です。しかし、IDやパスワードがフィッシングされてしまうと、第三者によってログインされてユーザーが被害を受けることになります。

この対策として有効なのが二段階認証です。SMS認証やIVR認証をすれば本人以外によるログインを排除できます。SMS認証ではSMS、IVR認証では自動音声通話によって暗証番号を通知します。その暗証番号を入力しなければログインはできません。電話番号と個人が一対一で紐づけされる時代になったため、セキュリティの高い本人確認方法としてSMS認証とIVR認証が活用されています。

関連リンク:SMS認証とは?仕組みやメリット、本人確認の方法を解説
関連リンク:IVR認証とは?仕組みや特徴、SMS認証などとの違いを徹底解説

法人向けSMS送信サービスなら「KDDI Message Cast」

SMS認証の導入はSMS送信サービスを利用するのが便利です。自社サイトでのログインの連絡があったときに、パスワードを生成して自動応答でSMSをユーザーに送信することができます。KDDI Message Castは初期費用がかからない従量制のサービスなのでおすすめです。API連携だけでなく、Salesforceとの連携などもしているため、DX推進に使いやすいサービスです。

Salesforce連携

まとめ

DX推進では新しいシステムの導入や情報管理体制の変化に伴うセキュリティリスクが発生しますが、インフラを整えてセキュリティ強化に努めれば対策可能です。システム上の対策だけでなく、情報リテラシーの教育も進めて情報保護をすることが欠かせません。DXではSMSの活用によるセキュリティ課題の解決もできます。KDDI Message CastはDX推進と相性が良いサービスなのでぜひ検討してみてください。

KDDIのSMS送信サービスについて詳しく知りたい方はこちら