サービス資料ダウンロード
お問い合わせ・無料トライアルDXを推進するとセキュリティリスクが増大する?同時に対策を進めよう!
DX推進にはセキュリティリスクを伴うとよく言われています。デジタル技術の活用ではセキュリティ対策は不可欠で、DXの推進の際にも施策を練ることが必要です。この記事ではDXによって起こったセキュリティ事故の事例と、対策に必要なポイントを解説します。セキュリティインフラによる対策事例や、セキュリティ課題の解決になるDX施策についてもご紹介します。
目次
DX(デジタルトランスフォーメーション)とは?
DX(デジタルトランスフォーメーション)とはIoTやAI、インターネットやSMSなどのさまざまなデジタル技術を活用して変革を起こすことです。経済産業省によって2018年にガイドラインが出されてから注目を浴びるようになった概念です。ビジネスにおけるDXではデジタル技術により優位性を生み出し、事業の持続性と発展性を導き出すことが重要視されています。デジタル技術の進展によって改善の可能性がさらに生まれるため、持続的に取り組む必要があるコンセプトです。
関連リンク:DX(デジタルトランスフォーメーション)とは?DX推進のメリットと課題も解説
DXを推進する際に増大するセキュリティリスク
DXの推進では常に気にしなければならないのがセキュリティリスクです。DXではインターネットを代表とするネットワーク技術の利用や、個人情報や機密情報のデジタルデータによる管理をします。データの活用はDXを推進する上で欠かせませんが、データの収集や共有、管理などのさまざまなプロセスでリスクが発生するので注意が必要です。また、DXの認識が広まった影響でデータの価値が高く評価されるようになり、情報の漏えいリスクも高まっています。
例えば、DXを推進するとアナログでおこなっていた業務をデジタル化することがよくあります。アナログでは気にする必要がなかったサイバー攻撃による情報漏えいのリスクが発生するのが課題です。
また、クラウドシステムは安価に導入可能なのでDXでよく用いられていますが、クラウドサーバーのセキュリティが不完全で情報の漏洩や紛失が起こるリスクもあります。個人情報保護法などの法令に違反する場合もあり得るため、レギュレーションについても注意しなければなりません。
DXによって新しい技術開発をした場合にはビジネスモデル自体が変わることもあります。社員の情報リテラシーが低く、新しいビジネスモデルでの適切な情報管理ができずにセキュリティ事故につながるリスクもあります。自社だけでなく取引先と共有している情報の漏えいによるトラブルも起こるリスクがあるため、DXではセキュリティリスク対策が欠かせません。
DXを推進した際に発生したセキュリティ事故の事例
DXを推進した結果としてセキュリティ事故が起きた事例はいくつもあります。代表例を紹介するので、同じ事故を起こさないようにしましょう。
ランサムウェア感染
ランサムウェア感染によるセキュリティ事故は多発しています。小島プレス工業株式会社では自社サーバーがウイルスに感染し、「3日以内に連絡しなければデータを公表する」という脅迫を受けた事件です。小島プレス工業はトヨタ自動車のサプライチェーンの一つです。このランサムウェア感染の事実を受けてトヨタ自動車は国内のすべての工場を一時停止させる対応を取りました。ランサムウェア感染は取引先企業への影響も大きいことがわかる事例です。
https://www.dataclasys.com/column/ransomware_20220302/
個人情報を記録した媒体の紛失
兵庫県立がんセンターでは医師が患者データの入ったUSBメモリを紛失する事故がありました。55人の患者の個人情報と約10年間の治療記録が含まれていた媒体です。普段、医師は白衣のポケットに入れるだけのずさんなセキュリティ対策しかしていなかったため、落として紛失したと考えられています。事実が発表された時点では情報漏えいによる問題は起きていませんでしたが、患者が大きな被害に遭うリスクがあるセキュリティ事故でした。
https://www.asahi.co.jp/webnews/pages/abc_18223.html
社員による意図的な機密情報の漏えい
積水化学では社員による機密情報の漏えい事故がありました。社内サーバーから営業秘密情報をUSBメモリで取得し、自分のPCからフリーメールで中国企業に送信するという単純な方法で起こされた事件です。この社員は技術開発部門で働いていましたが、営業秘密情報にもアクセスが可能でした。使用したUSBメモリも社用ではなく、私物を用いていたということがわかっています。性善説によるずさんな管理が原因で起きたセキュリティ事故の事例です。
https://diamond.jp/articles/-/262138?page=2
セキュリティを強化する際のポイント
セキュリティの強化をするには多面的に対策を講じることが必要です。ここではDX推進によって起こり得る事故の内容を踏まえて、セキュリティ強化のポイントを解説します。
情報管理のルール化・周知
セキュリティの強化には情報管理についてルールを定めて周知するのがとても重要です。自社で取り扱っている情報を機密性の高さによってランク分けし、それぞれの情報についての取り扱い方法を具体的なルールにしましょう。機密情報を個人のパソコンに保存できないようにするなど、システム面での対応もするのが大切です。IDやパスワードなどの管理ルールも整えてセキュリティリスクを抑えるのが基本的でありながら重要な対策です。
セキュリティ対策の運用フローの作成と徹底
セキュリティ対策のルール化ができたら運用フローも作成して徹底した管理を進めましょう。社員全員がルールを完璧に遵守するとは限りません。機密レベルの高い情報についてはダブルチェックする運用フローを作るのが安全策です。また、DXで導入したシステムには脆弱性がある場合があります。日々システム監視をして懸念点が発生したときには改善対応をしましょう。リスク管理を周到に実施する体制を整えることがセキュリティ事故を防ぎます。
テレワークや退職者への対応
テレワークをしている社員から情報が漏えいしたり、退職者に情報を持ち去られたりするリスクにも対策が必要です。テレワークで使用するパソコンなどの端末にセキュリティソフトを導入するのは必須でしょう。USBで情報を持ち帰らずにクラウド上でデータ管理をする体制を整えるのもセキュリティ対策になります。退職者がデータを持ち出せないようにするためにも、USBメモリの使用やパソコンへのデータダウンロードを禁止してオンラインで作業するルールを整備するのが適切です。
セキュリティインフラが解決できる事例
セキュリティインフラを整えることでDXに伴う事故への対策ができます。ここではインフラ整備によって解決可能なセキュリティ問題の例を紹介します。
ランサムウェアやサイバー攻撃への対策
ランサムウェアやウイルスなどのセキュリティ対策はセキュリティインフラによる解決が比較的容易です。ファイアウォールやウイルス対策ソフト、IPSなどを導入すれば対策が可能です。常に最新のセキュリティにアップデートされるように、自動更新されるクラウドサービスのセキュリティシステムを利用しましょう。また、ウェブサイトへのサイバー攻撃の対策にはWAF(Web Application Firewall)の導入が効果的です。
テレワークにおけるセキュリティ管理の問題
テレワークのセキュリティ管理ではクラウドサーバー上で動作する業務システムを導入すれば対策可能です。セキュリティの高いクラウドサーバー上ですべての作業をおこなうシステムを整えれば、個人のパソコンに情報が残ることはありません。アカウント管理をして、公共WiFiなどの脆弱性リスクのあるネットワーク環境ではログインできなくするのも重要な対策です。端末の登録をしてアクセスできるパソコンも制限すれば情報管理を徹底できます。
クラウドサービスの複数導入によるID・パスワード管理の問題
DXではクラウドサービスによる迅速かつ初期コストの小さいシステムの導入がよくおこなわれます。それぞれのシステムに対してIDとパスワードを設定すると、従業員が管理するのが大変になります。シングルサインオンを導入すれば多数のクラウドサービスに一括ログインが可能です。ただし、一つのID・パスワードですべてのシステムにアクセスできてしまうため、二段階認証などによって本人確認を徹底する仕組みも取り入れる必要があります。
SMSでセキュリティ課題を解決
SMSはセキュリティリスクの対策として有効な手段です。SMSは本人確認の手段として信頼性が高く、個人情報の漏えいリスクを減らす方法として活用が広まっています。DXによってオンラインサービスを開始すると、ユーザーにアカウントを発行してIDとパスワードによるログインを促すのが一般的です。しかし、IDやパスワードがフィッシングされてしまうと、第三者によってログインされてユーザーが被害を受けることになります。
この対策として有効なのが二段階認証です。SMS認証やIVR認証をすれば本人以外によるログインを排除できます。SMS認証ではSMS、IVR認証では自動音声通話によって暗証番号を通知します。その暗証番号を入力しなければログインはできません。電話番号と個人が一対一で紐づけされる時代になったため、セキュリティの高い本人確認方法としてSMS認証とIVR認証が活用されています。
関連リンク:SMS認証とは?仕組みやメリット、本人確認の方法を解説
関連リンク:IVR認証とは?仕組みや特徴、SMS認証などとの違いを徹底解説
法人向けSMS送信サービスなら「KDDI Message Cast」
SMS認証の導入はSMS送信サービスを利用するのが便利です。自社サイトでのログインの連絡があったときに、パスワードを生成して自動応答でSMSをユーザーに送信することができます。KDDI Message Castは初期費用がかからない従量制のサービスなのでおすすめです。API連携だけでなく、Salesforceとの連携などもしているため、DX推進に使いやすいサービスです。
まとめ
DX推進では新しいシステムの導入や情報管理体制の変化に伴うセキュリティリスクが発生しますが、インフラを整えてセキュリティ強化に努めれば対策可能です。システム上の対策だけでなく、情報リテラシーの教育も進めて情報保護をすることが欠かせません。DXではSMSの活用によるセキュリティ課題の解決もできます。KDDI Message CastはDX推進と相性が良いサービスなのでぜひ検討してみてください。
▼KDDI Message Cast(KDDIメッセージキャスト)詳しくはこちら
その他のDX関連
DX推進における経営課題とは?経営層に求められる役割や事例について紹介
DX化を成功させる組織とは?組織編成のポイントや成功事例を紹介
金融業界にIT化・DX推進が求められる理由は?実現するポイントや成功事例を解説
不動産業界でペーパーレス化を進めるには?導入メリットや手順、ポイントを解説
自動車業界でのIT化成功事例をご紹介 IT活用のメリットや欠かせない理由を解説!
