DX時代のサイバーセキュリティ

本連載は、日刊工業新聞（2023年2月～4月）に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

2023年1月、情報処理推進機構（IPA）から、2022年に発生した社会的に影響の大きかったと考えられるセキュリティ脅威をまとめた「情報セキュリティ10大脅威2023」が公開されました。それによると、組織に対する脅威として「ランサムウェアによる被害」が、前回に引き続き1位となっています。
その他の脅威を見ても、「サプライチェーンの弱点を悪用した攻撃」（2位）、「標的型攻撃による機密情報の窃取」（3位）、「テレワーク等のニューノーマルな働き方を狙った攻撃」（5位）、「修正プログラムの公開前を狙う攻撃（ゼロディ攻撃）」（6位）と、外部からの攻撃が上位にランクインしています。
また、高額な身代金を要求する二重脅迫型ランサムウェアに代表される「犯罪のビジネス化（アンダーグラウンドサービス）」が、前回までの圏外から10位に入ってきており、今後の大きな脅威と言えるでしょう。

デジタル変革（DX）の進展により、日々の業務が広範囲にわたりその恩恵を受ける一方で、デジタライゼーションが前提となる環境では、10大脅威に代表されるさまざまな脅威への対応が必須となります。ただし、脅威に対してソリューションをやみくもに導入すればいいわけではありません。
デジタライゼーション環境においては、データの流れ、データの保管状況、データへのアクセス方法およびアクセス者の範囲、機器の構成などを把握したうえで、リスクとなり得る箇所を洗い出し、リスクに応じた手当てを検討すべきです。また、限られた予算で効果を最大化するには、複雑化する脅威に対し共通的な対策を検討する必要があるでしょう。

一方で、外部からの攻撃に対して、100％の対応はできないことにも留意すべきです。そのためには、サイバーセキュリティ攻撃によるインシデント発生後の対応について、事前に対応プロセスを構築しておく必要があります。
昨今、多くの企業でインシデント対応プロセスを構築していると思われますが、その多くはIT部門に限定された閉じたプロセスであったり、広報や法務部門との連携プロセスまでで終わったりしているのが現状で、「システムが使用できない事態」への対応シナリオまでは準備できていないと思われます。今後は、システム障害などの最悪の事態が起きた際に、業務や提供サービスをどうするのか、対外的な発表、関係当局や機関との連携はどのようにするのかを含めたシナリオの検討が不可欠です。

DXの推進による効率化や利便性の向上、ビジネスモデルの変革といったことを享受するためにも、サイバーセキュリティの脅威に対する備えは、最悪のシナリオまで含めての準備が必要となります。特に、社会の基盤を担うサービスを提供している企業にとっては、社会的な影響も大きく、最悪のシナリオの検討は欠かせません。

＜参考資料＞

• 「情報セキュリティ10大脅威 2023」（独立行政法人情報処理推進機構）
  

日刊工業新聞　2023年3月10日掲載（一部加筆・修正しています）。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング　
アソシエイトパートナー　前田 敬彦