- ID管理
- サイバー攻撃
- ゼロトラスト
ID周りの課題がいっぱい!その背景と課題解決の捉え方
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
|
|
みなさんこんにちは。長谷川まりです。
DX認定制度をご存じでしょうか?2020年に国内のDX推進を目的にできた制度で、希望して審査に通れば全ての企業で認定がもらえます。認定にはメリットもあるため、2022年6月8日時点では420社と順調に増えているようです。ただ、セキュリティ対策がされていることも審査の内容に入ることまでは、あまり知られていないかもしれません。そこで今回は、DXのセキュリティ対策とは何を指すのかを、整理したいと思います。
DX認定とは、日本のDX推進を後押しするために国が始めた制度です。認定と言っても、DX推進の達成の度合いを他の事業者と比較するものではなく、「DXを進められる状態だよ!」という事業者の意思表示を国が認定するもので、認定された企業には、以下のメリットがあります。税制優遇のメリットもありますが、どちらかというと、企業イメージ向上という観点から、認定を求める事業者が増えているようです。
認定を得るまでの期間は申請から3~4か月で、申請はIPA(独立行政法人 情報処理推進機構)に行います。IPAでの審査後、経済産業省の認定を経て、IPAから認定の通知が届きます。申請書に記入する各項目は、次の経済産業省の定める「デジタルガバナンス・コ ード」の項目と対応しています。
デジタルガバナンス・コードとは、経営者を対象とした、いわばDX実現のガイドラインです。ガバナンスは管理体制、コードは規定と捉えると、少しわかりやすくなるかもしれません。経済産業省のホームページでは、以下のように書かれています。
企業のDXに関する自主的取組を促すため、デジタル技術による社会変革を踏まえた経営ビジョンの策定・公表といった経営者に求められる対応を「デジタルガバナンス・コード」として取りまとめました。
ここで言う社会変革とは、日本が提唱する未来社会のコンセプト、「Society5.0」を示しています。Society 5.0は、2016年1月に政府が策定した「第5期科学技術基本計画」で定義されました。狩猟社会をSociety 1.0、農耕社会を2.0、工業社会を3.0、現在の情報社会を4.0として、5.0は、AIとIoTを基礎に人が快適に暮らせる新しい社会システムなのだそうです。このように、産業革命に匹敵するほどの壮大な変化に対応するための経営者向けガイドラインが「デジタルガバナンス・コード」で、経営ビジョン、戦略、成果、ガバナンスの 4つを柱として、デジタル技術を最大限に活用する基準や原則論が、14ページの文書でまとめられています。
ここで取り上げたいのは以下の赤枠のように、しっかりと、サイバーセキュリティリスク等への対応が含まれている点です。ただし、この文書は経営者向けということもあり、担当者にわかる実践ガイドの体裁では書かれていませんので、ここではDX推進の観点で、どのようなセキュリティ対策が必要なのかを考えてみました。
|
↑画像クリックで拡大表示 |
まずセキュリティ対策を考えるにあたり、なぜDX推進にサイバーセキュリティ対策が必要なのかをおさらいしてみましょう。それは、DX推進のためのデジタル技術の導入、活用に比例して、脅威となりうる攻撃の機会も増えてしまうからです。イメージし易いようにごく簡単ではありますが、以下にDX推進の取り組み例と想定されるセキュリティリスクをピックアップしてみました。
| DX推進の取り組み例 | 想定されるセキュリティリスク |
|---|---|
| クラウドサービスの利用拡大 | シャドーITによる機密情報漏洩 |
| インターネット、IoTの最大活用 | マルウェア感染リスク |
| リモートワークの推進 | 社給PCの紛失による情報漏洩 |
このように、DX推進のためのデジタル技術の導入が進むにつれ、ランサムウェア、標的型攻撃、脆弱性、不正ログイン、情報漏洩といった攻撃対象面(アタックサーフェス)が広がり、悪意のある第三者に攻撃の機会を与えてしまうのです。
つまり、DX推進はセキュリティとセットで考えていかなければならいないという点を、デジタルガバナンス・コードではしっかりと言及しています。
脅威の範囲の拡大に応じ、セキュリティ対策の方法も進化しています。日々、機能追加や新製品の開発が行われ、誰かの手によって、必要なセキュリティ対策として新しくラベリングされて、市場に並べられていきます。下記の図のように、必要なセキュリティ対策はたくさんの選択肢から選ぶことになります。どこから手を付けるべきか、本当に迷ってしまいそうですね。
|
↑画像クリックで拡大表示 |
アプリケーション、デスクトップへのリモートアクセス、安全なリモートワークを支援する業界のリーダー製品です。
企業の安全なファイル交換を実現する、ハイブリッドファイル共有ソリューション(オンラインストレージ)です。
資産管理からセキュリティ対策までオールインワンで対応。ディスク暗号やVPN接続制御によりセキュアなテレワーク環境を提供します。
AIを用いたエンジンにより未知のマルウェアも検知。EDRにより疑わしい動作のブロックや侵入経路の調査を実現します。
Web閲覧によるマルウェア感染などのリスクをリモートブラウザで分離する事により防止。ダウンロードしたファイルも自動で無害化するためランサムウェア対策でも有効です。
働く場所やデバイスに関係なくインターネットへの安全な接続を実現するためのセキュリティ機能をオールインワンで提供します。
VPNを置き換える次世代リモートアクセス機能を提供。安全に社内システムへアクセスするための細かなポリシー制御が可能です。
認証を集約(SSO)し、クラウドサービスへどんなデバイスからでも安全にシステムを利用できる環境を提供します。
オンプレミス及びIaaS環境等クラウド上の資産情報を自動で収集し、各資産の設定不備、脆弱性を優先度付けしレポートします。
脆弱性となり得るActive Directoryの設定不備や攻撃を検知し全ての変更を記録。Azure ADにも対応しています。
クラウドサービス利用時にシャドーITを抑止したりSNSへの書き込みを禁止するといった制限が可能で、情報漏洩対策として活用できます。
以上のように、アシストでは、DX推進の対策をどのように選定したらよいかのお手伝いができますので、ぜひ、ご利用ください。
今回本ブログでは、DX推進とセキュリティ対策は、デジタルガバナンス・コードにあるように、セットで進める必要があることをご紹介しました。
・DX認定が増えている
・DX認定にはデジタルガバナンス・コードを満たしている必要がある
・デジタルガバナンス・コードを満たすにはセキュリティ要件が含まれる
・アシストでは網羅的なソリューションを用意している
「DX推進を進めているけれど、セキュリティ対策が心配」「どんな脅威があって、どんな対策が必要なのかがわからない」「どこからやればいいのかがわからない」そんな疑問にアシストがご相談に応じますので、ぜひお問い合わせください。
|
|
この記事ではご紹介しきれなかった、具体的な製品の概要
を含んだ資料をダウンロードいただけます。 資料のダウンロードは、必要最低限の情報入力で可能です。 また、ご相談をご希望の場合は、すぐにご連絡をさせて いただきますので、必要情報やご相談内容を記載し、 以下よりご連絡をお願いします。 |
|
|
|
長谷川 まり
|
|
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
15年ぶりのJ-SOX改訂を背景に、企業で実行されているバッチ処理にセキュリティ面での統制がさらに強く求められるようになるかもしれません。本記事で解説します。
サイバー攻撃では多くの場合、Active Directoryが狙われています。企業の中核システムとして止められない。多機能で運用も複雑。そんなActive Directoryを守るには、どうしたらよいのでしょう。
