ITセキュリティ女子のブログ

  • サイバー攻撃
2022.07.14

DX認定って何?DX認定制度と、DX推進に必要なセキュリティ対策

DX認定って何?DX認定制度と、DX推進に必要なセキュリティ対策

みなさんこんにちは。長谷川まりです。

DX認定制度をご存じでしょうか?2020年に国内のDX推進を目的にできた制度で、希望して審査に通れば全ての企業で認定がもらえます。認定にはメリットもあるため、2022年6月8日時点では420社と順調に増えているようです。ただ、セキュリティ対策がされていることも審査の内容に入ることまでは、あまり知られていないかもしれません。そこで今回は、DXのセキュリティ対策とは何を指すのかを、整理したいと思います。

DX認定とは?どんなメリットがあるの?

DX認定とは、日本のDX推進を後押しするために国が始めた制度です。認定と言っても、DX推進の達成の度合いを他の事業者と比較するものではなく、「DXを進められる状態だよ!」という事業者の意思表示を国が認定するもので、認定された企業には、以下のメリットがあります。税制優遇のメリットもありますが、どちらかというと、企業イメージ向上という観点から、認定を求める事業者が増えているようです。

  • DXを進める準備ができているという国のお墨付きが得られる
  • 認定事業者はIPAの「DX認定制度 認定事業者の一覧」外部リンクページで公表される
  • 認定事業者が利用できるロゴマークにより「自社がDXに積極的に取り組んでいる企業」であることが、多様なステークホルダーに対して認知されPRできる
  • 東証上場企業の場合、「DX銘柄」の選定条件が満たせる
  • これらにより注目度向上、ブランディング、企業価値向上につながる
  • 投資促進税制による税制優遇の申請のための選定条件の一つが満たせる

認定を得るまでの期間は申請から3~4か月で、申請はIPA(独立行政法人 情報処理推進機構)に行います。IPAでの審査後、経済産業省の認定を経て、IPAから認定の通知が届きます。申請書に記入する各項目は、次の経済産業省の定める「デジタルガバナンス・コ ード」の項目と対応しています。


DX認定に必要な「デジタルガバナンス・コード」とは

デジタルガバナンス・コードとは、経営者を対象とした、いわばDX実現のガイドラインです。ガバナンスは管理体制、コードは規定と捉えると、少しわかりやすくなるかもしれません。経済産業省のホームページでは、以下のように書かれています。

企業のDXに関する自主的取組を促すため、デジタル技術による社会変革を踏まえた経営ビジョンの策定・公表といった経営者に求められる対応を「デジタルガバナンス・コード」として取りまとめました。

ここで言う社会変革とは、日本が提唱する未来社会のコンセプト、「Society5.0」を示しています。Society 5.0は、2016年1月に政府が策定した「第5期科学技術基本計画」で定義されました。狩猟社会をSociety 1.0、農耕社会を2.0、工業社会を3.0、現在の情報社会を4.0として、5.0は、AIとIoTを基礎に人が快適に暮らせる新しい社会システムなのだそうです。このように、産業革命に匹敵するほどの壮大な変化に対応するための経営者向けガイドラインが「デジタルガバナンス・コード」で、経営ビジョン、戦略、成果、ガバナンスの 4つを柱として、デジタル技術を最大限に活用する基準や原則論が、14ページの文書でまとめられています。

ここで取り上げたいのは以下の赤枠のように、しっかりと、サイバーセキュリティリスク等への対応が含まれている点です。ただし、この文書は経営者向けということもあり、担当者にわかる実践ガイドの体裁では書かれていませんので、ここではDX推進の観点で、どのようなセキュリティ対策が必要なのかを考えてみました。

セキュリティ対策の経営ビジョンや戦略、成果、ガバナンス

↑画像クリックで拡大表示


なぜDX推進にサイバーセキュリティ対策が必要なのか

まずセキュリティ対策を考えるにあたり、なぜDX推進にサイバーセキュリティ対策が必要なのかをおさらいしてみましょう。それは、DX推進のためのデジタル技術の導入、活用に比例して、脅威となりうる攻撃の機会も増えてしまうからです。イメージし易いようにごく簡単ではありますが、以下にDX推進の取り組み例と想定されるセキュリティリスクをピックアップしてみました。


DX推進の取り組み例 想定されるセキュリティリスク
クラウドサービスの利用拡大 シャドーITによる機密情報漏洩
インターネット、IoTの最大活用 マルウェア感染リスク
リモートワークの推進 社給PCの紛失による情報漏洩

このように、DX推進のためのデジタル技術の導入が進むにつれ、ランサムウェア、標的型攻撃、脆弱性、不正ログイン、情報漏洩といった攻撃対象面(アタックサーフェス)が広がり、悪意のある第三者に攻撃の機会を与えてしまうのです。

つまり、DX推進はセキュリティとセットで考えていかなければならいないという点を、デジタルガバナンス・コードではしっかりと言及しています。


DX推進に対応するセキュリティソリューション

脅威の範囲の拡大に応じ、セキュリティ対策の方法も進化しています。日々、機能追加や新製品の開発が行われ、誰かの手によって、必要なセキュリティ対策として新しくラベリングされて、市場に並べられていきます。下記の図のように、必要なセキュリティ対策はたくさんの選択肢から選ぶことになります。どこから手を付けるべきか、本当に迷ってしまいそうですね。


DX推進のシーンと必要なセキュリティ対策

↑画像クリックで拡大表示


そこでアシストでは、次のように、1)エンドポイント、2)ネットワーク、3)クラウドの各領域から、DX推進に役に立つセキュリティ対策のソリューションを整理しました。DX推進の範囲は各企業でさまざまですので、最適な選択が選定の手間なくできるよう、まずはアシストの目で、世界中のソフトウェアから選んだソリューションをご紹介することができます。

1) エンドポイント

アプリ仮想化/VDI

アプリケーション、デスクトップへのリモートアクセス、安全なリモートワークを支援する業界のリーダー製品です。

PPAP対策

企業の安全なファイル交換を実現する、ハイブリッドファイル共有ソリューション(オンラインストレージ)です。

暗号化/ネットワーク制御


資産管理からセキュリティ対策までオールインワンで対応。ディスク暗号やVPN接続制御によりセキュアなテレワーク環境を提供します。

EPP/EDR

AIを用いたエンジンにより未知のマルウェアも検知。EDRにより疑わしい動作のブロックや侵入経路の調査を実現します。



2) ネットワーク

Web分離

Web閲覧によるマルウェア感染などのリスクをリモートブラウザで分離する事により防止。ダウンロードしたファイルも自動で無害化するためランサムウェア対策でも有効です。

SASE

働く場所やデバイスに関係なくインターネットへの安全な接続を実現するためのセキュリティ機能をオールインワンで提供します。

ZTNA

VPNを置き換える次世代リモートアクセス機能を提供。安全に社内システムへアクセスするための細かなポリシー制御が可能です。


3)クラウド

IDaaS

認証を集約(SSO)し、クラウドサービスへどんなデバイスからでも安全にシステムを利用できる環境を提供します。

脆弱性管理/ CSPM

オンプレミス及びIaaS環境等クラウド上の資産情報を自動で収集し、各資産の設定不備、脆弱性を優先度付けしレポートします。

ADセキュリティ

脆弱性となり得るActive Directoryの設定不備や攻撃を検知し全ての変更を記録。Azure ADにも対応しています。

CASB

クラウドサービス利用時にシャドーITを抑止したりSNSへの書き込みを禁止するといった制限が可能で、情報漏洩対策として活用できます。


以上のように、アシストでは、DX推進の対策をどのように選定したらよいかのお手伝いができますので、ぜひ、ご利用ください。


まとめ

今回本ブログでは、DX推進とセキュリティ対策は、デジタルガバナンス・コードにあるように、セットで進める必要があることをご紹介しました。

・DX認定が増えている
・DX認定にはデジタルガバナンス・コードを満たしている必要がある
・デジタルガバナンス・コードを満たすにはセキュリティ要件が含まれる
・アシストでは網羅的なソリューションを用意している

「DX推進を進めているけれど、セキュリティ対策が心配」「どんな脅威があって、どんな対策が必要なのかがわからない」「どこからやればいいのかがわからない」そんな疑問にアシストがご相談に応じますので、ぜひお問い合わせください。


アシストのソリューションは以下からダウンロードできます

この記事ではご紹介しきれなかった、具体的な製品の概要
を含んだ資料をダウンロードいただけます。

資料のダウンロードは、必要最低限の情報入力で可能です。

また、ご相談をご希望の場合は、すぐにご連絡をさせて
いただきますので、必要情報やご相談内容を記載し、
以下よりご連絡をお願いします。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • サイバー攻撃
  • エンドポイントセキュリティ
  • ゼロトラスト
2021.01.28

ゼロデイ攻撃とは?

先日発表されたグーグルのセキュリティチームの調査結果で、Chromeブラウザに対するゼロデイ攻撃について触れられていました。今回はゼロデイ攻撃は何が怖いのか、未然に防ぐことは難しいのか、内容についておさらいしたいと思います。

  • ゼロトラスト
  • エンドポイントセキュリティ
  • サイバー攻撃
  • 認証
2020.12.11

ゼロトラスト基準の権限管理とは?ファイル保護にゼロトラストを採り入れたい理由

企業のサーバには、重要なシステムファイルや機密情報を含むファイルが数多く存在します。今回は、ファイル保護と言う観点にゼロトラスト基準を採り入れた、アクセス権限管理の考え方をご紹介します。

  • エンドポイントセキュリティ
  • サイバー攻撃
  • ID管理
  • 認証
2020.11.27

IDaaSとは?(1)IDaaSが必要になった背景

SaaS、IaaS、PaaSなど、製品機能のサービス化が進んでいます。もはや「なんでも・アズ・ア・サービス」の様相を呈していますが、最近特に注目されているのがIDaaSです。今回はその背景についておさらいしてみましょう。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る