- 2023.07.19
- サイバーセキュリティ
DXの発展とセキュリティリスク
セキュリティに課題を抱える企業を対象に独自のセキュリティサービスを提供されている、株式会社CISO 代表取締役 那須慎二様によるセキュリティコラム第2回。今回は、DXの発展とセキュリティリスクについて、ご説明いただきます。
前回の記事は以下よりご確認いただけます。
DXの発展とセキュリティリスク【セキュリティコラム第2回】
DXとはデジタルトランスフォーメーションの略で、デジタルを活用して事業革新を行うことを指します。
紙などのアナログ情報をデジタル化する(デジタイゼーション)、ITを使って業務の効率化を図る(デジタライゼーション)も、ここでは広義のDXと定義します。
国も、デジタル庁を創設。官⺠のDXを推進するなど本腰を入れています。これから益々、DXを中心にした情報のデジタル化は避けて通ることができなくなるでしょう。
何故なら、DXは経営リソースとしての最も大切な「情報」の価値を高め、「時間」や「空間」「距離」を圧倒的に圧縮する効果をもたらすためです。
DXが積極的に進んでいくと、益々デジタル情報の価値が高まります。
デジタル化の恩恵は絶大で、それなくしては事業が成り立たなくなるほどのインパクトをもたらします。
現在のDXにはクラウドサービスの活用も必須です。サービスラインナップが拡充しており、コストを最低限に抑えられるため、クラウドサービスの活用を選択肢の中に入れない、ということはないでしょう。
DX推進上のセキュリティリスクとは
これら世の中の動きは、サイバー攻撃者にも好都合です。
貴重な情報がPCやサーバ、クラウド内に保存されているということは、インターネットに接続できる環境さえあれば、攻撃者はいつでもどこでもサイバー攻撃を仕掛けられます。
「デジタル情報の価値が高い=破壊されると事業が停止する」ことに繋がるため、攻撃者はランサムウェアなどを用いた攻撃により身代金の支払いに応じる可能性が高くなると見込んでいます。
また、サーバやクラウド内に機密情報が多く蓄積されているほど、情報流出時のリスクも莫大なものになります。
最近のランサムウェアは、企業が保有する情報の価値の高さを認識しており、暗号化前に窃取した情報を公開すると脅した上で身代金を要求するものがほとんどです。
自社内にサーバを保有する環境(オンプレミス)では、メールやVPN機器を介したサイバー攻撃によって、サーバ内データが破壊されたり、情報の窃取が行われたりすると、業務が完全に停止してしまいます。
実際に、DXの取り組みを進めようとしていた矢先にサイバー攻撃によってサーバが複数台破壊されてしまった企業の経営者は事業停止を余儀なくされ、「DXどころではない、会社が終わってしまうほどの恐ろしさを感じる」とおっしゃっていました。
クラウドサービスを利用している場合のセキュリティ上の注意点
クラウドサービスを利用している場合も注意が必要です。
攻撃者がIDやパスワードの窃取に成功すれば、直接的にクラウドサービスに侵入し、正規のIDを使って悠々とクラウドサービス内の情報閲覧や窃取を行うことが可能となるためです。
「うちは全てクラウドにデータを入れているからセキュリティは大丈夫」とおっしゃる方もいらっしゃいます。確かに、一般的なクラウドサービスは、企業が自社でサーバ内にデータを保存する以上にセキュリティ対策に気をつけているケースがほとんどです。
しかし、パソコン端末が乗っ取られてしまうと、IDやパスワードが直接的に窃取されてしまいます。
Google ChromeやFirefoxなどのブラウザにIDとパスワードを保存している場合は、PCが乗っ取られてしまうと、全てのIDとパスワードが抜き取られる危険性を孕みます。
クラウドサービスそのもののセキュリティは問題ないものの、単純なセキュリティ上の設定ミスなどによって情報が流出してしまったり、会社で支給している以外の私用端末(例えば個人所有の自宅PC)でログインできる状況になっている場合、クラウド内に保存されている情報は自宅のPC内で閲覧、保存できてしまうリスクを孕みます。
その方が退職した場合、情報漏洩に直結します。アカウントの単純な管理ミスで退職者のIDがそのまま残っていたり、共有IDを用いて複数の方が同じIDとパスワードを利用している場合、その共有ID利用者が退職した場合にパスワード変更がなされていないと情報漏洩に直結するなど、人的なミスで情報漏洩に繋がるリスクも把握しておく必要があります。
更に、クラウドサービスの利用は、提供するベンダのセキュリティ対策が十分に行われているのかも合わせて確認する必要があります。
実際に、クラウドサービスベンダのセキュリティが脆弱だったことで、サービス停止に追いやられるケースが出ています。
DX推進上のセキュリティ対策、必須5項目
このように、DXが進めば進むほど、サイバー攻撃による破壊・漏洩リスクや内部からの情報漏洩リスクが高まります。オンプレサーバ、クラウドサービス利用の如何に関わらず、事業リスクが高まることを認識した上で、セキュリティ対策を講じていく必要があります。
通常のセキュリティ対策に加え、以下の5項目は必須として取り組んでください。
①オンプレミス環境でのDXの場合、PCやサーバの脆弱性を潰す(セキュリティパッチを必ず当てる)、バックアップは必ず取得し、ランサムウェア被害に遭わないようにする(オフライン・クラウド活用など)
②VPN機器を用いて社内環境にアクセスする場合は、VPN機器のファームウェアのバージョンを最新状態にした上で、不要なIDがないことを確認する
③クラウドサービスを活用したDXの場合は、ID管理に特に気を付ける。パスワードの使い回しリスクを回避するために、シングルサインオン(1回のID・パスワード入力で複数のクラウドサービスを活用できる仕組み)サービス等を活用する
④会社で貸与したPC以外はクラウドサービスへのアクセスができないように制限する
⑤退職者が発生した際は、アカウントのロックを確実に行う/共有IDがある場合はパスワードの変更を行う
今後の掲載予定トピック
本コラム連載の今後の掲載予定トピックは以下のとおりです。ぜひご期待ください。
前回の記事はこちら:どうなる?2023年以降のサイバー攻撃情勢予測
【第3回】Web3.0の発展とセキュリティリスク
【第4回】Chat GPTの利用に伴うセキュリティリスク
【第5回】攻撃者の侵入経路
【第6回】具体的な攻撃シナリオ
【第7回】特に気をつけてほしいサイバー攻撃(ランサムウェア)
【第8回】特に気をつけてほしいサイバー攻撃(Emotet)
【第9回】セキュリティエンジニアに必須となる「ネットワーク」基礎知識その1
【第10回】セキュリティエンジニアに必須となる「ネットワーク」基礎知識その2
※内容は変更の可能性がございます。
筆者紹介
那須 慎二(なす しんじ)
株式会社CISO 代表取締役
国内大手情報機器メーカーにてインフラ系SE経験後、国内大手経営コンサルティングファームにて中堅・中小企業を対象とした経営コンサルティング、サイバーセキュリティ・情報セキュリティ体制構築コンサルティングを行う。
2018年7月に株式会社CISO 代表取締役に就任。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、長年の知見に基づく独自のセキュリティサービス(特許取得 特許第7360101号)を提供している。
業界団体、公的団体、大手通信メーカー、大手保険会社、金融(銀行・信金)、DX関連など業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。
