• ブログ

DX時代に求められるセキュリティ対策とは?導入のポイントを解説

2021.04.28

DX時代に求められるセキュリティ対策とは?導入のポイントを解説

ここ数年、DXを推進してビジネスモデルの転換を図る企業が増えています。

デジタルトランスフォーメーションは、デジタル技術を駆使して、市場での競争力の強化を目的としています。

IT技術を武器に、新興企業が既存企業のシェアを脅かすことも珍しくなくなりました。

一方で、企業をターゲットとしたサイバー攻撃も増えています。

DXでは、あらゆるレベルの企業活動で、データやデジタル技術が活用されます。

裏を返せば、サイバー攻撃の対象も広がっている状況です。

DXを推進するにあたり、どのようにセキュリティ対策を講じるべきか悩んでいる方も多いのではないでしょうか。

本記事では、DX時代に求められるセキュリティ対策や導入時のポイントを解説します。

DXを検討中の方は、ぜひご覧ください。

DX(デジタルトランスフォーメーション)にセキュリティ対策が求められる背景

DX(デジタルトランスフォーメーション)にセキュリティ対策が求められる背景

なぜ、DXにセキュリティ対策が必要なのかについて解説します。

クラウド環境の不備を突いた攻撃の増加

DXに活用されている技術のひとつにクラウドが挙げられます。

クラウドを活用したサービスが増える一方で、クラウド環境の不備を突いた攻撃が増加している状況です。

クラウドメールサービスのアカウントが盗まれる事例も多発しています。

連絡先としてメールアドレスを、インターネット上に公開している企業や個人は多いです。

しかし、メールアカウントのパスワードの割り出しは、さほど難しくないとされており、十分な安全性を確保することが難しい状況です。

侵入経路は多様化している

サイバー攻撃の手口は高度化しており、侵入経路も多様化しています。

テレワークを推進する企業が増えていますが、リモートワークで利用されているサービスを狙った攻撃も増加。

インターネット上に仮想の専用回線を設けて、拠点同士で通信するVPN装置を狙った攻撃や、Web会議サービスZoomのインストーラーを狙った攻撃などが報告されています。

また、2020年はコンピューターウイルスEMOTETが過去最大規模の感染を引き起こす事件がありました。

対処しなければならない脅威の数は、日々増加している状況です。

DXでは複数のシステムを組み合わせて運用するケースが多いため、より広範なセキュリティ対策が求められます。

内部活動が常態化

マルウェアの内部活動が、常態化しているケースも増加しています。

マルウェアとは、有害な動作をおこなう目的で作られたソフトウェアやコードのことです。

遠隔操作型のマルウェアに感染させて、社内のネットワークに侵入し、情報収集や別のマルウェアに感染させる手口が横行。

上記のような手口は、もともと標的型攻撃などを実行する一部の攻撃者に限られた手法でした。

しかし、最近では一般的なマルウェアなどでも利用されるようになったため、これまでよりも脅威が増大しています。

境界線防御の限界

境界線防御とは、社内のネットワークと外部のネットワークに境界線を設けて、外部からの攻撃を阻止するセキュリティモデルです。

境界線防御では、ファイアウォールやVPNなどの技術が活用されています。

境界線型セキュリティは、社内からのアクセスは基本的に安全であるという考えにもとづいています。

しかし、近年ではクラウドを利用したサービスが増加しているほか、スマートフォンなどを利用して社外から社内のネットワークやシステムを利用するケースも増加。

明確な境界線を定義することができなくなり、境界線防御モデルではセキュリティを担保することが困難になりつつあります。

DX(デジタルトランスフォーメーション)によって起こるセキュリティ対策の変化

DX(デジタルトランスフォーメーション)によってセキュリティ対策どのように変化するのか

DXを導入することで、企業の競争力を高めることができます。

しかし、従来のセキュリティ対策では、安全性を確保することが困難になりつつあります。

DXによって、セキュリティ対策がどのように変化するのか見ていきましょう。

エンドポイントのセキュリティ

DXのセキュリティ対策では、エンドポイントのセキュリティを強化することが求められます。

エンドポイントとは、パソコンやスマートフォンなどネットワークに接続されているデバイスを指します。

境界線型セキュリティは、社内にエンドポイントが存在することを前提としていました。

しかし、攻撃者による内部活動が常態化している点を踏まえると、社内に存在するエンドポイントであっても、信頼すべきではありません。

DXでは、エンドポイントの挙動を監視し、管理できるセキュリティ対策が求められます。

即応性

DXを実現した企業は、製品やサービスを改善するサイクルが速くなります。

DX時代には、これまでにない速度で市場が変化するため、システムにも即応性と柔軟性が求められます。

同様に、セキュリティ対策にもシステムの変化に対応できる状態が必要です。

DXとゼロトラストセキュリティ

DXとゼロトラストセキュリティ

境界型セキュリティに代わるモデルとして、近年注目されているのがゼロトラストセキュリティモデルです。

ここでは、ゼロトラストセキュリティが、どのようなモデルなのかについて解説します。

ゼロトラストモデルとは

ゼロトラストモデルとは、すべてのアクセスを信用しないことを前提としたセキュリティモデルです。

境界線型セキュリティでは、過去に認証したアクセスは安全であると評価されます。

そのため、一旦境界線を抜けてしまえば、端末がウイルスなどに感染していたとしても、社内ネットワークへのアクセスが可能です。

一方、ゼロトラストモデルのセキュリティでは、アクセスごとに認証や検証が実行されます。

過去に認証されたアクセスであっても、脅威が存在する場合はアクセスを防げます。

ゼロトラストの原則

米国立標準技術研究所は、ゼロトラストセキュリティの原則を次のように定義しています。

  • データとサービスはすべてリソースとしてとらえる。
  • 場所に関係なくすべての通信は保護される。
  • リソースへのアクセスはセッション単位で許可される。
  • アクセスは動的なポリシーによって決められる。
  • デバイスのセキュリティが維持されるように常に監視する。
  • リソースの認証は、動的に厳しく実施する。
  • セキュリティを高めるために、ネットワークや通信に関する情報を収集する。

参考:NIST SP800-207 Zero Trust Architecture

ゼロトラストセキュリティでは、ネットワークに接続されている機器やアプリケーションなど、すべてをリソースと見なし、アクセスごとに決められたルールに従って通信します。

また、情報を収集してネットワーク全体を監視できることも条件です。

上記のような原則を満たすことで、ゼロトラストセキュリティを実現できるとしています。

ゼロトラストセキュリティを導入する際には、自社のシステムがこれらの原則を満たしているかどうかを確認することが重要です。

ゼロトラストのメリット

ゼロトラストセキュリティには、セキュリティレベルを向上させられるメリットがあります。

データやアプリケーションを利用するたびに認証が必要なため、不正なアクセスを未然に防ぐことが可能に。

加えて、環境に依存しないセキュリティを実現できるため、テレワークやクラウドサービスの利用時にも、安全にネットワークにアクセスできます。

そのほか、ネットワーク構成を簡略化できるため、システムの維持に必要なコストの削減にも繋がります。

ゼロトラストのデメリット

ゼロトラストモデルのセキュリティでは、複数のシステムを組み合わせる必要があります。

組み合わせるシステムの種類が多くなると、コストが高額になることも。

導入期間中は既存のセキュリティサービスと利用が重複するケースもあるため、一時的に両方のサービスの費用がかかる場合もあります。

また、アクセスのたびに認証を求められるため、生産性が低下してしまう恐れも。

業務効率を落とさないためにも、社員の利便性を考慮しながら、どのようにシステムを導入すべきかを検討する必要があります。

DXのセキュリティ要件を満たす製品「EDR」

DXのセキュリティ要件を満たす製品「EDR」

EDR(Endpoint Detection and Response)は、DXのセキュリティ要件を満たす製品として注目を集めています。

EDRは、エンドポイントとホストを監視し、不審なアクセスや痕跡を検出して、対応するためのシステムです。

エンドポイントに設置されたソフトウェアで常時ログを取得して分析し、不審なアクセスがあった場合は管理者へ通知します。

管理者は、ログを精査し対応を決定します。

サイバー攻撃の手口は年を追うごとに巧妙化しており、マルウェアの侵入を完全に防ぐことは困難な状況です。

EDRの利点は、万が一マルウェアの侵入を許してしまった場合でも、早期に対応できる点にあります。

特に境界線防御が機能しない環境下では、EDRはセキュリティの強化に有効です。

DX(デジタルトランスフォーメーション)のセキュリティ対策を推進するポイント

DX(デジタルトランスフォーメーション)のセキュリティ対策を推進するポイント

DXのセキュリティ対策を推進する際のポイントについて解説します。

複数のサービスを組み合わせた場合のリスクを考慮

DXのセキュリティ対策に取り組む際には、複数のサービスを組み合わせた場合のリスクを考慮する必要があります。

DXでは、複数のシステムを組み合わせて運用するケースが多いです。

個別のシステムごとにセキュリティ対策を講じたとしても、組み合わせによって、脆弱性が生まれる可能性もあります。

複数のサービスを組み合わせる場合は、システム同士を連携させた時のリスクを検証しましょう。

セキュリティ人材を配置

DXに取り組む際には、セキュリティ人材を配置することが大切です。

セキュリティ対策には、専門的な知識が求められます。

セキュリティに精通した人材が配置されていなければ、対策を講じることはできません。

また、単にセキュリティに関する知識を持つだけではなく、旗振り役としてプロジェクトを推進できるように育成する必要があります。

人材の育成には、セキュリティ人材育成プログラムを活用すると良いでしょう。

計画の段階で、どのようにセキュリティ人材を獲得・育成すべきかについても定めておくことが重要です。

全社で取り組む

DXのセキュリティ対策は、IT部門だけの問題ではありません。

DXが進むとクラウドサービスの利用をはじめ、あらゆる部署で外部とデータがやり取りされます。

そのため、すべての部署でセキュリティ対策を講じる必要があります。

全社でセキュリティ対策に取り組まなければ、安全性を確保できないでしょう。

まとめ:DX(デジタルトランスフォーメーション)にセキュリティ対策は不可欠!

まとめ:DX(デジタルトランスフォーメーション)にセキュリティ対策は不可欠!

デジタルトランスフォーメーションのセキュリティ対策について解説しました。

サイバー攻撃によって顧客の情報が流出してしまった場合、自社の信頼を損ねてしまう恐れがあります。

顧客に迷惑をかけてしまう可能性があるため、DXを推進する上でセキュリティ対策は必須です。

今回の記事を参考に、企業の機密情報を守れるよう対策をしましょう。