DXが加速していくにつれて、セキュリティリスクも考慮していく必要があります。
デジタル化も多様化していく中で、競争も増していくことが求められるようになりました。なぜなら、既存のシステムやビジネスモデルも、飽和状態になってきたからです。すると新しいアイデアを出すことも、生まれにくい状態が続いてしまいます。
そこでDXの推進が経済産業省からもレポートとして述べられました。DXが求められる理由から解説し、現状を理解した上で、DXのセキュリティリスクの対策をお伝えしていきます。
目次
DX(デジタル・トランスフォーメーション)とは
DXとは「デジタル・トランスフォーメーション)の略で、データとデジタル技術を手段として用いたビジネスモデルの変革をしていくことです。人々に新たな価値を提供し競争優位を確立させ、企業競争力のアップを図り生産性の向上を高めることが狙いです。
企業の競争力を高めることを求める理由の一つは、既存のシステムの保守に気を回していくことを危惧しているように感じられます。その対策としてDXを推進していくことを、経済産業省が発表したことにもつながっていると見ています。
経済産業省がレポートした内容を見ていきましょう。
DXが求められる理由
DXが求められる理由として、経済産業省がDXレポートを発表したことが一つとしてあります。既存のシステムでは時代遅れになり、新しい技術を生み出していくことが難しいことを指摘しているもので、投資に回すことが困難になります。
事実、DXレポートの中で、次のように述べられていました。
・サービスの創造・革新の取り組みについては、実際に成果が出ている企業は1割未満に留 まっている。
・サービスの創造・革新(既存ビジネスの効率化でない取り組み)の必要性は理解している ものの、目指す姿やアクションを具体化できないため、成果に至らず投資が増えていない のではないか?
技術への投資が難しくなれば、既存のシステムを新しく入れ替えることより、維持する方向性になっていくことが考えられます。また、刷新をしようにも新しいモデルが少ない状況で、投資に回す余力と気持ちも足踏みをしてしまう状態となっていると予測しています。
このままの状態が続くとどうなるのか?経済産業省は次のように指摘しています。
経済産業省によるDXへの指摘
経済産業省がDXレポートの中で指摘している「2025年の崖」というのがあります。これは
日本企業のITシステムの多くは、すでに時代遅れ(レガシー化)となっており、刷新を急ぐ必要があると言っています。
先述のとおりの内容ですが、システムの複雑化によって維持に多大なコストが掛かり、維持費だけにコストがかかって、新しい技術に対応していくことが難しいからです。
するとDXが実現しないだけでなく、2025年以降に最大12兆円/年の経済損失が生じる可能性があるといわれています。2025年の崖は長期稼動システムの割合やIT人材の不足、各種サポートの終了、市場の変化などの要因が重なることから、タイムリミットとして定義されているものです。
こうした中でDXを実施していくのはデジタル化の多様性と、AIに置き換わっていく中で人にしかできないことを見出す狙いもあります。
DXを行うことにつれて必要なこと
DX化を行うにつれて必要なことは、人にしかできないこと、アイデアや創造性を形にしていくことです。AIが活躍する背景には、人手不足から人に変わるものとして代用、しかし限界もあります。
たとえばAIが判断するのは人工知能に基づいたもので、機械的な判断に人の心を動かす力が大きく働く効果が出るのは、まだ先の時代になるでしょう。一方でDXが進めばデジタル化と変革が起こっていく中だからこそ、人にしかできないことを求められる背景も生まれていきます。
新しいアイデアを生み出すには、人間の感情や心を動かすものが必要です。DXの推進はデジタル化で変革を促すとともに、人にしかできないアイデア、創造性を活発にさせていく動きが必要ということも読み取れてきます。
その上でDXに伴う全般における課題を解説して、セキュリティリスク対策等も紹介していきます。
DXに伴う全般における課題を解説
DX全般の大きな課題は主に2つあると言えます。1つ目は「変革の必要性がわかっても方法が見当たらない」こと、もう一つは「経営陣と社員の変革意識の調整」が大きな課題となっています。
それぞれの課題と対処していく方法を解説していきます。
変革の必要性がわかっても方法が見当たらない
1つ目は変革の必要性がわかっても、方法が見当たらないことです。未開のことをするので、参考できるビジネスモデルの企業も少なく、経済産業省のレポートにもあるように、1割ぐらいの企業しかDXは進んでいないと発表されています。
データだけの判断だと、長期的な投資の必要性も出てきて、先の見込めない投資は成果につながらないと予測を立て、現状維持に走ることも懸念されます。ビジネスモデルが少ない場合は、自社の理解と「何ができるのか?」を問いかけ続けることで、強みから発展させていくこともできるでしょう。
しかしながら、DXには変革も必要なので、経営陣と社員の意識を合わせていかなければ、新しいアイデアをつくっていくための施策が、マイナス効果を生み出すことになります。
そこで起こりうる課題が意識統一の難しさです。
経営陣と社員の変革意識の調整
2つ目の課題として、経営陣と社員の変革意識の調整があります。経営陣がDXとともに変革を促しても、社員の生産性を奪ってしまうことにもなりかねません。
ただ、経済産業省のレポートには、収益向上を達成するための特徴として、次のように挙げられています。
1.部門間は互いに関係しあっているため、個別部門から順番に変革しても未変革の他部門に影響を受けるため、全体の変革が完了しない。このため、変革を推進するためには、全社を対象にトップダウンで一斉に実施しなければならない。
2.経営者は、ビジョンや戦略を示すだけでは不十分であり、社員が新しい仕事のやり方や働き方に順応できるように、判断の拠りどころとなる行動指針を示さなければならない。
社員からの要望を聞く姿勢も大切ですが、トップダウンとその理由、行動指針を示していくことがDX推進に必要という見方です。また次のようなことも、述べられています。
・変革は立ち止まることなく、顧客や市場の反応に合わせて継続しなければならない。
補足としてDXを先送りする理由や経営課題としての優先度を下げる理由はいくらでも出てくるが、立ち止まることで競合他社との差が開いていく、または、何もしないだけで遅れていくという認識が不足している、との指摘もあります。
今までのやり方では、ないものを見る習慣があり「できない理由」を探していましたが、逆に「できることは何か?」に注目していくことが、DXを推進する動きとなっていくことでしょう。
そこで施策を考えるうえで必要になってくるのが、セキュリティリスクの認識と対策です。
関連記事:社内DXとは?DXとの違いや推進の手順・具体例を紹介
DXのセキュリティリスクにおける課題
DXのセキュリティリスクを考えると課題が浮き彫りになってきます。DXのビジネスモデルも少ない中で、セキュリティ対策も考えていくのは、大変な作業になると感じるかもしれません。
しかしながら、対策は予測でも可能なので実際に起こりうる事態を想定したものや、過去の事例から防げることなど、事前にできることがあります。この記事では大きな課題を2つ解説します。
セキュリティに関する人手の確保
DXのセキュリティリスクにおける課題1つ目は、セキュリティに関する人手の確保です。
人手不足も背景にあり、セキュリティに関して知識と経験を積んだ人手の確保が必要なのは明確です。しかしながら、重要な情報を扱うことで、候補の人への信頼や人間性にも左右され、人選が困難になる可能性があります。
人手の確保をする上で意識していくポイントは、以下の点を意識すると人による情報漏洩の可能性を低くすることができます。
・外部から人選する場合は、教育できる人にする
セキュリティに関して、外部から人材を取り入れるのを検討する場合もあるでしょう。しかしながら、勤務日数が浅い場合は、会社と社員の信頼関係を深めていく必要があります。外部から人選する場合は、教育をする人を選ぶことにし、重要な情報に携わる社員は現在勤務している者から人選するほうが無難です。
セキュリティに対応する範囲が大きくなる
2つ目の課題は、セキュリティに対応する範囲が大きくなることです。予測できることですが、対応範囲の拡大は社員の時間を使うことにもなり、別の課題にもつながってしまうことがあります。
DX本来の目的は、効率化をして人にしか出せないアイデアを創造していくことです。逆にセキュリティ対策に範囲が大きくなっては、会社全体の負担が大きくのしかかることになるでしょう。
対応範囲が広くなっても負担を最小限に抑えるには、既存のあり方を見直すタイミングでもあると言えます。自社の状況を把握したDXをしていけば、セキュリティ面の対策と負担も減らしていくことが可能でしょう。
また、経済産業省のレポートにもありましたが、システムの多様化は複雑化も懸念しており、DXを遅らせる原因ともなっています。ですので、取り組む際には簡略化できるところを見つけることも、リソースを最大限に活かすことにつながります。
DXのセキュリティリスクを踏まえて対策したいこと4選
DXの課題が見つかれば、セキュリティリスクの対策もしやすくなります。
この章ではDXのセキュリティリスクを踏まえて対策したいことを4つ紹介します。
セキュリティソフトの追加導入
DXのセキュリティリスク対策の1つ目は、セキュリティソフトの追加導入です。コストのバランスを見ながら、いちばん対策がしやすいものとなります。選ぶポイントとしては、サイバー攻撃に強いなど自社の弱みを知った上でカバーできるかどうかです。
その中でも代表的な対策ソフトを紹介します。
EPP(Endpoint
Protection Platform)
パターンマッチング方式を利用したアンチウイルスソフトです。エンドポイントで既知のマルウェアを検知し、サイバー攻撃の侵入を防ぎます。
EDR(Endpoint Detection and Response)
ユーザーが利用するパソコンやサーバー(エンドポイント)における不審な挙動を検知し、迅速な対応を支援するセキュリティソリューションです。
NGAV(Next Generation Antivirus)
「次世代アンチウイルス」ともいわれ、振る舞い検知やAI・機械学習といった技術を用いてマルウェアと疑わしいものを検知・ブロックを行い、パソコンをマルウェア感染から守ります。
特徴を知りながら、自社にマッチしたものを選んでいけば、コストを最小限に抑えることも可能でしょう。
ID管理など保管ルールを徹底する
DXのセキュリティリスク対策の2つ目は、ID管理など保管ルールを徹底することです。普段から意識していることかもしれませんが、基本的なルールを徹底することが一番の対策になることもあり得ます。
IDやパスワードなどの情報を適切に管理することは、セキュリティの基本です。一方で最近では2段階認証も推奨されてくるようになり、IDが多くなるまたは複雑化する可能性も出てきます。一つ大きなルールを徹底することで、ズレがないようにしてくのは、管理と会社のセキュリティ意識の向上につながっていくことでしょう。
複雑にしすぎないセキュリティ管理を目指す
DXのセキュリティリスク対策の3つ目は、複雑にしすぎないセキュリティ管理を目指すことです。先述のとおり、複雑化したシステムは保守にとどまり新しいアイデアを創造するのを妨げます。
また管理する側、使用する社員にとっても負担がかかり、一人の担当者が欠ければ、セキュリティに関しての認知者が不在の状況を作ってしまいます。シンプルな対策でルールの徹底や、システムや人に依存しすぎない体制を整えていくことが、DXのセキュリティ対策にもなると言えます。
ISO27001の取得を検討する
DXのセキュリティリスクを踏まえて対策したいこと4つ目は、ISO27001の取得を検討することです。ISO27001とは、情報セキュリティマネジメントシステムについての国際規格です。
国際規格に合わせることで、基準がわかりセキュリティ対策の指標が出来上がることが期待できます。認証取得の効果としては、情報リスクの低減、社員の情報セキュリティ意識の向上、組織内外からの信頼獲得など様々なメリットがあります。
その中でもメリットが大きいと感じる2つの要素を解説します。
1.組織内外に対して信頼の幅が広がる
メリット1つ目は、組織内外に対して信頼の幅が広がることです。国際規格の取得は、企業としての実績の一つとして組織内外から見えます。
自社の社員も会社の実績を自分のように捉えることができ、意識を向上させることにつながるかもしれません。対外的にはこれまでの取り組みが評価され、企業努力を表す一つとして見られることが期待できるでしょう。
近年でも情報漏洩といったセキュリティ関係の事故は、増えているのが現状です。
また官公庁への入札案件がある場合、ISO27001の認証取得が入札条件として企業に求められる事例も見られ始めています。同業他社との差別化においても優位に立てることになっていくことでしょう。
2.継続的に改善できて企業価値を高められる
メリットの2つ目は、継続的に改善できて企業価値を高められる企業価値を高めることができます。ISO27001(ISMS)に限らないISO規格の共通事項ですが、取得した認証の有効期限は3年間です。
毎年、審査機関が組織に伺い、マネジメント運用状況の確認審査を行います。審査を繰り返し行うことによって、継続的に改善が行われます。さらに取得年数が経つにつれて、厳しい規格の基準に合格していくことは、企業価値を高められることにつながっていくでしょう。
あくまでも、規格の取得はセキュリティ対策の一つですが、国際規格なので現状から大幅に業務の見直しや行動指針も変えていく必要が出てくる場合もあります。一人ひとりの情報セキュリティの意識向上が欠かせないと言えるでしょう。
そのためには、定期的にセキュリティに関する「説明会」を実施し、業務に関連したリスクを伝えていけば、自分ごとになり理解を求めやすくなっていきます。
まとめ
この記事ではDXの必要性から課題、セキュリティリスクと対策までお伝えしてきました。対応しなければいけない施策がたくさんありますが、一つずつの見直しが成果に結びついていきます。
変革が必須の社会情勢でビジネスモデルが少ない中、自社の取り組みがモデルとなり評価されるときも来るでしょう。一つずつの積み重ねが、企業の社会貢献になることで、新しいアイデアを生み出すきっかけを作ることができれば、DXも推進されていきます。
AI GIJIROKU ブログ編集部です。議事録や、会議、音声を中心に生産性を向上するためのブログを執筆しています。
